【摘要】 安全组是逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组规则是为弹性云服务器等添加的访问策略，以实现访问控制。上一章我们学习了如何创建弹性云服务器，我们基于上一个模板加入创建安全组的内容。

tosca_definitions_version: huaweicloud_tosca_version_1_0 
node_templates: 
  myvpc: 
    type: HuaweiCloud.VPC.VPC 
    properties: 
      name: my-vpc 
      cidr: '192.168.0.0/16' 
  mysubnet: 
    type: HuaweiCloud.VPC.Subnet 
    properties: 
      name: my-subnet 
      cidr: '192.168.1.0/24' 
      gateway: 192.168.1.1 
      vpcId: 
        get_reference: myvpc 
      dhcpEnable: true 
    requirements: 
      - vpcId: 
          node: myvpc 
  myecs: 
    type: HuaweiCloud.ECS.CloudServer 
    properties: 
      name: my-ecs 
      instances: 1 
      imageId: a3934478-bfeb-4a02-b257-9089779f0380 
      flavor: c1.medium 
      vpcId: 
        get_reference: myvpc 
      availabilityZone: cn-south-1a 
      nics: 
        - subnetId: 
            get_reference: mysubnet 
      rootVolume: 
        volumeType: SATA 
        size: 40 
      securityGroups: 
        - id: 
            get_reference: mysg 
    requirements: 
      - vpcId: 
          node: myvpc 
      - securityGroups.id: 
          node: mysg 
      - nics.subnetId: 
          node: mysubnet 
  mysg: 
    type: HuaweiCloud.VPC.SecurityGroup 
    properties: 
      name: my-sg 
    requirements: 
      - vpcId: 
          node: myvpc 
  mysgrule: 
    type: HuaweiCloud.VPC.SecurityGroupRule 
    properties: 
      direction: ingress 
      securityGroupId: 
        get_reference: mysg 
      ethertype: IPv4 
      maxPort: 5444 
      minPort: 5443 
      protocol: TCP 
    requirements: 
      - securityGroupId: 
          node: mysg

安全组mysg只有一个属性name，表示SecurityGroup实例的名称。ingress1和egress1都是安全组规则，以下几个属性：

1.  direction：出入控制方向，ingress表示入口。

2.  securityGroupId：所属安全组规则的ID。

3.  ethertype：IP地址协议类型，可设置为IPv4。

4.   maxPort：指定结束端口号。

5.  minPort：指定起始端口号。

6.  protocol：协议类型，可选值为ICMP或TCP或UDP。

安全组创建成功：

 来源：华为云社区  作者：tsjsdbd