子网关闭445

虚拟私有云用户指南文档版本48发布日期2021-03-05华为技术有限公司版权所有华为技术有限公司2021.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
文档版本48(2021-03-05)版权所有华为技术有限公司i目录1虚拟私有云和子网.
11.
1网络规划.
11.
2虚拟私有云.
41.
2.
1创建虚拟私有云和子网.
41.
2.
2修改虚拟私有云基本信息.
71.
2.
3为虚拟私有云添加扩展网段.
81.
2.
4删除虚拟私有云扩展网段.
91.
2.
5删除虚拟私有云.
101.
2.
6管理虚拟私有云标签.
111.
2.
7导出虚拟私有云列表.
121.
3子网.
121.
3.
1为虚拟私有云创建新的子网.
121.
3.
2修改子网网络信息.
151.
3.
3删除子网.
161.
3.
4管理子网标签.
171.
4IPv4/IPv6双栈网络.
192安全性.
242.
1安全组.
242.
1.
1安全组简介.
242.
1.
2默认安全组和规则.
272.
1.
3安全组配置示例.
282.
1.
4创建安全组.
322.
1.
5添加安全组规则.
332.
1.
6快速添加多条安全组规则.
382.
1.
7复制安全组规则.
402.
1.
8修改安全组规则.
402.
1.
9删除安全组规则.
402.
1.
10导入/导出安全组规则.
412.
1.
11删除安全组.
422.
1.
12实例加入/移出安全组.
422.
1.
13克隆安全组.
432.
1.
14修改安全组名称.
442.
1.
15查看弹性云服务器的安全组.
45虚拟私有云用户指南目录文档版本48(2021-03-05)版权所有华为技术有限公司ii2.
1.
16变更弹性云服务器的安全组.
452.
1.
17弹性云服务器常用端口.
462.
2网络ACL.
472.
2.
1网络ACL简介.
472.
2.
2网络ACL配置示例.
502.
2.
3创建网络ACL.
532.
2.
4添加网络ACL规则.
542.
2.
5将子网和网络ACL关联.
552.
2.
6解除关联子网.
562.
2.
7修改网络ACL规则生效顺序.
572.
2.
8修改网络ACL规则.
572.
2.
9开启/关闭网络ACL规则.
592.
2.
10删除网络ACL规则.
592.
2.
11导出/导入网络ACL规则.
602.
2.
12查看网络ACL.
602.
2.
13修改网络ACL.
612.
2.
14开启/关闭网络ACL.
612.
2.
15删除网络ACL.
622.
3安全组与网络ACL区别.
622.
4IP地址组.
642.
4.
1IP地址组简介.
642.
4.
2创建IP地址组.
642.
4.
3关联IP地址组与安全组规则.
662.
4.
4管理IP地址组.
663弹性网卡.
683.
1弹性网卡简介.
683.
2创建弹性网卡.
693.
3查看弹性网卡基本信息.
703.
4绑定弹性网卡到实例.
703.
5绑定弹性网卡到弹性公网IP.
713.
6绑定弹性网卡到虚拟IP.
713.
7解绑定云服务器或弹性公网IP.
723.
8更改弹性网卡所属安全组.
723.
9删除弹性网卡.
734弹性公网IP.
754.
1弹性公网IP简介.
754.
2为弹性云服务器申请和绑定弹性公网IP.
764.
3解绑定和释放弹性云服务器的弹性公网IP.
804.
4管理弹性公网IP地址标签.
814.
5修改弹性公网IP的带宽.
824.
6静态BGP转换为全动态BGP.
844.
7导出弹性公网IP列表.
85虚拟私有云用户指南目录文档版本48(2021-03-05)版权所有华为技术有限公司iii4.
8IPv6弹性公网IP.
865共享带宽.
885.
1共享带宽简介.
885.
2申请共享带宽.
895.
3添加弹性公网IP到共享带宽.
905.
4从共享带宽中移出弹性公网IP.
915.
5修改共享带宽.
915.
6删除共享带宽.
926共享流量包.
936.
1共享流量包简介.
936.
2购买共享流量包.
937带宽加油包.
957.
1带宽加油包简介.
957.
2购买带宽加油包.
957.
3修改带宽加油包.
967.
4退订带宽加油包.
968路由表.
988.
1路由表简介.
988.
2VPC内自定义路由示例.
998.
3VPC外自定义路由示例.
1008.
4配置SNAT服务器.
1038.
5添加自定义路由.
1068.
6查询路由表.
1078.
7修改路由.
1078.
8删除路由.
1089路由表(解耦)1099.
1路由表简介.
1099.
2创建自定义路由表.
1129.
3添加自定义路由.
1139.
4关联子网与路由表.
1149.
5更换子网关联的路由表.
1159.
6查询路由表.
1169.
7删除路由表.
1169.
8修改路由.
1169.
9删除路由.
1179.
10复制路由.
1189.
11导出路由表列表.
11810VPC对等连接.
12010.
1对等连接简介.
12010.
2对等连接路由配置方案.
121虚拟私有云用户指南目录文档版本48(2021-03-05)版权所有华为技术有限公司iv10.
3创建同一帐户下的对等连接.
12310.
4创建不同帐户下的对等连接.
12810.
5查看对等连接.
13310.
6修改对等连接.
13410.
7删除对等连接.
13410.
8查看对等连接路由.
13410.
9删除对等连接路由.
13511VPC流日志(公测)13711.
1VPC流日志简介.
13711.
2创建VPC流日志.
13811.
3查看VPC流日志.
13911.
4开启/关闭VPC流日志.
14211.
5删除VPC流日志.
14212虚拟IP.
14312.
1虚拟IP简介.
14312.
2申请虚拟IP地址.
14512.
3为虚拟IP地址绑定弹性公网IP或弹性云服务器.
14712.
4通过弹性公网IP访问虚拟IP.
15112.
5通过VPN访问虚拟IP.
15212.
6通过云专线访问虚拟IP.
15212.
7通过对等连接访问虚拟IP.
15212.
8关闭备弹性云服务器IP转发功能.
15212.
9关闭源/目的检查(适用于高可用负载均衡集群场景)15312.
10删除虚拟IP地址.
15313二层连接网关(公测)15513.
1二层连接网关简介.
15513.
2购买二层连接网关.
15713.
3查看二层连接网关.
15913.
4修改二层连接网关.
15913.
5删除二层连接网关.
16013.
6创建二层连接.
16113.
7查询二层连接.
16213.
8删除二层连接.
16313.
9配置远端隧道网关.
16314监控.
16614.
1支持的监控指标.
16614.
2查看监控指标.
16814.
3创建告警规则.
16815审计.
16915.
1支持审计的关键操作.
169虚拟私有云用户指南目录文档版本48(2021-03-05)版权所有华为技术有限公司v15.
2查看审计日志.
17016权限管理.
17216.
1创建用户并授权使用VPC.
17216.
2VPC自定义策略.
17317附录.
17517.
1NAT64TOA插件配置.
175A修订记录.
179虚拟私有云用户指南目录文档版本48(2021-03-05)版权所有华为技术有限公司vi1虚拟私有云和子网1.
1网络规划在创建VPC之前,您需要根据具体的业务需求规划VPC的数量、子网的数量、IP网段划分和互连互通方式等.
如何规划VPC数量VPC具有区域属性,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通,同一个VPC下的不同可用区之间内网互通.
一个VPC当各业务之间没有网络隔离需求时,您可以只使用一个VPC即可.
多个VPC当您在当前区域下有多套业务部署,且希望不同业务之间进行网络隔离时,则可为每个业务在当前区域建立相应的VPC.
两个VPC之间可以采用对等连接进行互连.
如图1-1所示.
图1-1对等连接最多可以创建多少个VPC默认情况下一个用户支持创建5个VPC,如果配额不满足实际需求,可以申请扩容.
具体操作请参见什么是配额虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司1如何规划子网子网是VPC内的IP地址块,VPC中的所有云资源都必须部署在子网内.
同一个VPC下,子网网段不可重复.
子网创建成功后,网段无法修改.
VPC支持的网段如下,子网的网段须在VPC网段范围内,且子网的掩码范围为:子网所在VPC掩码~29.
10.
0.
0.
0/8~24172.
16.
0.
0/12~24192.
168.
0.
0/16~24规划子网建议在同一个VPC下的业务内可按照业务模块分别划分子网,例如子网1用于Web层,子网2用于逻辑层,子网3用于数据层,有利于结合网络ACL进行访问控制和过滤.
如果只是VPC的子网规划,不涉及和本地IDC的网络通信,则可以选择上述任何一个网段进行新建子网.
如果要通过VPN/云专线与线下IDC进行互通,本端网段(VPC网段)和对端网段(您的IDC网段)不能重叠,所以在新建VPC及子网的时候务必避开对端网段.
在划分网段时还应考虑该网段的IP容量,即有多少可用的IP数.
最多可以创建多少个子网一个用户可以创建100个子网,如果无法满足实际需求,可以申请扩容.
具体操作请参见什么是配额如何规划路由策略路由表由一系列路由规则组成,用于控制VPC内子网的出流量走向.
用户创建VPC时,系统会自动为其生成一个默认路由表,该默认路由表含义为VPC内网互通.
如果不需要对子网的流量走向进行特殊控制,默认VPC内网互通的情况下,则使用默认路由表即可,无需配置自定义路由策略;如果需要对VPC内的网络流量走向进行特殊控制,则可以对路由表进行自定义路由配置.
如何连接本地IDC当您有VPC与本地IDC互通的需求时,确保VPC的网段和要互通的网络的网段都不冲突.
如图1-2所示,比如您在华北区域有VPC1一个VPC,华东有VPC2和VPC3两个VPC.
VPC1需要连接用户北京IDC,通过VPN走Internet互连.
VPC2需要连接用户上海IDC,通过云专线连接.
同时在华东区域的VPC3与VPC2通过对等连接建立连接.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司2图1-2IDC连接此例中,各VPC网段划分需要注意以下几点:VPC1的网段(CIDR)不能与北京IDC的网段有重叠.
VPC2的网段(CIDR)不能与上海IDC的网段有重叠.
VPC3和VPC2的网段也不能有重叠.
如何连接Internet少量弹性云服务器通过弹性公网IP连接Internet当您仅有少量弹性云服务器访问Internet时,您可将弹性公网IP(EIP)绑定到弹性云服务器上,弹性云服务器即可连接公网.
您还可以通过动态解绑它,再绑定到NAT网关、弹性负载均衡上,使这些云产品连接公网,管理非常简单.
不同弹性公网IP还可以共享带宽,减少您的带宽成本.
更多弹性公网IP(EIP)信息,请参见弹性公网IP简介.
大量弹性云服务器通过NAT网关连接Internet当您有大量弹性云服务器需要访问Internet时,单纯使用弹性公网IP管理成本过高,公有云NAT网关来帮您,它提供SNAT和DNAT两种功能.
SNAT可轻松实现同一VPC内的多个弹性云服务器共享一个或多个弹性公网IP主动访问公网,有效降低管理成本,减少了弹性云服务器的弹性公网IP直接暴露的风险.
DNAT功能还可以实现端口级别的转发,将弹性公网IP的端口映射到不同弹性云服务器的端口上,使VPC内多个弹性云服务器共享同一弹性公网IP和带宽面向互联网提供服务.
更多NAT网关信息,请参见《NAT网关用户指南》.
海量高并发场景通过弹性负载均衡连接Internet对于电商等高并发访问的场景,您可以通过弹性负载均衡(ELB)将访问流量均衡分发到多台弹性云服务器上,支撑海量用户访问.
弹性负载均衡采用集群化部署,支持多可用区的同城双活容灾.
同时,无缝集成了弹性伸缩,能够根据业务流量自动扩容,保证业务稳定可靠.
更多弹性负载均衡信息,请参见《弹性负载均衡用户指南》.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司3相关操作应用场景私网访问公网访问1.
2虚拟私有云1.
2.
1创建虚拟私有云和子网操作场景虚拟私有云可以为您的弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境.
要拥有一个完整的虚拟私有云,第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网;然后再根据您的实际网络需求,参考后续章节继续创建子网、申请弹性公网IP、安全组等网络资源.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
单击"创建虚拟私有云".
5.
在"创建虚拟私有云"页面,根据界面提示配置虚拟私有云参数.
创建虚拟私有云时会同时创建一个默认子网,您还可以单击"添加子网"创建多个子网.
表1-1虚拟私有云参数说明参数说明取值样例区域不同区域的资源之间内网不互通.
请选择靠近您客户的区域,可以降低网络时延、提高访问速度.
华北-北京一名称VPC名称.
名称只能由中文、英文字母、数字、"_"、"-"和".
"组成,且不能有空格,长度不能大于64个字符.
VPC-001虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司4参数说明取值样例网段(IPv4网段)VPC的地址范围,VPC内的子网地址必须在VPC的地址范围内.
目前支持网段范围:10.
0.
0.
0/8~24172.
16.
0.
0/12~24192.
168.
0.
0/16~24192.
168.
0.
0/16企业项目创建VPC时,可以将VPC加入已启用的企业项目.
企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default.
关于创建和管理企业项目的详情,请参见《企业管理用户指南》.
default高级配置单击下拉箭头,可配置VPC的高级参数,包括标签等.
默认配置标签虚拟私有云的标识,包括键和值.
可以为虚拟私有云创建10个标签.
标签的命名规则请参见表1-3.
键:vpc_key1值:vpc-01表1-2子网参数说明参数说明取值样例可用区可用区是指在同一地域内,电力和网络互相独立的物理区域.
在同一VPC网络内可用区与可用区之间内网互通,可用区之间能做到物理隔离.
可用区1名称子网的名称.
名称只能由中文、英文字母、数字、"_"、"-"和".
"组成,且不能有空格,长度不能大于64个字符.
Subnet子网网段子网的地址范围,需要在VPC的地址范围内.
192.
168.
0.
0/24子网IPv4网段子网的地址范围,需要在VPC的地址范围内.
192.
168.
0.
0/24虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司5参数说明取值样例子网IPv6网段选择是否勾选开启IPv6.
开启IPv6功能后,将自动为子网分配IPv6网段,暂不支持自定义设置IPv6网段.
该功能一旦开启,将不能关闭.
-关联路由表子网创建完成后默认关联默认路由表,您也可以通过子网的更换路由表操作,切换至自定义路由表.
默认高级配置单击下拉箭头,可配置子网的高级参数,包括网关、DNS服务器地址等.
默认配置网关子网的网关.
通向其他子网的IP地址,用于实现与其他子网的通信.
192.
168.
0.
1DNS服务器地址DNS服务器地址可实现云服务器在VPC子网内直接通过内网域名互相访问.
同时,还支持不经公网,直接通过内网DNS访问云上服务.
若您想要使用其他公网DNS进行解析,可以修改默认的DNS服务器地址.
DNS服务器地址最多支持2个IP,请以英文逗号隔开.
100.
125.
x.
xDHCP租约时间DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限.
超过租约时间,IP地址将被收回,需要重新分配.
单位:天或者小时.
DHCP租约时间改后,会在一段时间后自动生效(与您的DHCP租约时长有关),如果需要立即生效,请重启ECS或者在实例中主动触发DHCP更新.
更多信息请参见修改子网的dhcp租约时间后如何立即生效365天标签子网的标识,包括键和值.
可以为子网创建10个标签.
标签的命名规则请参见表1-4.
键:subnet_key1值:subnet-01虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司6表1-3虚拟私有云标签命名规则参数规则样例键不能为空.
对于同一虚拟私有云键值唯一.
长度不超过36个字符.
由英文字母、数字、下划线、中划线、中文字符组成.
vpc_key1值长度不超过43个字符.
由英文字母、数字、下划线、点、中划线、中文字符组成.
vpc-01表1-4子网标签命名规则参数规则样例键不能为空.
对于同一子网键值唯一.
长度不超过36个字符.
由英文字母、数字、下划线、中划线、中文字符组成.
subnet_key1值长度不超过43个字符.
由英文字母、数字、下划线、点、中划线、中文字符组成.
subnet-016.
检查当前配置,单击"立即创建".
1.
2.
2修改虚拟私有云基本信息操作场景修改虚拟私有云的名称、网段.
例如:当虚拟私有云的CIDR和VPN地址有冲突时,可以通过修改虚拟私有云基本信息来调整VPC的地址范围.
约束与限制添加IPv4扩展网段功能上线后,将不再支持修改原有的VPC网段.
您可以通过API接口修改原有的VPC网段,具体请参见《虚拟私有云API参考》.
添加IPv4扩展网段功能目前仅在"华东-上海一"、"华东-上海二"、"华南-广州"、"华北-北京四"开放,具体请参见为虚拟私有云添加扩展网段.
修改VPC网段时需注意以下两点:虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司7–修改的VPC网段须在支持的网段内.
当前VPC支持的网段有:10.
0.
0.
0/8~24、172.
16.
0.
0/12~24、192.
168.
0.
0/16~24.
–若该VPC下已有子网,修改网段必须包含所有子网网段.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中待修改的虚拟私有云所在行的"操作"列下单击"修改"或"编辑网段".
6.
在"修改VPC"或"编辑网段"页面,根据界面提示修改参数.
可以修改虚拟私有云的名称、VPC网段.
如图1-3所示.
图1-3修改虚拟私有云7.
单击"确定".
1.
2.
3为虚拟私有云添加扩展网段操作场景VPC创建后,若主网段不够分配时,您可以通过添加扩展网段来扩充VPC的网段.
创建VPC时配置的IPv4网段是VPC的主网段.
VPC创建后,主网段不能进行修改,但您可以添加IPv4扩展网段来扩充VPC的网段.
添加扩展网段后,您可以选择使用主网段或扩展网段来创建子网,但每个子网只能属于一个VPC网段.
同主网段一样,使用扩展网段创建子网时,系统也会在VPC路由表中自动添加一条子网路由.
说明添加IPv4扩展网段功能目前仅在"华东-上海一"、"华东-上海二"、"华南-广州"、"华北-北京四"开放.
添加IPv4扩展网段功能上线后,将不再支持修改原有的VPC网段.
您可以通过API接口修改原有的VPC网段,具体请参见《虚拟私有云API参考》.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司8前提条件已创建VPC.
约束与限制一个VPC默认只支持添加1个IPv4扩展网段.
扩展网段的子网路由的目的地址是该子网网段,该网段范围不得与所属VPC路由表中的其它路由的目标网段范围相同或大于该范围.
不支持添加的扩展网段范围包括:–主网段或帐户下已存在网段:10.
0.
0.
0/8、172.
16.
0.
0/12、192.
168.
0.
0/16–系统内部已占用:100.
64.
0.
0/10、214.
0.
0.
0/7、198.
18.
0.
0/15、169.
254.
0.
0/16–公网保留地址:0.
0.
0.
0/8、127.
0.
0.
0/8、240.
0.
0.
0/4、255.
255.
255.
255/32操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在虚拟私有云列表中待添加扩展网段的虚拟私有云所在行的"操作"列下单击"编辑网段".
5.
在"编辑网段"页面,单击"添加IPv4扩展网段".
图1-4添加IPv4扩展网段6.
输入扩展网段,单击"确定".
1.
2.
4删除虚拟私有云扩展网段操作场景当某个扩展网段不再使用时,您可以通过删除释放网段.
您可以删除IPv4扩展网段,但不能删除主IPv4网段.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司9说明添加IPv4扩展网段功能目前仅在"华东-上海一"、"华东-上海二"、"华南-广州"、"华北-北京四"开放.
添加IPv4扩展网段功能上线后,将不再支持修改原有的VPC网段.
您可以通过API接口修改原有的VPC网段,具体请参见《虚拟私有云API参考》.
前提条件已删除扩展网段下创建的子网.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在虚拟私有云列表中待删除扩展网段的虚拟私有云所在行的"操作"列下单击"编辑网段".
5.
在"编辑网段"页面,单击扩展网段右侧"删除".
1.
2.
5删除虚拟私有云操作场景当无需使用网络资源,需要释放对应的虚拟私有云时,可以删除虚拟私有云.
当VPC中存在子网、VPN、专线、自定义路由或对等连接路由时,VPC不能删除.
需要删掉这些资源后,才能进行VPC删除.
删除子网请参见删除子网.
删除VPN连接请参见《虚拟专用网络用户指南》.
关闭专线请参考《云专线用户指南》.
自定义路由删除请参考删除路由或删除路由.
删除对等连接请参见删除对等连接.
约束与限制当存在弹性公网IP和安全组资源时,最后一个VPC不能删除.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击待删除的虚拟私有云所在行"操作"列下的"删除".
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司106.
单击"是".
1.
2.
6管理虚拟私有云标签应用场景私有云标签是虚拟私有云的标识.
为虚拟私有云添加标签,可以方便用户识别和管理拥有的虚拟私有云.
您可以在创建虚拟私有云的时候增加标签,或者在已经创建的虚拟私有云详情页添加标签,最多可以给虚拟私有云添加10个标签.
标签共由两部分组成:"键"和"值",其中,"键"和"值"的命名规则如表1-5所示.
表1-5虚拟私有云标签命名规则参数规则样例键不能为空.
对于同一虚拟私有云键值唯一.
长度不超过36个字符.
由英文字母、数字、下划线、中划线、中文字符组成.
vpc_key1值长度不超过43个字符.
由英文字母、数字、下划线、点、中划线、中文字符组成.
vpc-01操作步骤在虚拟私有云列表页,按标签的键或值搜索目标虚拟私有云.
1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
选择"网络>虚拟私有云".
4.
在左侧导航栏单击"虚拟私有云".
5.
单击虚拟私有云列表右上角的"标签搜索",展开查询页.
6.
输入待查询虚拟私有云的标签值.
键和值均不能为空,当键和值全匹配时,系统可以自动查询到目标虚拟私有云.
7.
单击"+",添加输入的标签值.
系统支持添加多个标签值,并取各个标签值的交集,对目标虚拟私有云进行搜索.
8.
单击"搜索".
系统根据标签的键和值搜索目标虚拟私有云.
在虚拟私有云的标签页,执行标签的增、删、改、查操作.
1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司113.
选择"网络>虚拟私有云".
4.
在左侧导航栏单击"虚拟私有云".
5.
在虚拟私有云列表中,单击待管理标签的虚拟私有云名称.
系统跳转至该虚拟私有云详情页面.
6.
选择"标签"页签,对虚拟私有云的标签执行增、删、改、查.
–查看在"标签"页,可以查看当前虚拟私有云的标签详情,包括标签个数,以及每个标签的键和值.
–添加单击左上角的"添加标签",在弹出的"添加标签"窗口,输入新添加标签的键和值,并单击"确定".
–修改单击标签所在行"操作"列下的"编辑",在弹出的"编辑标签"窗口,输入修改后标签的键和值,并单击"确定".
–删除单击标签所在行"操作"列下的"删除",如果确认删除,在弹出的"删除标签"窗口,单击"是".
1.
2.
7导出虚拟私有云列表操作场景您可以将当前帐号下拥有的所有虚拟私有云信息,以Excel文件的形式导出至本地.
该文件记录了虚拟私有云的名称、ID、状态、网段、子网个数等.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表页,单击右上角的.
系统会将您帐号下,当前区域的所有虚拟私有云信息自动导出为Excel文件,并下载至本地.
1.
3子网1.
3.
1为虚拟私有云创建新的子网操作场景申请VPC时会创建默认子网,当默认子网不能满足需求时,您可以创建新的子网.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司12子网默认配置DHCP协议,即使用该VPC的弹性云服务器启动后,会通过DHCP协议自动获取到IP地址.
说明当前在部分区域中,子网已从虚拟私有云中解耦,解耦后子网拥有独立入口.
未解耦:在虚拟私有云详情页的"子网"页签,可对子网进行操作.
本小节的操作步骤指导以此入口为例.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"子网",可对子网进行操作.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要创建子网的虚拟私有云名称.
6.
在"子网"页签中,单击"创建子网".
7.
根据界面提示配置参数.
表1-6参数说明参数说明取值样例虚拟私有云选择待创建子网的VPC.
当"子网"独立存在于导航栏时,本参数可见.
-可用区VPC子网的可用区.
可用区1名称子网的名称.
名称只能由中文、英文字母、数字、"_"、"-"和".
"组成,且不能有空格,长度不能大于64个字符.
Subnet子网IPv4网段子网的地址范围,需要在VPC的地址范围内.
如果子网所属的VPC创建了扩展网段,您可以根据业务需要选择主网段或扩展网段作为子网所属的网段.
192.
168.
0.
0/24子网IPv6网段选择是否勾选开启IPv6.
开启IPv6功能后,将自动为子网分配IPv6网段,暂不支持自定义设置IPv6网段.
该功能一旦开启,将不能关闭.
-关联路由表子网创建完成后默认关联默认路由表,您也可以通过子网的更换路由表操作,切换至自定义路由表.
默认虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司13参数说明取值样例高级配置单击下拉箭头,可配置子网的高级参数,包括网关、DNS服务器地址等.
默认配置网关子网的网关.
通向其他子网的IP地址,用于实现与其他子网的通信.
192.
168.
0.
1DNS服务器地址DNS服务器地址可实现云服务器在VPC子网内直接通过内网域名互相访问.
同时,还支持不经公网,直接通过内网DNS访问云上服务.
若您想要使用其他公网DNS进行解析,可以修改默认的DNS服务器地址.
DNS服务器地址最多支持2个IP,请以英文逗号隔开.
100.
125.
x.
xDHCP租约时间DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限.
超过租约时间,IP地址将被收回,需要重新分配.
单位:天或者小时.
DHCP租约时间改后,会在一段时间后自动生效(与您的DHCP租约时长有关),如果需要立即生效,请重启ECS或者在实例中主动触发DHCP更新.
更多信息请参见修改子网的dhcp租约时间后如何立即生效365天标签子网的标识,包括键和值.
可以为子网创建10个标签.
标签的命名规则请参考表1-7.
键:subnet_key1值:subnet-01表1-7子网标签命名规则参数规则样例键不能为空.
对于同一子网键值唯一.
长度不超过36个字符.
由英文字母、数字、下划线、中划线、中文字符组成.
subnet_key1值长度不超过43个字符.
由英文字母、数字、下划线、点、中划线、中文字符组成.
subnet-018.
单击"确定".
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司14注意事项子网创建成功后,有5个系统保留地址您不能使用.
以192.
168.
0.
0/24的子网为例,默认的系统保留地址如下:192.
168.
0.
0:网络标识符,私有IP地址范围开始,不作分配192.
168.
0.
1:网关地址192.
168.
0.
253:系统接口,用于VPC对外通信192.
168.
0.
254:DHCP服务地址192.
168.
0.
255:广播地址如果您在创建子网时选择了自定义配置,系统保留地址可能与上面默认的不同,系统会根据您的配置进行自动分配.
1.
3.
2修改子网网络信息操作场景修改子网名称、DNS服务器地址等.
说明当前在部分区域中,子网已从虚拟私有云中解耦,解耦后子网拥有独立入口.
未解耦:在虚拟私有云详情页的"子网"页签,可对子网进行操作.
本小节的操作步骤指导以此入口为例.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"子网",可对子网进行操作.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要修改子网的虚拟私有云名称.
6.
在"子网"列表待修改子网所在行,单击"修改".
根据界面提示修改参数.
表1-8参数说明参数说明取值样例名称子网的名称.
名称只能由中文、英文字母、数字、"_"、"-"和".
"组成,且不能有空格,长度不能大于64个字符.
Subnet虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司15参数说明取值样例DNS服务器地址DNS服务器地址可实现云服务器在VPC子网内直接通过内网域名互相访问.
同时,还支持不经公网,直接通过内网DNS访问云上服务.
若您想要使用其他公网DNS进行解析,可以修改默认的DNS服务器地址.
DNS服务器地址最多支持2个IP,请以英文逗号隔开.
100.
125.
x.
xDHCP租约时间DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限.
超过租约时间,IP地址将被收回,需要重新分配.
单位:天或者小时.
DHCP租约时间改后,会在一段时间后自动生效(与您的DHCP租约时长有关),如果需要立即生效,请重启ECS或者在实例中主动触发DHCP更新.
更多信息请参见修改子网的dhcp租约时间后如何立即生效365天7.
单击"确定".
1.
3.
3删除子网操作场景当无需使用子网、需要释放网络资源时,可删除子网.
说明当前在部分区域中,子网已从虚拟私有云中解耦,解耦后子网拥有独立入口.
未解耦:在虚拟私有云详情页的"子网"页签,可对子网进行操作.
本小节的操作步骤指导以此入口为例.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"子网",可对子网进行操作.
前提条件在删除子网前,请确保您已经删除该子网下创建的资源.
您可以通过控制台首页查看帐户下所有资源,根据子网信息排查各资源是否在待删除的子网中.
先删除子网中的全部资源,再删除子网.
可参考以下常用的资源实例进行排查,具体请以帐户下资源进行排查.
弹性云服务器虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司16裸金属服务器CCE集群CCI实例RDS实例WorkspaceMRS集群DCS实例弹性负载均衡器VPN私有IP地址自定义路由NAT网关终端节点与终端节点服务如果已完成资源排查后,仍然无法正常删除子网,请提交工单进行解决.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要删除子网的虚拟私有云名称.
6.
在"子网"界面待删除子网所在行,单击"删除".
7.
单击"是".
1.
3.
4管理子网标签应用场景子网标签是子网的标识.
为子网添加标签,可以方便用户识别和管理拥有的子网.
您可以在创建子网时增加标签或者在已经创建的子网详情页添加标签,最多可以给子网添加10个标签.
标签共由两部分组成:"键"和"值",其中,"键"和"值"的命名规则如表1-9所示.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司17表1-9子网标签命名规则参数规则样例键不能为空.
对于同一子网键值唯一.
长度不超过36个字符.
由英文字母、数字、下划线、中划线、中文字符组成.
subnet_key1值长度不超过43个字符.
由英文字母、数字、下划线、点、中划线、中文字符组成.
subnet-01说明当前在部分区域中,子网已从虚拟私有云中解耦,解耦后子网拥有独立入口.
未解耦:在虚拟私有云详情页的"子网"页签,可对子网进行操作.
本小节的操作步骤指导以此入口为例.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"子网",可对子网进行操作.
操作步骤在子网列表页,按标签的键或值搜索目标子网.
1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
选择"网络>虚拟私有云".
4.
在左侧导航栏单击"虚拟私有云".
5.
在虚拟私有云列表中,单击待查询子网所在的虚拟私有云名称.
6.
单击子网列表右上角的"标签搜索",展开查询页.
7.
输入待查询子网的标签值.
键和值均不能为空,当键和值全匹配时,系统可以自动查询到目标子网.
8.
单击"+",添加输入的标签值.
系统支持添加多个标签值,并取各个标签值的交集,对目标子网进行搜索.
9.
单击"搜索".
系统根据标签的键和值搜索目标子网.
在子网的标签页,执行标签的增、删、改、查操作.
1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
选择"网络>虚拟私有云".
4.
在左侧导航栏单击"虚拟私有云".
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司185.
在虚拟私有云列表中,单击待查询子网所在的虚拟私有云名称.
6.
单击待管理的子网名称.
7.
在子网详情页面,选择"标签"页签,对子网的标签执行增、删、改、查.
–查看在"标签"页,可以查看当前子网的标签详情,包括标签个数,以及每个标签的键和值.
–添加单击左上角的"添加标签",在弹出的"添加标签"窗口,输入新添加标签的键和值,并单击"确定".
–修改单击标签所在行"操作"列下的"编辑",在弹出的"编辑标签"窗口,输入修改后标签的键和值,并单击"确定".
–删除单击标签所在行"操作"列下的"删除",如果确认删除,在弹出的"删除标签"窗口,单击"是".
1.
4IPv4/IPv6双栈网络简介IPv4/IPv6双栈可为您的实例(例如:ECS)提供两个不同版本的IP地址:IPv4地址和IPv6地址,这两个IP地址都可以进行内网/公网访问.
通过IPv4私网地址在ECS之间进行内网访问.
通过IPv4私网地址绑定弹性公网IP的方式访问互联网.
通过IPv6地址在双栈ECS之间进行内网访问(同VPC).
通过IPv6地址与互联网上的IPv6网络进行访问.
应用场景如果您的应用需要为使用IPv6终端的用户提供访问服务,则您可使用:IPv6弹性公网IP或IPv6双栈.
如果您的应用既需要为使用IPv6终端的用户提供访问服务,又需要对这些访问来源进行数据分析处理,则您必须使用IPv6双栈.
如果您的应用系统与其他系统(例如:数据库系统)、应用系统之间需要使用IPv6进行内网访问,则您必须使用IPv6双栈.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司19基本操作说明IPv4/IPv6双栈网络的基本操作与之前的IPv4网络相同.
只有部分页面的配置参数会略有差异,具体请以管理控制台显示为准.
IPv6双栈,当前暂不收费,后续定价会根据运营商收费策略的变化进行调整.
只有选择如下类型的ECS才能体验IPv6双栈,请务必选择支持的区域和规格.
"华北-北京四"区域的"可用区2"下,选择sn3规格.
"华北-北京四"区域的"可用区7"下,选择s6、c6、kc1规格.
"华东-上海一"区域的"可用区1"下,选择s6、c6s、c6、m6、c3、m3规格.
"华东-上海一"区域的"可用区2"下,选择c6、m6、c3规格.
"华东-上海一"区域的"可用区3"下,选择c6s、c6规格.
"西南-贵阳一"区域的"可用区1"下,选择s6、c6s、c6、m6规格.
"亚太-香港"区域的"可用区1"下,选择c6规格.
"亚太-香港"区域的"可用区2"下,选择c6规格.
创建IPv6子网参考为虚拟私有云创建新的子网创建子网,勾选"开启IPv6",将自动为子网分配IPv6网段.
该功能一旦开启,将不能关闭.
暂不支持自定义设置IPv6网段.
图1-5创建IPv6子网查看已使用IPv6地址在子网列表中单击子网名称,在"已用IP地址"页签可以查看已经使用的IPv4地址和IPv6地址.
添加IPv6安全组规则参考添加安全组规则添加安全组规则,类型选择"IPv6",源地址或目的地址填写IPv6地址.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司20图1-6添加IPv6安全组规则添加IPv6网络ACL规则参考添加网络ACL规则添加网络ACL规则,类型选择"IPv6",源地址或目的地址填写IPv6地址.
图1-7添加IPv6网络ACL规则购买IPv6弹性公网IP您可以购买IPv6弹性公网IP,或者将已有IPv4弹性公网IP转换为IPv6弹性公网IP,详情请参见IPv6弹性公网IP.
添加IPv6弹性公网IP/IPv6双栈网卡到共享带宽参考添加弹性公网IP到共享带宽将IPv6弹性公网IP、IPv6双栈网卡添加到共享带宽.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司21图1-8添加IPv6双栈网卡到共享带宽添加IPv6自定义路由参考添加自定义路由添加自定义路由,其中目的地址和下一跳地址可以配置IPv4网段或IPv6网段.
如果目的地址是IPv6网段,则下一跳地址暂时只能使用同一VPC内的地址.
说明路由的目的地址为IPv6网段时,对应下一跳类型仅支持ECS实例、扩展网卡、虚拟IP,同时下一跳资源具备IPv6地址.
图1-9添加路由申请IPv6虚拟IP地址参考申请虚拟IP地址申请虚拟IP地址,其中IP类型可以选择"IPv4"或"IPv6".
当前该功能仅在"华东-上海一"支持.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司22图1-10申请虚拟IP地址说明IPv6的虚拟IP仅支持绑定一个网卡(双栈网卡),如需进行服务器的主备切换,请通过调用API方式.
具体请参考配置云服务器高可用的IPv6虚拟IP功能.
动态获取IPv6地址购买的IPv6双栈ECS实例后,您可以在ECS详情页查看自动分配的IPv6地址,也可以登录到ECS,通过ifconfig查看分配的IPv6地址.
如果自动分配IPv6地址失败,或者您选的其他镜像不支持自动分配IPv6地址,请参考"动态获取IPv6地址",手动获取IPv6地址.
说明如果云服务器使用的是公共镜像,则支持情况如下:Windows公共镜像默认已开启IPv6动态获取功能,无需配置.
Linux公共镜像开启动态获取IPv6功能时,需要先判断是否支持IPv6协议栈,再判断是否已开启动态获取IPv6.
目前,所有Linux公共镜像均已支持IPv6协议栈,并且Ubuntu16操作系统已默认开启动态获取IPv6.
即Ubuntu16操作系统无需配置,其他Linux公共镜像需要执行开启动态获取IPv6的操作.
虚拟私有云用户指南1虚拟私有云和子网文档版本48(2021-03-05)版权所有华为技术有限公司232安全性2.
1安全组2.
1.
1安全组简介安全组安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略.
安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护.
系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问.
默认安全组您可以直接使用,详情请参见默认安全组和规则.
您也可以根据需要创建自定义的安全组,请参见创建安全组.
安全组基本信息服务器及扩展网卡等实例可以关联一个或多个安全组.
您可以更改与服务器、扩展网卡等实例关联的安全组.
默认情况下创建实例时,除非您指定了其他安全组,否则实例与VPC的默认安全组关联.
如果您创建了放通同安全组的安全组规则,则允许安全组内实例互相访问.
对于IPv4类型的地址,安全组只支持加入32位前缀的地址,对于IPv6类型的地址,安全组只支持加入128位前缀的地址.
具体如何更改实例安全组,请参见2.
1.
12实例加入/移出安全组.
安全组是有状态的.
如果您从实例发送一个出站请求,且该安全组的出站规则是放通的话,那么无论其入站规则如何,都将允许该出站请求的响应流量流入.
同理,如果该安全组的入站规则是放通的,那无论出站规则如何,都将允许入站请求的响应流量可以出站.
安全组使用连接跟踪来跟踪有关进出实例的流量信息,将基于流量的连接状态应用规则以确定允许还是拒绝流量.
在安全组规则增加、删除、更新时,或者该安全组下实例创建、删除时,会自动清除该安全组下所有实例入方向的连接跟踪,此时,流入或流出实例的流量会被当做新的连接,需要重新匹配相应入方向或出方向的安全组规则,以保证规则能立即生效,从而保障流入实例的流量的安全.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司24除此以外,流入或流出实例的流量如果长时间没有报文,超过连接跟踪老化时间以后也会被当做新的连接需要重新匹配出、入方向规则.
不同协议的连接跟踪老化时间不同,已建立连接状态的TCP协议连接老化时间是600s,ICMP协议老化时间是30s.
对于其他协议,如果两个方向都收到了报文,连接老化时间是180s,如果只是单方向收到了一个或多个包,另一个方向没有收到包时,老化时间是30s.
对于除TCP、UDP或ICMP以外的协议,仅跟踪IP地址和协议编号.
说明安全组需在网络互通的情况下生效.
若实例属于不同VPC,但同属于一个安全组,此时实例不能互通.
您可以使用对等连接等产品建立VPC连接互通,安全组才能对不同VPC内实例的流量进行访问控制.
VPC连接请参见应用场景.
安全组规则安全组创建后,您可以在安全组中设置出方向、入方向规则,这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制,当云服务器加入该安全组后,即受到这些访问规则的保护.
安全组规则包括如下组成部分:来源:源数据(入方向)或目标数据(出方向)的IP.
协议类型和协议端口:包括协议类型和协议端口,协议类型如TCP、UDP、HTTP等.
源地址:可以是IP地址、安全组、IP地址组.
类型:IP地址类型.
开通IPv6功能后可见.
描述:安全组规则的描述信息.
每个安全组都自带默认安全组规则,详情请参见默认安全组Sys-default规则.
您也可以自定义添加安全组规则,请参见添加安全组规则.
安全组模板新建安全组时,您可以选择系统为您提供的三种安全组模版,方便您快速创建安全组.
通用Web服务器:默认放通22、3389、80、443端口和ICMP协议.
开放全部端口:开放全部端口有一定安全风险,请谨慎选择.
自定义:入方向不放通任何端口,您可在安全组创建后根据实际访问需求添加或修改安全组规则.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司25安全组配置流程图2-1安全组配置流程安全组的限制默认情况下,一个用户可以创建100个安全组.
默认情况下,一个安全组最多只允许拥有50条安全组规则.
默认情况下,一个云服务器或扩展网卡最多只能被添加到5个安全组中.
云服务器或扩展网卡绑定多个安全组时,安全组规则先根据绑定安全组的顺序生效,再根据组内规则的优先级生效(安全组规则优先级目前仅在"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持).
安全组添加实例时,一次最多可添加20个实例.
一个安全组最多允许关联1000个实例.
当安全组规则配置为以下情况时,不支持针对下列类型的云服务器生效.
表2-1安全组规则限制安全组规则不支持的云服务器类型策略选择"拒绝"X86计算型,具体规格请参见规格清单(X86)通用计算型(S1型、C1型、C2型)内存优化型(M1型)高性能计算型(H1型)磁盘增强型(D1型)虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司26安全组规则不支持的云服务器类型源/目的地址为"IP地址组"GPU加速型(G1型、G2型)超大内存型(E1型、E2型、ET2型)协议端口配置为不连续端口号X86计算型,具体规格请参见规格清单(X86)通用计算型(S1型、C1型、C2型)内存优化型(M1型)高性能计算型(H1型)磁盘增强型(D1型)GPU加速型(G1型、G2型)超大内存型(E1型、E2型、ET2型)鲲鹏计算型,具体规格请参见规格清单(鲲鹏)实践建议使用安全组时:不建议使用一个安全组管理所有应用,不同业务场景有不同的隔离需求.
推荐您针对不同的业务规划不同的安全组,并设置不同的安全组规则.
不建议为每个实例单独设置一个安全组,您只需将具有相同安全保护需求的实例加入同一安全组.
添加安全组规则时:建议您设置简洁的安全组规则.
如果您给一个实例关联了多个安全组,该实例很可能会同时遵循数百条安全组规则,任何规则变更都可能引起网络不通.
如果您想要修改线上的安全组和规则,建议您先克隆一个安全组,再在克隆的安全组上进行调试,避免直接影响线上应用.
详情请参见克隆安全组.
为应用添加安全组规则时遵循最小授权原则.
例如,您可以:–选择开放具体的端口,如22.
不建议设置为端口范围,如22-30.
–添加安全组规则时,谨慎放通0.
0.
0.
0/0(全网段)的流量.
2.
1.
2默认安全组和规则系统会为每个用户默认创建一个Sys-default安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问.
如图2-2所示.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司27图2-2默认安全组说明您无法删除默认安全组,但可以修改默认安全组的规则.
安全组需在网络互通的情况下生效.
若实例属于不同VPC,但同属于一个安全组,此时实例不能互通.
您可以使用对等连接等产品建立VPC连接互通,安全组才能对不同VPC内实例的流量进行访问控制.
VPC连接请参见应用场景.
默认安全组Sys-default规则如表2-2所示:表2-2默认安全组Sys-default规则方向协议端口范围目的地址/源地址说明出方向全部全部目的地址:0.
0.
0.
0/0允许所有出站流量的数据报文通过.
入方向全部全部源地址:当前安全组(例如:sg-xxxxx)仅允许安全组内的云服务器彼此通信,丢弃其他入站流量的全部数据报文.
入方向TCP22源地址:0.
0.
0.
0/0允许所有IP地址通过SSH远程连接到Linux云服务器.
入方向TCP3389源地址:0.
0.
0.
0/0允许所有IP地址通过RDP远程连接到Windows云服务器.
2.
1.
3安全组配置示例介绍常见的安全组配置示例.
如下示例中,出方向默认全通,仅介绍入方向规则配置方法.
允许外部访问指定端口不同安全组内的弹性云服务器内网互通仅允许特定IP地址远程连接弹性云服务器SSH远程连接Linux弹性云服务器RDP远程连接Windows弹性云服务器公网pingECS弹性云服务器虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司28弹性云服务器作Web服务器弹性云服务器作DNS服务器使用FTP上传或下载文件您需要提前准备好安全组,可以是默认的安全组,也可以是自定义创建的安全组,具体操作请参见创建安全组、添加安全组规则.
常用端口介绍请参见弹性云服务器常用端口.
允许外部访问指定端口场景举例:部署业务之后,为了让指定业务端口(例如:1100)可以被外部访问,您可以添加安全组规则.
安全组配置方法:方向协议/应用端口源地址入方向TCP11000.
0.
0.
0/0不同安全组内的弹性云服务器内网互通场景举例:在同一个VPC内,用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时,用户可以将两台弹性云服务器设置为内网互通后再拷贝资源.
安全组配置方法:同一个VPC内,在同一个安全组内的弹性云服务器默认互通.
但是,在不同安全组内的弹性云服务器默认无法通信,此时需要添加安全组规则,使得不同安全组内的弹性云服务器内网互通.
在两台弹性云服务器所在安全组中分别添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通,安全组规则如下所示.
方向协议/应用端口源地址入方向设置内网互通时使用的协议类型设置端口范围另一个安全组的ID仅允许特定IP地址远程连接弹性云服务器场景举例:为了防止弹性云服务器被网络攻击,用户可以修改远程登录端口号,并设置安全组规则只允许特定的IP地址远程登录到弹性云服务器.
安全组配置方法:以仅允许特定IP地址(例如,192.
168.
20.
2)通过SSH协议访问Linux操作系统的弹性云服务器的22端口为例,安全组规则如下所示.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司29方向协议/应用端口源地址入方向SSH(22)22IPv4CIDR或者另一个安全组的ID.
例如:192.
168.
20.
2/32SSH远程连接Linux弹性云服务器场景举例:创建Linux弹性云服务器后,为了通过SSH远程连接到弹性云服务器,您可以添加安全组规则.
说明默认安全组中已经配置了该条规则,如您使用默认安全组,无需重复配置.
安全组配置方法:方向协议/应用端口源地址入方向SSH(22)220.
0.
0.
0/0RDP远程连接Windows弹性云服务器场景举例:创建Windows弹性云服务器后,为了通过RDP远程连接弹性云服务器,您可以添加安全组规则.
说明默认安全组中已经配置了该条规则,如您使用默认安全组,无需重复配置.
安全组配置方法:方向协议/应用端口源地址入方向RDP(3389)33890.
0.
0.
0/0公网pingECS弹性云服务器场景举例:创建弹性云服务器后,为了使用ping程序测试弹性云服务器之间的通讯状况,您需要添加安全组规则.
安全组配置方法:方向协议/应用端口源地址入方向ICMP全部0.
0.
0.
0/0虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司30弹性云服务器作Web服务器场景举例:如果您在弹性云服务器上部署了网站,即弹性云服务器作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在弹性云服务器所在安全组中添加以下安全组规则.
安全组配置方法:方向协议/应用端口源地址入方向HTTP(80)800.
0.
0.
0/0入方向HTTPS(443)4430.
0.
0.
0/0弹性云服务器作DNS服务器场景举例:如果您将弹性云服务器设置为DNS服务器,则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器.
您需要在弹性云服务器所在安全组中添加以下安全组规则.
安全组配置方法:方向协议/应用端口源地址入方向TCP530.
0.
0.
0/0入方向UDP530.
0.
0.
0/0使用FTP上传或下载文件场景举例:如果您需要使用FTP软件向弹性云服务器上传或下载文件,您需要添加安全组规则.
说明您需要在弹性云服务器上先安装FTP服务器程序,再查看20、21端口是否正常工作.
安装FTP服务器的操作请参见搭建FTP站点(Windows)、搭建FTP站点(Linux).
安全组配置方法:方向协议/应用端口源地址入方向TCP20-210.
0.
0.
0/0多场景组合在实际的应用场景中,可能需要根据业务需求配置多个安全组规则.
弹性云服务器的访问规则先根据绑定安全组的顺序,再根据组内规则的优先级生效(安全组规则优先级目前仅在"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持),使用多个安全组可能会影响弹性云服务器的网络性能,建议您选择安全组的数量不多于5个.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司312.
1.
4创建安全组操作场景通过创建安全组,您可以将VPC中的云服务器划分成不同的安全域,以提升云服务器访问的安全性.
建议您将不同公网访问策略的云服务器划分到不同的安全组.
每台云服务器必须至少属于一个安全组.
在您创建云服务器时,如果您还未创建过安全组,系统会为您提供一个默认安全组Sys-default,默认安全组规则请参见默认安全组和规则.
如果您不希望云服务器加入默认安全组,您可以自行创建安全组并定义安全组中的规则.
本文指导您在云服务器控制台上创建一个安全组.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在"安全组"界面,单击"创建安全组".
6.
在"创建安全组"界面,根据界面提示配置参数,参数说明参考表2-3.
图2-3创建安全组虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司32表2-3参数说明参数参数说明取值样例模板模板自带安全组规则,方便您快速创建安全组.
提供如下几种模板:自定义:用户自定义安全组规则.
通用Web服务器:默认放通22、3389、80、443端口和ICMP协议.
开放全部端口:开放全部端口有一定安全风险,请谨慎选择.
通用Web服务器名称安全组的名称,必填项.
安全组的名称只能由中文、英文字母、数字、"_"、"-"和".
"组成,且不能有空格,长度不能大于64个字符.
说明安全组名称创建后可以修改,建议不要重名.
sg-318b企业项目创建安全组时,可以将安全组加入已启用的企业项目.
企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default.
关于创建和管理企业项目的详情,请参见《企业管理用户指南》.
default描述安全组的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-7.
单击"确定".
相关操作您可以通过添加安全组规则,对安全组内部的云服务器出入方向网络流量进行访问控制.
具体操作,请参见添加安全组规则.
每台云服务器至少属于一个安全组,您可以根据业务需要,将云服务器加入一个或多个安全组.
具体操作,请参见实例加入/移出安全组.
2.
1.
5添加安全组规则操作场景安全组创建后,您可以在安全组中设置出方向、入方向规则,这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制,当云服务器加入该安全组后,即受到这些访问规则的保护.
入方向:指从外部访问安全组规则下的弹性云服务器.
出方向:指安全组规则下的弹性云服务器访问安全组外的实例.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司33默认安全组规则请参见默认安全组和规则.
常用的安全组规则配置示例请参见安全组配置示例.
前提条件已有创建的安全组.
创建安全组请参见创建安全组.
已规划好云服务器等实例需要允许或禁止哪些公网或内网的访问.
更多有关安全组规则设置的应用示例,请参见安全组配置示例.
约束与限制安全组规则目前仅在"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持拒绝策略、不连续端口号、配置优先级.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在安全组界面,单击操作列的"配置规则",进入安全组详情界面.
6.
在入方向规则页签,单击"添加规则",添加入方向规则.
单击"+"可以依次增加多条入方向规则.
图2-4添加入方向规则表2-4入方向参数说明参数说明取值样例优先级安全组规则优先级.
目前仅"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持.
优先级可选范围为1-100,默认值为1,即最高优先级.
优先级数字越小,规则优先级级别越高.
1虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司34参数说明取值样例策略安全组规则策略.
目前仅"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持.
允许:允许该入方向规则访问安全组内云服务器.
拒绝:拒绝该入方向规则访问安全组内云服务器.
允许协议端口网络协议.
目前支持"All"、"TCP"、"UDP"、"ICMP"和"GRE"等协议.
TCP端口:允许远端地址访问弹性云服务器指定端口,取值范围为:1~65535.
常用端口请参见弹性云服务器常用端口.
端口填写包括以下形式:单个端口:例如22连续端口:例如22-30多个端口:例如22,23-30,一次最多支持20个不连续端口组,端口组之间不能重复.
目前仅"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持.
全部端口:为空或1-6553522或22-30或20,22-30类型IP地址类型.
开通IPv6功能后可见.
IPv4IPv6IPv4源地址源地址:可以是IP地址、安全组、IP地址组.
用于放通来自IP地址或另一安全组内的实例的访问.
例如:单个IP地址:192.
168.
10.
10/32(IPv4地址);2002:50::44/127(IPv6地址)IP地址段:192.
168.
1.
0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)所有IP地址:0.
0.
0.
0/0(IPv4任意地址);::/0(IPv6任意地址)安全组:sg-abcIP地址组:ipGroup-test更多IP地址组信息,请参见IP地址组.
0.
0.
0.
0/0描述安全组规则的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-7.
在出方向规则页签,单击"添加规则",添加出方向规则.
单击"+"可以依次增加多条出方向规则.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司35图2-5添加出方向规则表2-5出方向参数说明参数说明取值样例优先级安全组规则优先级.
目前仅"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持.
优先级可选范围为1-100,默认值为1,即最高优先级.
优先级数字越小,规则优先级级别越高.
1策略安全组规则策略.
目前仅"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持.
允许:允许安全组内的服务器按照该出方向规则进行出网访问拒绝:拒绝安全组内的服务器按照该出方向规则进行出网访问.
允许协议端口网络协议.
目前支持"All"、"TCP"、"UDP"、"ICMP"和"GRE"等协议.
TCP端口:允许弹性云服务器访问远端地址的指定端口,取值范围为:1~65535.
常用端口请参见弹性云服务器常用端口.
端口填写包括以下形式:单个端口:例如22连续端口:例如22-30多个端口:例如22,23-30,一次最多支持20个不连续端口组,端口组之间不能重复.
目前仅"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持.
全部端口:为空或1-6553522或22-30或20,22-30类型IP地址类型.
开通IPv6功能后可见.
IPv4IPv6IPv4虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司36参数说明取值样例目的地址目的地址:可以是IP地址、安全组、IP地址组.
允许访问目的IP地址或另一安全组内的实例.
例如:单个IP地址:192.
168.
10.
10/32(IPv4地址);2002:50::44/127(IPv6地址)IP地址段:192.
168.
1.
0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)所有IP地址:0.
0.
0.
0/0(IPv4任意地址);::/0(IPv6任意地址)安全组:sg-abcIP地址组:ipGroup-test更多IP地址组信息,请参见IP地址组.
0.
0.
0.
0/0描述安全组规则的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-8.
单击"确定".
结果验证安全组规则配置完成后,我们需要验证对应的规则是否生效.
假设您在弹性云服务器上部署了网站,希望用户能通过TCP(80端口)访问到您的网站,您添加了一条入方向规则,如表2-6所示.
表2-6安全组规则方向协议/应用端口源地址入方向TCP800.
0.
0.
0/0Linux弹性云服务器Linux弹性云服务器上验证该安全组规则是否生效的步骤如下所示.
1.
登录弹性云服务器.
2.
运行如下命令查看TCP80端口是否被监听.
netstat-an|grep80如果返回结果如图2-6所示,说明TCP80端口已开通.
图2-6LinuxTCP80端口验证结果3.
在浏览器地址栏里输入"http://弹性云服务器的弹性公网IP地址".
如果访问成功,说明安全组规则已经生效.
Windows弹性云服务器虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司37Windows弹性云服务器上验证该安全组规则是否生效的步骤如下所示.
1.
登录弹性云服务器.
2.
选择"开始>>命令提示符".
3.
运行如下命令查看TCP80端口是否被监听.
netstat-an|findstr80如果返回结果如图2-7所示,说明TCP80端口已开通.
图2-7WindowsTCP80端口验证结果4.
在浏览器地址栏里输入"http://弹性云服务器的弹性公网IP地址".
如果访问成功,说明安全组规则已经生效.
相关操作一键放通一键放通功能适用于无需设置ICMP协议规则,并通过22,3389,ICMP,80,443,20,21端口便能完成操作的场景.
图2-8一键放通安全组规则相关常见问题安全组规则除描述字段外,其他字段均相同,是否算作相同的安全组规则多通道协议相关的安全组配置方式是什么2.
1.
6快速添加多条安全组规则操作场景系统提供了部分常用的协议端口,您可以一次性添加多条不同协议端口的安全组规则,满足您快速添加安全组规则的需求.
操作步骤1.
登录管理控制台.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司382.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在安全组界面,单击操作列的"配置规则",进入安全组详情界面.
6.
在入方向规则页签,单击"快速添加规则",同时添加多条不同协议端口的安全组入方向规则.
图2-9快速添加入方向规则7.
在出方向规则页签,单击"快速添加规则",同时添加多条不同协议端口的安全组出方向规则.
图2-10快速添加出方向规则8.
单击"确定".
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司392.
1.
7复制安全组规则操作场景复制已有的安全组规则,然后生成一条新的安全组规则.
复制时,支持自定义修改规则.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在"安全组"界面,单击安全组名,进入安全组详情界面.
6.
找到需要复制的安全组规则,单击规则所在行的"复制".
您可以根据需要修改安全组规则,然后快速生成一条新的安全组规则.
7.
单击"确定".
2.
1.
8修改安全组规则操作场景安全组规则设置不当会造成严重的安全隐患,例如安全组规则对特定端口的访问不做限制.
您可以通过修改安全组中不合理的安全组规则,保证云服务器等实例的网络安全.
您可以修改安全组规则的端口号、协议、IP地址等.
前提条件已创建安全组,并已在该安全组中添加了安全组规则.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在"安全组"界面,单击安全组名,进入安全组详情界面.
6.
找到您想修改的安全组规则,单击规则所在行的"修改".
7.
修改规则,单击"确认".
2.
1.
9删除安全组规则操作场景当安全组规则入方向、出方向源地址/目的地址有变化时,可以通过先删除安全组规则、之后重新添加安全组规则的方式进行安全组规则的更新.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司40说明由于安全组规则是白名单规则,因此删除安全组规则后,可能会导致弹性云服务器的网络访问出现异常,请谨慎操作.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在"安全组"界面,单击安全组名,进入安全组详情界面.
6.
当不需要安全组规则时,单击规则所在行的"删除".
7.
单击"是".
批量删除多条安全组规则您还可以同时勾选多条安全组规则,单击列表上方的"删除",批量删除多条安全组规则.
2.
1.
10导入/导出安全组规则操作场景如果您想快速创建或恢复安全组规则.
可以将导出的安全组规则文件导入到安全组中.
如果您想在本地备份安全组规则,可以将安全组下的安全组规则导出,安全组的出方向、入方向规则导出为Excel格式的文件.
如果您想将某个安全组的规则快速应用到另外一个安全组,或者批量修改当前安全组的规则,可以使用安全组规则的导入/导出功能来实现.
约束与限制导出修改时,只能基于模板已有字段进行内容修改,不能新增字段和修改字段名称,否则会导入失败.
导入安全组规则时,若源地址类型为IP地址组时,需确保IP地址组已存在且名称与ID正确,格式示例:ipGroup-zy[2b5213cb-0f41-4d0b-bed9-b6340bf51017]当存在重复安全组规则时,无法导入.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在"安全组"界面,单击安全组名,进入安全组详情界面.
6.
导出/导入安全组规则.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司41–单击,将当前安全组规则导出为Excel文件.
–单击,将Excel文件中的安全组规则导入到当前安全组.
2.
1.
11删除安全组操作场景当安全组未被弹性云服务器使用、释放资源时,可以删除安全组.
约束与限制系统自带的默认安全组不能删除.
当安全组被除服务器和扩展网卡之外的资源关联时,此安全组无法删除.
前提条件删除安全组前,需要确认安全组未被云资源(如ECS、RDS、DCS等)使用.
如果安全组被云资源使用,请先释放对应云资源或者修改云资源使用的安全组,然后再尝试删除安全组.
删除安全组时,若该安全组被另一个安全组规则关联("源地址"选择为该安全组),需先删除或修改关联的安全组规则,然后再尝试删除该安全组.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在"安全组"界面待删除的安全组所在行,选择"更多>删除".
6.
单击"是".
2.
1.
12实例加入/移出安全组操作场景当您创建好安全组后,可以将弹性云服务器、扩展网卡等实例加入到该安全组,使这些实例受到安全组的保护.
当您不需要时,也可以从该安全组移出对应实例.
支持批量添加、移出操作.
加入安全组1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司425.
在安全组界面,单击操作列的"管理实例".
6.
在"服务器"页签,单击"添加",将一个或多个服务器加入到当前安全组中.
7.
在"扩展网卡"页签,单击"添加",将一个或多个扩展网卡加入到当前安全组中.
8.
单击"确定".
移出安全组说明云服务器等实例已加入两个或两个以上安全组.
被移出的实例和安全组内其他实例间的网络不再互通,建议您在操作前充分测试,确保移出实例后业务可以正常运行.
1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在安全组界面,单击操作列的"管理实例".
6.
在"服务器"页签,找到需要移出的服务器,单击操作列的"移出",将服务器从当前安全组中移出.
7.
在"扩展网卡"页签,找到需要移出的扩展网卡,单击操作列的"移出",将扩展网卡从当前安全组中移出.
8.
单击"确定".
批量移出安全组同时勾选多个服务器,单击列表上方的"移出",将多个服务器从当前安全组中全部移出.
同时勾选多个扩展网卡,单击列表上方的"移出",将多个扩展网卡从当前安全组中全部移出.
相关操作您可以根据业务需要,将云服务器等实例的原安全组替换为其他安全组.
具体操作,请参见变更弹性云服务器的安全组.
如果您的业务不再需要一个或多个安全组,您可以删除安全组.
安全组删除后,该安全组内所有安全组规则将同时被删除.
具体操作,请参见删除安全组.
2.
1.
13克隆安全组操作场景支持跨区域克隆安全组,方便将相同的安全组规则快速应用到不同区域的弹性云服务器上.
当您满足如下场景时,您可以使用克隆安全组功能.
假设您在区域A创建了一个安全组sg-A,此时您需要对区域B里的弹性云服务器使用与sg-A完全相同的规则,您可以直接将sg-A克隆到区域B,而不需要在区域B创建新的安全组.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司43如果您的业务需要执行一个新的安全组规则,您可以克隆原来的安全组作为备份.
约束与限制跨区域克隆安全组时,仅支持克隆源/目的地址是IP地址网段、本安全组的规则,不支持克隆源/目的地址是IP地址组的规则.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在安全组界面,单击操作列的"更多>克隆".
6.
根据提示,填写相关信息,单击"确定".
在对应区域的安全组列表中,查看克隆成功的安全组.
2.
1.
14修改安全组名称操作场景修改已创建的安全组的名称、描述.
操作步骤方法一:1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在安全组界面,单击操作列的"更多>修改".
6.
根据提示,修改安全组的名称、描述信息.
7.
单击"确定".
方法二:1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航树选择"访问控制>安全组".
5.
在"安全组"界面,单击安全组名,进入安全组详情界面.
6.
在详情页面,单击"名称"后的,编辑安全组名称.
7.
单击"√",保存安全组名称.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司448.
单击"描述"后的,编辑安全组说明内容.
9.
单击"√",保存安全组描述.
2.
1.
15查看弹性云服务器的安全组操作场景查看弹性云服务器所属的安全组出方向、入方向的规则详情.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
选择"计算>弹性云服务器".
4.
在弹性云服务器列表中,单击弹性云服务器名称.
5.
选择"安全组"页签,查看弹性云服务器所属的安全组详情.
2.
1.
16变更弹性云服务器的安全组操作场景变更弹性云服务器网卡所属的安全组.
操作步骤1.
登录管理控制台.
2.
选择"计算>弹性云服务器".
3.
在弹性云服务器列表中,单击"操作"列下的"更多>网络设置>更改安全组".
系统弹窗显示"更改安全组"页面.
图2-11更改安全组虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司454.
根据界面提示,在下拉列表中选择待更改安全组的网卡,并重新选择安全组.
您可以同时勾选多个安全组,弹性云服务器的访问规则先根据绑定安全组的顺序,再根据组内规则的优先级生效(安全组规则优先级目前仅在"华东-上海一"支持).
如需创建新的安全组,请单击"新建安全组".
说明使用多个安全组可能会影响弹性云服务器的网络性能,建议您选择安全组的数量不多于5个.
5.
单击"确定".
2.
1.
17弹性云服务器常用端口添加安全组规则时,您必须指定通信端口或端口范围.
当安全组检测到外部访问请求时,会同时检查入方向上发送请求的设备的IP地址及端口是否在允许放行的安全组规则中,只有匹配到的安全组规则允许放行该请求时,才可以建立数据通信.
弹性云服务器常用端口如表1所示.
您可以通过配置安全组规则放通弹性云服务器对应的端口,详情请参见添加安全组规则.
关于Windows下更多的服务应用端口说明,请参考微软官方文档:Windows的服务概述和网络端口要求.
表2-7弹性云服务器常用端口协议端口说明FTP21FTP服务上传和下载文件.
SSH22远程连接Linux弹性云服务器.
Telnet23使用Telnet协议远程登录弹性云服务器.
SMTP25SMTP服务器所开放的端口,用于发送邮件.
基于安全考虑,TCP25端口出方向默认被封禁,申请解封请参考TCP25端口出方向无法访问时怎么办.
HTTP80使用HTTP协议访问网站.
POP3110使用POP3协议接收邮件.
IMAP143使用IMAP协议接收邮件.
HTTPS443使用HTTPS服务访问网站.
SQLServer1433SQLServer的TCP端口,用于供SQLServer对外提供服务.
SQLServer1434SQLServer的UDP端口,用于返回SQLServer使用了哪个TCP/IP端口.
Oracle1521Oracle通信端口,弹性云服务器上部署了OracleSQL需要放行的端口.
MySQL3306MySQL数据库对外提供服务的端口.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司46协议端口说明WindowsServerRemoteDesktopServices3389Windows远程桌面服务端口,通过这个端口可以连接Windows弹性云服务器.
代理80808080端口常用于WWW代理服务,实现网页浏览.
如果您使用了8080端口,访问网站或使用代理服务器时,需要在IP地址后面加上:8080.
安装ApacheTomcat服务后,默认服务端口为8080.
NetBIOS137、138、139NetBIOS协议常被用于Windows文件、打印机共享和Samba.
137、138:UDP端口,通过网上邻居传输文件时使用的端口.
139:通过这个端口进入的连接试图获得NetBIOS/SMB服务.
无法访问公有云某些端口问题现象:访问公有云特定端口,在部分地区部分运营商无法访问,而其它端口访问正常.
问题分析:部分运营商判断如下表的端口为高危端口,默认被屏蔽.
表2-8高危端口协议端口TCP421351371381394444455931025106814343127312831293130444447895554580059009996UDP135~139102610271028106814331434478955549996解决方案:建议您修改敏感端口为其它非高危端口来承载业务.
2.
2网络ACL2.
2.
1网络ACL简介网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流.
如图2-12所示.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司47图2-12安全组与网络ACL网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以启用网络ACL.
安全组对弹性云服务器进行防护,网络ACL对子网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制.
网络ACL与安全组的详细区别请参见安全组与网络ACL区别.
网络ACL基本信息您的VPC默认没有网络ACL.
当您需要时,可以创建自定义的网络ACL并将其与子网关联.
关联子网后,网络ACL默认拒绝所有出入子网的流量,直至添加放通规则.
网络ACL可以关联多个子网,但一个子网同一时间只能关联一个网络ACL.
每个新创建的网络ACL最初都为未激活状态,直至您关联子网为止.
网络ACL是有状态的.
如果您发送一个出站请求,且该网络ACL的出站规则是放通的话,那么无论其入站规则如何,都将允许该出站请求的响应流量流入.
同理,如果您发送一个入站请求,且该网络ACL的入站规则是放通的,那无论出站规则如何,都将允许该入站请求的响应流量可以出站.
不同协议的连接跟踪老化时间不同,已建立连接状态的TCP协议连接老化时间是600s,ICMP协议老化时间是30s.
对于其他协议,如果两个方向都收到了报文,连接老化时间是180s,如果只是单方向收到了一个或多个包,另一个方向没有收到包时,老化时间是30s.
对于除TCP、UDP或ICMP以外的协议,仅跟踪IP地址和协议编号.
网络ACL默认规则每个网络ACL都包含一组默认规则,如下所示:虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司48默认放通同一子网内的流量.
默认放通目的IP地址为255.
255.
255.
255/32的广播报文.
用于配置主机的启动信息.
默认放通目的网段为224.
0.
0.
0/24的组播报文.
供路由协议使用.
默认放通目的IP地址为169.
254.
169.
254/32,TCP端口为80的metadata报文.
用于获取元数据.
默认放通公共服务预留网段资源的报文,例如目的网段为100.
125.
0.
0/16的报文.
除上述默认放通的流量外,其余出入子网的流量全部拒绝,如表2-9所示.
该规则不能修改和删除.
表2-9网络ACL默认规则方向优先级动作协议源地址目的地址说明入方向*拒绝全部0.
0.
0.
0/00.
0.
0.
0/0拒绝所有入站流量出方向*拒绝全部0.
0.
0.
0/00.
0.
0.
0/0拒绝所有出站流量规则优先级网络ACL规则的优先级使用"优先级"值来表示,优先级的值越小,优先级越高,最先应用.
优先级的值为"*"的是默认规则,优先级最低.
多个网络ACL规则冲突,优先级高的规则生效,优先级低的不生效.
若某个规则需要优先或落后生效,可在对应规则(需要优先或落后于某个规则生效的规则)前面或后面插入此规则.
应用场景由于应用层需要对外提供服务,因此入方向规则必须放通所有地址,如何防止恶意用户的非正常访问呢解决方案:通过网络ACL添加拒绝规则,拒绝恶意IP的访问.
隔离具有漏洞的应用端口,比如WannaCry,关闭445端口解决方案:通过网络ACL添加拒绝规则,拒绝恶意协议和端口,比如TCP:445端口.
子网内的通信无防护诉求,仅有子网间的访问限制.
解决方案:通过网络ACL设置子网间的访问规则对访问频繁的应用,调整安全规则顺序,提高性能.
解决方案:网络ACL支持规则编排,可以把访问频繁的规则置顶.
网络ACL配置流程子网配置网络ACL的流程,如图2-13所示.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司49图2-13网络ACL配置流程1.
参考创建网络ACL创建网络ACL.
2.
参考添加网络ACL规则添加网络ACL规则.
3.
参考将子网和网络ACL关联将子网与网络ACL关联.
子网关联后,网络ACL将自动开启并生效.
网络ACL的限制默认情况下,一个用户可以创建200个网络ACL.
网络ACL可以关联多个子网,但一个子网同一时间只能关联一个网络ACL.
一个网络ACL单方向拥有的规则数量最好不超过20条,否则可能引起网络ACL性能下降.
导入/导出网络ACL规则时,建议您每次导入少于40条的规则,否则可能会影响性能.
导入规则是基于已有规则的增量导入,不会删除已有规则.
相同规则不允许重复导入.
2.
2.
2网络ACL配置示例介绍常见的网络ACL配置示例.
拒绝特定端口访问允许某些协议端口的访问拒绝某IP地址的访问拒绝特定端口访问在本示例中,假设要防止勒索病毒WannaCry的攻击,需要隔离具有漏洞的应用端口,例如TCP445端口.
您可以在子网层级添加网络ACL拒绝规则,拒绝所有对TCP445端口的入站访问.
网络ACL配置虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司50需要添加的入方向规则如表2-10所示.
表2-10网络ACL规则方向动作协议源地址源端口范围目的地址目的端口范围说明入方向拒绝TCP0.
0.
0.
0/01-655350.
0.
0.
0/0445拒绝所有IP地址通过TCP445端口入站访问入方向允许全部0.
0.
0.
0/01-655350.
0.
0.
0/0全部放通所有入站流量说明网络ACL默认拒绝所有入站流量,需先放通所有入站流量.
当添加了拒绝的规则,并且希望拒绝规则优先匹配时,需要将拒绝的规则放到允许规则的前面,匹配到拒绝规则的流量将会生效.
具体操作请参见修改网络ACL规则生效顺序.
允许某些协议端口的访问在本示例中,假设子网内的某个弹性云服务器做Web服务器,入方向需要放通HTTP80和HTTPS443端口,出方向全部放通.
当子网开启网络ACL时,需要同时配置网络ACL和安全组规则.
网络ACL配置需要添加的网络ACL入方向、出方向规则如表2-11所示.
表2-11网络ACL规则方向动作协议源地址源端口范围目的地址目的端口范围说明入方向允许TCP0.
0.
0.
0/01-655350.
0.
0.
0/080允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口入方向允许TCP0.
0.
0.
0/01-655350.
0.
0.
0/0443允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口出方向允许全部0.
0.
0.
0/0全部0.
0.
0.
0/0全部允许子网内所有出站流量的数据报文通过安全组配置虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司51需要添加的安全组入方向、出方向规则如表2-12所示.
表2-12安全组规则方向协议/应用端口源地址/目的地址说明入方向TCP80源地址:0.
0.
0.
0/0允许所有IP地址通过HTTP协议入站访问安全组内的弹性云服务器的80端口入方向TCP443源地址:0.
0.
0.
0/0允许所有IP地址通过HTTPS协议入站访问安全组内的弹性云服务器的443端口出方向全部全部目的地址:0.
0.
0.
0/0允许安全组内所有出站流量的数据报文通过网络ACL相当于一个额外的保护层,就算不小心配置了比较宽松的安全组规则,网络ACL规则也仅允许HTTP80和HTTPS443的访问,拒绝其他的入站访问流量.
拒绝某IP地址的访问在本示例中,假设要禁止一些异常IP的访问,例如:192.
168.
1.
102,您可以在子网层级添加网络ACL拒绝规则,拒绝192.
168.
1.
102的入站访问.
网络ACL配置需要添加的入方向规则如表2-13所示.
表2-13网络ACL规则方向动作协议源地址源端口范围目的地址目的端口范围说明入方向拒绝TCP192.
168.
1.
102/321-655350.
0.
0.
0/0全部拒绝192.
168.
1.
102对子网的访问入方向允许全部0.
0.
0.
0/01-655350.
0.
0.
0/0全部放通所有入站流量说明网络ACL默认拒绝所有入站流量,需先放通所有入站流量.
当添加了拒绝的规则,并且希望拒绝规则优先匹配时,需要将拒绝的规则放到允许规则的前面,匹配到拒绝规则的流量将会生效.
具体操作请参见修改网络ACL规则生效顺序.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司522.
2.
3创建网络ACL操作场景您可以创建自定义网络ACL.
默认情况下,创建的网络ACL没有关联子网和出入规则且处于停用状态.
每个用户默认可以创建200个网络ACL.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在页面右侧区域,单击"创建网络ACL".
6.
在"创建网络ACL"页面,根据提示,填写网络ACL参数,如图2-14所示,参数参见表2-14.
图2-14创建网络ACL表2-14参数说明参数参数说明取值样例名称网络ACL的名称,必填项.
网络ACL的名称只能由中文、英文字母、数字、下划线、中划线组成,且不能有空格,长度不能大于64个字符.
fw-92d3描述网络ACL的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含符号.
-7.
单击"确定",完成创建.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司532.
2.
4添加网络ACL规则操作场景您可根据自身网络需求,在出方向和入方向添加相应规则.
一个网络ACL单方向拥有的规则数量最好不超过20条,否则可能引起网络ACL性能下降操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在"网络ACL"列表区域,选择网络ACL的名称列,单击目标"网络ACL名称"进入网络ACL详情页面.
6.
在入方向规则或出方向规则页签,单击"添加规则",添加入方向或出方向规则.
单击"+"可以依次增加多条规则.
表2-15参数说明参数参数说明取值样例类型开通IPv6功能后可见.
网络ACL类型.
必选项,单击下拉按钮可选择.
目前支持"IPv4"和"IPv6".
IPv4策略网络ACL策略.
必选项,单击下拉按钮可选择.
目前支持"允许"和"拒绝".
允许协议网络ACL支持的协议.
必选项,单击下拉按钮可选择.
目前只支持选择TCP、UDP、全部、ICMP协议,当选择全部或者ICMP时,端口信息不可填写.
TCP源地址此方向允许的源地址.
可以是IP地址、IP地址段.
默认值为0.
0.
0.
0/0,代表支持所有的IP地址.
例如:单个IP地址:192.
168.
10.
10/32(IPv4地址);2002:50::44/127(IPv6地址)IP地址段:192.
168.
1.
0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)所有IP地址:0.
0.
0.
0/0(IPv4任意地址);::/0(IPv6任意地址)0.
0.
0.
0/0虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司54参数参数说明取值样例源端口范围源端口范围,取值范围是1~65535的数字.
表示某一范围时,两个数字必须以短划线分隔.
例如,1-100.
选择TCP或UDP协议时必须填写.
22或22-30目的地址此方向允许的目的地址.
可以是IP地址、IP地址段.
默认值为0.
0.
0.
0/0,代表支持所有的IP地址.
例如:单个IP地址:192.
168.
10.
10/32(IPv4地址);2002:50::44/127(IPv6地址)IP地址段:192.
168.
1.
0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)所有IP地址:0.
0.
0.
0/0(IPv4任意地址);::/0(IPv6任意地址)0.
0.
0.
0/0目的端口范围目的端口范围,取值范围是介于1~65535的数字.
表示某一范围时,两个数字必须以短划线分隔.
例如,1-100.
选择TCP或UDP协议时必须填写.
22或22-30描述网络ACL规则的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含符号.
-7.
单击"确定",添加网络ACL规则.
2.
2.
5将子网和网络ACL关联操作场景当用户需进行子网关联时,可进入该网络ACL详情页面的添加关联子网.
关联子网后,网络ACL默认拒绝所有出入子网的流量,直至添加放通规则.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在"网络ACL"列表区域,选择网络ACL的名称列,单击您需要关联的"网络ACL名称"进入网络ACL详情页面.
6.
在详情页面,单击"关联子网"页签.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司557.
在"关联子网"页签区域,单击"关联"按钮,弹出添加关联子网页面.
如图2-15所示.
图2-15关联子网8.
在弹出的关联子网页面,勾选需要进行关联的子网,单击"确定",完成子网关联.
说明已关联网络ACL的子网将不会展示在添加关联子网页面中,即暂不支持一键式解绑子网与关联子网操作,若用户需要关联已绑定网络ACL的子网,需要先解除绑定再进行关联.
2.
2.
6解除关联子网操作场景您可根据自身网络需求,解除网络ACL与子网关联.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在"网络ACL"列表区域,选择网络ACL的名称列,单击您需要修改的"网络ACL名称"进入网络ACL详情页面.
6.
在详情页面,单击"关联子网"页签.
7.
在"关联子网"页签详情区域,选择对应子网的"操作"列,单击"取消关联".
8.
单击"是".
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司56批量解除关联子网同时勾选多个子网,单击列表上方的"取消关联子网",将多个子网从当前网络ACL中全部移出.
2.
2.
7修改网络ACL规则生效顺序操作场景若某个规则需要优先或落后生效,可在对应规则(需要优先或落后于某个规则生效的规则)前面或后面插入此规则.
多个网络ACL规则冲突,更靠前的规则生效,优先级低的不生效.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在"网络ACL"列表区域,选择网络ACL的名称列,单击您需要修改的"网络ACL名称"进入网络ACL详情页面.
6.
在入方向规则或出方向规则页签,选择需要优先或落后生效规则的"操作"列,单击"更多>向前插规则"或"更多>向后插规则".
图2-16插入规则7.
根据弹出框提示,填写需要插入规则的参数,单击"确定"插入规则.
2.
2.
8修改网络ACL规则操作场景您可根据自身网络需求,修改出方向和入方向的规则.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在"网络ACL"列表区域,选择网络ACL的名称列,单击您需要修改的"网络ACL名称"进入网络ACL详情页面.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司576.
在入方向规则或出方向规则页签,单击"操作"列的"修改",根据界面提示修改相关参数.
参数说明参见表2-16.
表2-16参数说明参数参数说明取值样例类型开通IPv6功能后可见.
网络ACL类型.
必选项,单击下拉按钮可选择.
目前支持"IPv4"和"IPv6".
IPv4策略网络ACL策略.
必选项,单击下拉按钮可选择.
目前支持"允许"和"拒绝".
允许协议网络ACL支持的协议.
必选项,单击下拉按钮可选择.
目前只支持选择TCP、UDP、全部、ICMP协议,当选择全部或者ICMP时,端口信息不可填写.
TCP源地址此方向允许的源地址.
可以是IP地址、IP地址段.
默认值为0.
0.
0.
0/0,代表支持所有的IP地址.
例如:单个IP地址:192.
168.
10.
10/32(IPv4地址);2002:50::44/127(IPv6地址)IP地址段:192.
168.
1.
0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)所有IP地址:0.
0.
0.
0/0(IPv4任意地址);::/0(IPv6任意地址)0.
0.
0.
0/0源端口范围源端口范围,取值范围是1~65535的数字.
表示某一范围时,两个数字必须以短划线分隔.
例如,1-100.
选择TCP或UDP协议时必须填写.
22或22-30目的地址此方向允许的目的地址.
可以是IP地址、IP地址段.
默认值为0.
0.
0.
0/0,代表支持所有的IP地址.
例如:单个IP地址:192.
168.
10.
10/32(IPv4地址);2002:50::44/127(IPv6地址)IP地址段:192.
168.
1.
0/24(IPv4地址段);2407:c080:802:469::/64(IPv6地址段)所有IP地址:0.
0.
0.
0/0(IPv4任意地址);::/0(IPv6任意地址)0.
0.
0.
0/0虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司58参数参数说明取值样例目的端口范围目的端口范围,取值范围是介于1~65535的数字.
表示某一范围时,两个数字必须以短划线分隔.
例如,1-100.
选择TCP或UDP协议时必须填写.
22或22-30描述网络ACL规则的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含符号.
-7.
单击"确定",修改网络ACL规则.
2.
2.
9开启/关闭网络ACL规则操作场景您可根据自身网络需求,开启或关闭已创建的出方向和入方向的规则.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在右侧"网络ACL"列表区域,选择网络ACL的名称列,单击您需要修改的"网络ACL名称"进入网络ACL详情页面.
6.
在入方向规则或出方向规则页签,单击"操作"的"开启"或者"关闭".
7.
单击"是",确认开启或关闭此规则.
2.
2.
10删除网络ACL规则操作场景您可根据自身网络需求,删除已创建的出方向和入方向的规则.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在右侧在"网络ACL"列表区域,选择网络ACL的名称列,单击您需要修改的"网络ACL名称"进入网络ACL详情页面.
6.
在入方向规则或出方向规则页签,单击"操作"列的"删除".
7.
单击"是".
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司59批量删除多条网络ACL规则您还可以同时勾选多条网络ACL规则,单击列表上方的"删除",批量删除多条网络ACL规则.
2.
2.
11导出/导入网络ACL规则操作场景您可以将已有的某一个网络ACL出方向、入方向规则导出为Excel文件,然后在另一个网络ACL直接导入.
支持跨区域导入和导出.
建议您每次导入少于40条的规则,否则可能会影响性能.
导入规则是基于已有规则的增量导入,不会删除已有规则.
相同规则不允许重复导入.
导出网络ACL规则1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在右侧"网络ACL"列表区域,选择网络ACL的名称列,单击您需要导出的"网络ACL名称"进入网络ACL详情页面.
6.
单击,导出出方向和入方向的网络ACL规则,并自动保存为Excel文件,请下载到本地.
导入网络ACL规则1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在右侧"网络ACL"列表区域,选择网络ACL的名称列,单击您需要导入的"网络ACL名称"进入网络ACL详情页面.
6.
单击.
7.
选择本地已导出的网络ACL规则Excel文件,单击"导入",导入规则.
2.
2.
12查看网络ACL操作场景您可以随时查看已创建网络ACL的详细信息.
操作步骤1.
登录管理控制台.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司602.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在右侧"网络ACL"列表区域,选择网络ACL的名称列,单击您对应"网络ACL名称"进入网络ACL详情页面.
6.
在详情页面,单击"入方向规则"、"出方向规则"、"关联子网"页签可查看详细的入方向、出方向、关联子网的详细信息.
2.
2.
13修改网络ACL操作场景您可根据自身网络需求,修改已创建的网络ACL的名称、描述.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL+".
5.
在右侧"网络ACL"列表区域,选择网络ACL的名称列,单击您对应"网络ACL名称"进入网络ACL详情页面.
6.
在详情页面,单击"名称"后的,编辑网络ACL名称.
7.
单击"√",保存网络ACL名称.
8.
单击"描述"后的,编辑网络ACL说明内容.
9.
单击"√",保存网络ACL描述.
2.
2.
14开启/关闭网络ACL操作场景网络ACL创建成功后,用户可以根据自身网络需求,选择是否启用或关闭此网络ACL.
启用网络ACL前,请确认网络ACL已添加关联子网和出入网络ACL的规则.
关闭网络ACL后,用户自定义的规则将失效,只有网络ACL的默认规则有效.
此操作可能会导致网络流量中断,请谨慎操作.
网络ACL的默认规则请参见网络ACL默认规则.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在右侧"网络ACL"列表区域,选择对应网络ACL的"操作"列,单击"更多>开启"或"更多>关闭",启用或关闭此网络ACL.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司616.
根据弹出框中警告信息,单击"是",确认启动或关闭此网络ACL.
2.
2.
15删除网络ACL操作场景您可以随时删除已创建网络ACL.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>网络ACL".
5.
在右侧在"网络ACL"列表区域,选择网络ACL的"操作"列,单击"更多>删除".
6.
单击"是",删除网络ACL.
说明删除网络ACL同时解除与网络ACL关联的子网,删除网络ACL中已添加的规则.
2.
3安全组与网络ACL区别通过配置网络ACL和安全组策略,保障VPC内的弹性云服务器安全使用.
安全组对弹性云服务器进行防护.
网络ACL对子网进行防护.
如图2-17所示.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司62图2-17安全组与网络ACL网络ACL和安全组区别如表2-17所示.
表2-17安全组和网络ACL对比项安全组网络ACL防护对象弹性云服务器级别操作.
子网级别操作.
配置策略仅支持允许策略(拒绝策略目前仅在"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持).
支持允许、拒绝策略.
优先级多个规则冲突,先根据绑定安全组的顺序生效,再根据组内规则的优先级生效(安全组规则优先级目前仅在"华东-上海一"、"华南-广州"、"西南-贵阳一"、"华北-北京四"、"亚太-香港"、"亚太-新加坡"支持).
多个规则冲突,优先级高的规则生效,优先级低的不生效.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司63对比项安全组网络ACL应用操作创建弹性云服务器默认必须选择安全组,默认安全组自动应用到弹性云服务器.
创建子网没有网络ACL选项,必须创建网络ACL、添加关联子网、添加出入规则,并启用网络ACL,才可应用到关联子网及子网下的弹性云服务器.
报文组仅支持报文三元组(即协议、端口和对端地址)过滤.
支持报文五元组(即协议、源端口、目的端口、源地址和目的地址)过滤.
2.
4IP地址组2.
4.
1IP地址组简介IP地址组是多个IP地址的集合,可被安全组规则引用,可统一管理具有相同安全要求或需要频繁修改的IP地址.
通过使用IP地址组,可有效应对需要重复多次编辑安全组规则的场景,方便管理.
您需要先创建一个IP地址组,添加需要统一管理的IP地址,然后配置安全组规则时,就可以引用该IP地址组,此安全组规则将对IP地址组中所有IP地址生效.
说明IP地址组功能目前仅在"华北-北京一"、"华北-北京四"、"华南-广州"、"西南-贵阳一"开放.
IP地址组无法针对某些类型的云服务器生效,即引用了IP地址组的安全组规则,对某些类型的云服务器不生效.
IP地址组不支持的云服务器类型如下,具体规格请参见规格清单.
通用计算型(S1型、C1型、C2型)内存优化型(M1型)高性能计算型(H1型)磁盘增强型(D1型)GPU加速型(G1型、G2型)超大内存型(E1型、E2型、ET2型)2.
4.
2创建IP地址组操作场景创建IP地址组,添加需要统一管理的IP地址.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司64说明IP地址组功能目前仅在"华北-北京一"、"华北-北京四"、"华南-广州"、"西南-贵阳一"开放.
IP地址组无法针对某些类型的云服务器生效,即引用了IP地址组的安全组规则,对某些类型的云服务器不生效.
IP地址组不支持的云服务器类型如下,具体规格请参见规格清单.
通用计算型(S1型、C1型、C2型)内存优化型(M1型)高性能计算型(H1型)磁盘增强型(D1型)GPU加速型(G1型、G2型)超大内存型(E1型、E2型、ET2型)操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>IP地址组".
5.
单击"创建IP地址组".
6.
配置IP地址组参数,如表2-18所示.
表2-18参数说明参数参数说明取值样例名称IP地址组的名称,必填项.
IP地址组的名称只能由中文、英文字母、数字、下划线、中划线、点组成,且不能有空格,长度不能大于64个字符.
您可以自定义IP地址组名称,IP地址组的唯一性由系统分配的ID号保证.
ipGroup-f7deIP地址包含的IP地址,多个IP地址使用换行隔开,最多可添加20个.
例如:192.
168.
10.
10(IP地址)192.
168.
52.
0/24(IP地址网段)192.
168.
1.
1-192.
168.
1.
50(IP地址网段)192.
168.
10.
10192.
168.
52.
0/24192.
168.
1.
1描述IP地址组的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含""符号.
-7.
单击"确定",完成创建.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司652.
4.
3关联IP地址组与安全组规则操作场景在安全组规则中引用IP地址组.
说明IP地址组功能目前仅在"华北-北京一"、"华北-北京四"、"华南-广州"、"西南-贵阳一"开放.
IP地址组无法针对某些类型的云服务器生效,即引用了IP地址组的安全组规则,对某些类型的云服务器不生效.
IP地址组不支持的云服务器类型如下,具体规格请参见规格清单.
通用计算型(S1型、C1型、C2型)内存优化型(M1型)高性能计算型(H1型)磁盘增强型(D1型)GPU加速型(G1型、G2型)超大内存型(E1型、E2型、ET2型)操作步骤参考添加安全组规则添加安全组规则,并注意以下配置项:1.
在源地址类型中选择"IP地址组".
2.
选择目标IP地址组.
按照以上说明完成安全组规则设置后,即可实现IP地址组与安全组规则的关联.
2.
4.
4管理IP地址组操作场景修改、删除IP地址组.
说明IP地址组功能目前仅在"华北-北京一"、"华北-北京四"、"华南-广州"、"西南-贵阳一"开放.
IP地址组无法针对某些类型的云服务器生效,即引用了IP地址组的安全组规则,对某些类型的云服务器不生效.
IP地址组不支持的云服务器类型如下,具体规格请参见规格清单.
通用计算型(S1型、C1型、C2型)内存优化型(M1型)高性能计算型(H1型)磁盘增强型(D1型)GPU加速型(G1型、G2型)超大内存型(E1型、E2型、ET2型)修改IP地址组,相应安全组规则的源地址范围也会随之改变.
删除IP地址组,也将删除IP地址组使用的安全组规则.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司66修改IP地址组1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>IP地址组".
5.
在IP地址组列表页面,单击操作列的"修改",可以对IP地址组信息进行修改,包括名称、IP地址、描述.
删除IP地址组1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"访问控制>IP地址组".
5.
在IP地址组列表页面,单击操作列的"删除",删除IP地址组.
删除IP地址组会同时删除该地址组关联的安全组规则.
虚拟私有云用户指南2安全性文档版本48(2021-03-05)版权所有华为技术有限公司673弹性网卡3.
1弹性网卡简介弹性网卡即虚拟网卡,您可以通过创建并配置弹性网卡,并将其附加到您的云服务器实例(包括弹性云服务器和裸金属服务器)上,实现灵活、高可用的网络方案配置.
弹性网卡功能目前仅在"华东-上海二"开放.
弹性网卡类型主弹性网卡:在创建云服务器实例时,随实例默认创建的弹性网卡称作主弹性网卡.
主弹性网卡无法与实例进行解绑.
扩展弹性网卡:您可以创建扩展弹性网卡,将其附加到云服务器实例上,您也可以将其从实例上进行解绑.
每台实例可附加的扩展弹性网卡数量由实例规格决定.
应用场景灵活迁移通过将弹性网卡从云服务器实例解绑后再绑定到另外一台服务器实例,保留已绑定私网IP、弹性公网IP和安全组策略,无需重新配置关联关系,将故障实例上的业务流量快速迁移到备用实例,实现服务快速恢复.
业务分离管理可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡,特定网卡分别承载云服务器实例的内网、外网、管理网流量.
针对子网可独立设置访问安全控制策略与路由策略,弹性网卡也可配置独立安全组策略,从而实现网络隔离与业务流量分离.
约束与限制云服务器实例与扩展弹性网卡必须在同一VPC,可以分属于不同安全组.
主弹性网卡不能解绑服务器.
云服务器可附加的扩展弹性网卡数量由云服务器实例规格决定.
具体请参见规格清单.
虚拟私有云用户指南3弹性网卡文档版本48(2021-03-05)版权所有华为技术有限公司68弹性网卡不支持直接访问华为云内公共云服务,如内网DNS等,推荐使用VPCEP访问华为云公共云服务,具体参见购买连接"接口"型终端节点服务的终端节点.
3.
2创建弹性网卡操作场景主弹性网卡随云服务器默认创建,您可以参考本章节创建扩展弹性网卡.
说明弹性网卡功能目前仅在"华东-上海二"开放.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"弹性网卡".
5.
单击"创建弹性网卡".
6.
配置IP地址组参数,如表3-1所示.
表3-1参数说明参数参数说明取值样例名称弹性网卡的名称,必填项.
弹性网卡的名称只能由中文、英文字母、数字、下划线、中划线、点组成,且不能有空格,长度不能大于64个字符.
networkInterface-891e虚拟私有云选择弹性网卡归属的VPC,必填项.
vpc-001子网选择弹性网卡归属的子网,必填项.
subnet-001私有IP地址选择是否自动分配私有IP地址.
-安全组选择弹性网卡所属安全组.
sg-0017.
单击"确定",完成创建.
虚拟私有云用户指南3弹性网卡文档版本48(2021-03-05)版权所有华为技术有限公司693.
3查看弹性网卡基本信息操作场景您可以在控制台查看您所拥有的弹性网卡基本信息,包括名称、ID、类型、所属VPC、绑定的实例及关联的安全组等信息.
说明弹性网卡功能目前仅在"华东-上海二"开放.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"弹性网卡".
5.
在弹性网卡列表页,单击需要查看详情的弹性网卡名称.
其他操作在弹性网卡详情页可以修改以下信息:根据页面提示修改弹性网卡名称、服务地址信息、绑定解绑实例等.
设置中止时删除功能:–关闭:系统默认关闭中止时删除功能,当弹性网卡与对应实例解绑,或对应实例被删除时,弹性网卡不会被同步删除,您可以将该弹性网卡绑定至其他实例.
–开启:中止时删除功能开启时,解绑实例后将默认删除弹性网卡.
3.
4绑定弹性网卡到实例操作场景通过将弹性网卡与弹性云服务器或裸金属服务器绑定,可以实现灵活、高可用的网络方案配置.
说明弹性网卡功能目前仅在"华东-上海二"开放.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
虚拟私有云用户指南3弹性网卡文档版本48(2021-03-05)版权所有华为技术有限公司704.
在左侧导航栏选择"弹性网卡".
5.
在弹性网卡列表页,单击操作列的"绑定实例",选择需要绑定的云服务器实例.
6.
单击"确定",完成绑定.
相关操作弹性网卡绑定服务器后,建议您设置网卡多队列以提升网络性能,具体请参见开启网卡多队列功能.
3.
5绑定弹性网卡到弹性公网IP操作场景通过将弹性公网IP与弹性网卡绑定,您可以构建更灵活,扩展性更强的IT解决方案.
弹性网卡本身提供一个私网IP,与弹性公网IP绑定后,相当于同时具备了私网IP和公网IP.
弹性网卡和弹性公网IP的绑定关系不随弹性网卡解绑云服务器而变化,当弹性网卡从云服务器上迁移时,即可同时完成私网IP和公网IP的迁移.
一个云服务器可以绑定多个弹性网卡,当为每个弹性网卡分别绑定一个弹性公网IP时,这个云服务器就拥有了多个弹性公网IP,可以提供更灵活的外部访问服务.
说明弹性网卡功能目前仅在"华东-上海二"开放.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"弹性网卡".
5.
在弹性网卡列表页,单击操作列的"绑定弹性公网IP",选择需要绑定的弹性公网IP.
6.
单击"确定",完成绑定.
3.
6绑定弹性网卡到虚拟IP操作场景通过将弹性网卡与虚拟IP绑定,使用户可以通过绑定的虚拟IP访问该弹性网卡绑定的服务器.
未绑定云服务器实例的弹性网卡不能绑定虚拟IP.
更多虚拟IP信息请参见虚拟IP简介.
虚拟私有云用户指南3弹性网卡文档版本48(2021-03-05)版权所有华为技术有限公司71说明弹性网卡功能目前仅在"华东-上海二"开放.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"弹性网卡".
5.
在弹性网卡列表页,单击操作列的"更多>绑定虚拟IP".
进入虚拟IP列表页.
6.
在需要绑定的虚拟IP操作列,单击"绑定服务器".
7.
选择服务器及网卡,单击"确定".
3.
7解绑定云服务器或弹性公网IP操作场景本章节指导您如何将弹性网卡与云服务器或弹性公网IP进行解绑.
说明弹性网卡功能目前仅在"华东-上海二"开放.
中止时删除功能开启时,解绑实例后将默认删除弹性网卡.
您可以在解绑页面勾选保留弹性网卡以避免删除.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"弹性网卡".
5.
在弹性网卡列表页,单击操作列的"解绑实例"或"解绑弹性公网IP".
6.
单击"是",完成解绑.
解绑弹性公网IP时,可选择同时释放该弹性公网IP.
3.
8更改弹性网卡所属安全组操作场景您可以在弹性网卡列表页更改所属安全组,也可以进入弹性网卡详情页更改所属安全组.
虚拟私有云用户指南3弹性网卡文档版本48(2021-03-05)版权所有华为技术有限公司72说明弹性网卡功能目前仅在"华东-上海二"开放.
操作步骤在弹性网卡列表页,更改所属安全组1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"弹性网卡".
5.
在弹性网卡列表页,单击操作列的"更多>更改安全组".
6.
在"更改安全组"页面勾选需要关联的安全组,单击"确定",完成更改.
在弹性网卡详情页,更改所属安全组1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"弹性网卡"5.
单击待修更改安全组的弹性网卡名称,进入弹性网卡详情页.
6.
在"关联安全组"页签下,单击"更改安全组".
7.
在"更改安全组"页面勾选需要关联的安全组,单击"确定",完成更改.
更多操作您可以在弹性网卡详情页"关联安全组"页签下单击"配置规则",对安全组规则进行配置.
配置安全组规则请参见添加安全组规则.
3.
9删除弹性网卡操作场景您可以删除不再使用的弹性网卡.
已绑定实例的弹性网卡不支持删除.
说明弹性网卡功能目前仅在"华东-上海二"开放.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
虚拟私有云用户指南3弹性网卡文档版本48(2021-03-05)版权所有华为技术有限公司734.
在左侧导航栏选择"弹性网卡".
5.
在弹性网卡列表页,单击操作列的"更多>删除".
6.
单击"是".
虚拟私有云用户指南3弹性网卡文档版本48(2021-03-05)版权所有华为技术有限公司744弹性公网IP4.
1弹性公网IP简介弹性公网IP弹性公网IP(ElasticIP,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务.
可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑.
拥有多种灵活的计费方式,可以满足各种业务场景的需要.
一个弹性公网IP只能绑定一个云资源使用.
图4-1通过EIP访问公网优势弹性灵活EIP支持与ECS、BMS、NAT网关、ELB、虚拟IP灵活的绑定与解绑,带宽支持灵活调整,应对各种业务变化.
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司75多种计费模式多种计费策略,支持按需、按带宽、按流量计费,包年包月价格更优惠.
共享带宽EIP可以加入共享带宽,降低带宽使用成本.
即开即用即开即用,绑定解绑、带宽调整实时生效.
约束与限制一个弹性公网IP只能绑定一个云资源使用,且弹性公网IP和云资源必须在同一个区域.
不同区域用户,可申请的EIP配额不同,如果您需要更多的EIP,请提交工单申请.
只有未绑定状态的EIP才能进行绑定操作.
按带宽计费的带宽上限为2000Mbit/s("亚太-香港"区域按带宽计费上限为500Mbit/s),如果您需要更大的带宽,请提交工单申请或联系您的客户经理.
按流量计费的带宽上限为300Mbit/s.
因安全等原因被冻结的EIP无法进行绑定、解绑等操作.
申请提升配额,要求该帐户下存在有效订单和持续使用的云服务资源,如您的帐户之前存在多次订购资源后即时释放的情况,拒绝提升配额.
未绑定的弹性公网IP地址才可释放,已绑定的弹性公网IP地址需要先解绑定后才能释放.
弹性公网IP释放后,如果被其他用户使用,则无法找回.
按需计费的弹性公网IP费用包括IP保有费和带宽费用,当与实例解绑且未释放时,仍需支付弹性公网IP的保有费和带宽费用;若绑定实例,则免除保有费.
对于长期闲置的EIP资源配额,华为云将降低配额至默认值,如需提升配额,您可通过工单提交申请.
如您违反适用法律法规的要求使用华为云EIP资源,华为云有权收回EIP资源,并暂停向您提供服务.
弹性公网IP不支持跨帐号转移.
说明工单提交请参见提交工单.
4.
2为弹性云服务器申请和绑定弹性公网IP操作场景可以通过申请弹性公网IP并将弹性公网IP绑定到弹性云服务器上,实现弹性云服务器访问公网的目的.
申请弹性公网IP1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司763.
在系统首页,选择"网络>弹性公网IP".
4.
在"弹性公网IP"界面,单击"购买弹性公网IP".
5.
根据界面提示配置参数.
表4-1参数说明参数说明取值样例计费模式计费模式分为以下两种:包年/包月按需计费按需计费区域不同区域的资源之间内网不互通.
请选择靠近您客户的区域,可以降低网络时延、提高访问速度.
华北-北京一线路全动态BGP:可以根据设定的寻路协议实时自动优化网络结构,以保持客户使用的网络持续稳定、高效.
静态BGP:网络结构发生变化时,无法实时自动调整网络设置以保障用户体验.
公网IP池:计费模式为按需计费时,该项可见.
公网IP池是一种批量EIP开通到管理的专属解决方案.
公网IP池为EIP分配全动态BGP线路,持续保证网络稳定、高效.
公网IP池详细信息请参见公网IP池简介.
更多静态BGP与全动态BGP区别信息请参见静态BGP与全动态BGP有何区别全动态BGP公网IP池选择已购买的公网IP池.
EIP计费模式为按需计费时,该项可见.
eipPool-test虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司77参数说明取值样例公网带宽选择按需计费时,需要选择公网带宽的计费方式.
按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关.
适用于流量较大或较稳定场景使用.
按流量计费:指定带宽上限,按实际使用的出公网流量计费,与使用时间无关.
适用于流量小或流量波动较大的场景.
加入共享带宽:带宽可以加入多个弹性公网IP,带宽被多个弹性公网IP地址共用.
适用于多业务流量错峰场景.
按带宽计费带宽大小带宽大小,单位Mbit/s.
100IPv6转换开启IPv6转换后,将提供IPv4和IPv6弹性公网IP地址,原有IPv4业务可以快速为IPv6用户提供访问能力.
开启带宽名称带宽的名称.
bandwidth购买时长选择包年包月计费模式时,需要选择购买时长.
1个月购买量弹性公网IP数量.
仅在按需计费时可以选择弹性公网IP数量.
1标签用于标识弹性公网IP地址.
包括键和值.
标签的命名规则请参考表4-2.
键:Ipv4_key1值:192.
168.
12.
10企业项目申请弹性公网IP时,可以将弹性公网IP加入已启用的企业项目.
企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default.
关于创建和管理企业项目的详情,请参见《企业管理用户指南》.
default虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司78表4-2弹性公网IP地址标签命名规则参数规则样例键不能为空.
对于同一弹性公网IP地址键值唯一.
长度不超过36个字符.
由英文字母、数字、下划线、中划线、中文字符组成.
Ipv4_key1值长度不超过43个字符.
由英文字母、数字、下划线、点、中划线、中文字符组成.
192.
168.
12.
10说明对于按需计费的弹性公网IP,当带宽类型选择"共享带宽"时,只能在"带宽名称"的下拉选项中选择已有的共享带宽加入.
如果带宽名称不可选,说明您没有可用共享带宽,请先创建.
独享带宽与共享带宽不支持直接互相转换,但针对按需计费的弹性公网IP,您可以购买一个共享带宽,进行如下操作:将弹性公网IP添加到共享带宽,则弹性公网IP使用共享带宽.
将弹性公网IP移出共享带宽,则弹性公网IP使用独享带宽.
6.
单击"立即购买".
7.
单击"提交".
绑定弹性公网IP1.
在"弹性公网IP"界面待绑定弹性公网IP地址所在行,单击"绑定".
2.
选择实例.
3.
单击"确定".
相关操作如何创建或找回指定的弹性公网IP弹性公网IP绑定弹性云服务器后如何由外部进行访问弹性公网IP是否支持变更绑定的弹性云服务器弹性云服务器关机再开机后,其绑定的弹性公网IP是否会改变如何排查带宽超过限制EIP连接出现问题时,如何排查虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司794.
3解绑定和释放弹性云服务器的弹性公网IP操作场景当弹性云服务器无需继续使用弹性公网IP,可通过解绑定和释放弹性公网IP来释放网络资源.
约束与限制未绑定的弹性公网IP地址才可释放,已绑定的地址需要先解绑定后才能释放.
弹性公网IP释放后,如果被其他用户使用,则无法找回.
按需计费的弹性公网IP费用包括IP保有费和带宽费用,当与实例解绑且未释放时,仍需支付弹性公网IP的保有费和带宽费用;若绑定实例,则免除保有费.
操作步骤解绑单个弹性公网IP1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在弹性公网IP界面待解绑定弹性公网IP地址所在行,单击"解绑".
5.
单击"是".
释放单个弹性公网IP1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在"弹性公网IP"界面待释放弹性公网IP地址所在行,单击"更多>释放".
5.
单击"是".
批量解绑弹性公网IP1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在弹性公网IP列表中勾选待解绑定的多个弹性公网IP地址.
5.
单击列表左上方的"解绑".
6.
单击"是".
批量释放弹性公网IP1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司803.
在系统首页,选择"网络>弹性公网IP".
4.
在"弹性公网IP"列表中勾选多个待释放弹性公网IP.
5.
单击列表上方的"释放".
6.
单击"是".
4.
4管理弹性公网IP地址标签操作场景为弹性公网IP地址添加标签,可以方便用户识别和管理拥有的弹性公网IP地址.
您可以在申请弹性公网IP地址时增加标签,或者在已经创建的弹性公网IP地址详情页添加标签,最多可以给弹性公网IP地址添加10个标签.
标签共由两部分组成:"键"和"值",其中,"键"和"值"的命名规则如表4-3所示.
表4-3弹性公网IP地址标签命名规则参数规则样例键不能为空.
对于同一弹性公网IP地址键值唯一.
长度不超过36个字符.
由英文字母、数字、下划线、中划线、中文字符组成.
Ipv4_key1值长度不超过43个字符.
由英文字母、数字、下划线、点、中划线、中文字符组成.
192.
168.
12.
10操作步骤在弹性公网IP列表页,按标签的键或值搜索目标弹性公网IP地址.
1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
单击弹性公网IP地址列表右上角的"标签搜索",展开查询页.
5.
输入待查询弹性公网IP地址的标签值.
键和值均不能为空,当键和值全匹配时,系统可以自动查询到目标弹性公网IP地址.
6.
单击"+",添加输入的标签值.
系统支持添加多个标签值,并取各个标签值的交集,对目标弹性公网IP地址进行搜索.
7.
单击"搜索".
系统根据标签的键和值搜索目标弹性公网IP地址.
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司81在弹性公网IP地址的标签页,执行标签的增、删、改、查操作.
1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在弹性公网IP地址列表中,单击待管理标签的弹性公网IP地址名称.
5.
在弹性公网IP地址详情页面,选择"标签"页签,对弹性公网IP地址的标签执行增、删、改、查.
–查看在"标签"页,可以查看当前弹性公网IP地址的标签详情,包括标签个数,以及每个标签的键和值.
–添加单击左上角的"添加标签",在弹出的"添加标签"窗口,输入新添加标签的键和值,并单击"确定".
–修改单击标签所在行"操作"列下的"编辑",在弹出的"编辑标签"窗口,输入修改后标签的键和值,并单击"确定".
–删除单击标签所在行"操作"列下的"删除",如果确认删除,在弹出的"删除标签"窗口,单击"是".
4.
5修改弹性公网IP的带宽操作场景对于按需计费的弹性公网IP,支持修改带宽名称、大小、计费方式(按带宽计费、按流量计费).
对于包年包月的弹性公网IP,支持修改带宽名称和大小.
费用影响表4-4费用影响当前计费模式变更场景对费用的影响按需变更计费方式为按带宽计费、按流量计费变更成功后,新的计费方式将立即生效.
包年包月增加带宽大小(升配)升配后新带宽大小将在原来已有的时间周期内立即生效.
需按照与原规格的价格差异,结合已使用的时间周期,补上差价.
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司82当前计费模式变更场景对费用的影响降低带宽大小(续费降配)续费成功后新的带宽大小将在新的计费周期生效.
续费降配订单支付成功后不可取消.
续费降配后,当前计费周期的剩余时间内不能再对带宽进行任何修改,请谨慎操作.
按需转包年包月您可以在弹性公网IP页面或费用中心转包年包月,变更成功后,新的计费模式将立即生效.
具体操作请参见如何切换计费模式中的"按需"和"包年包月".
包年包月转按需您可以在费用中心转按需,包年包月资费到期后,新的按需资费才会生效.
具体操作请参见如何切换计费模式中的"按需"和"包年包月".
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在"操作"列,选择"更多>修改带宽".
5.
根据界面提示修改带宽参数.
图4-2修改按需带宽虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司83图4-3修改包年包月带宽6.
单击"下一步".
7.
单击"提交",完成修改.
相关操作如何切换计费方式中的"按带宽计费"和"按流量计费"什么是入云带宽和出云带宽包年包月模式的带宽支持升配后再降配吗4.
6静态BGP转换为全动态BGP操作场景您可以将静态BGP的EIP转换为全动态BGP的EIP,全动态BGP可根据设定的寻路协议第一时间自动优化网络结构,以保持客户使用的网络持续稳定、高效.
转换BGP类型不改变原有计费方式,不会中断业务,对用户业务不会造成影响.
对于按需的EIP,支持单个转换和批量转换两种方式,转换立即生效.
对于包年包月的EIP,您只能单个转换,且需要补交差额费用成功后才能生效.
约束与限制目前仅限华东-上海二、华南-广州区域使用.
仅支持在2019-06-0522:00:00(UTC+8)之前创建的静态BGPEIP转换成全动态BGP.
静态BGP切换为全动态BGP后,不能再转换为静态BGP.
单个转换1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>".
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司844.
选择静态BGP的EIP,在"操作"列,选择"全动态BGP转换".
图4-4单个转换为全动态BGP5.
单击"下一步".
6.
对于按需的EIP,单击"提交".
7.
对于包年包月的EIP,单击"去支付"补交差额费用.
批量转换对于按需的EIP,支持批量转换为全动态BGP.
1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>".
4.
单击列表左上方的"全动态BGP转换",默认自动勾选当前页中全部静态BGP的按需EIP.
您也可以先勾选需要切换的EIP,然后单击"全动态BGP转换".
图4-5批量转换为全动态BGP5.
单击"提交".
相关操作静态BGP与全动态BGP有何区别4.
7导出弹性公网IP列表操作场景您可以将当前帐号下拥有的所有信息,以Excel文件的形式导出至本地.
该文件记录了弹性公网IP的ID、状态、类型、带宽名称、带宽大小等信息.
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司85操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
选择"网络>弹性公网IP".
4.
在弹性公网IP列表页,单击右上角的.
系统会将您帐号下,当前区域的所有弹性公网IP信息自动导出为Excel文件,并下载至本地.
4.
8IPv6弹性公网IP简介弹性公网IP支持IPv4地址和IPv6地址,您可以申请一个全新的IPv6弹性公网IP,也可以将已有的IPv4弹性公网IP转换为IPv6的.
开启IPv6转换后,将提供IPv4和IPv6弹性公网IP地址,原有IPv4业务可以快速为IPv6用户提供访问能力.
IPv6弹性公网IP当前暂不收费,后续将择时收费.
应用场景如果您的应用需要为使用IPv6终端的用户提供访问服务,则您可使用:IPv6弹性公网IP.
如果您的应用既需要为使用IPv6终端的用户提供访问服务,又需要对这些访问来源进行数据分析处理,则您必须使用IPv6双栈.
使用IPv6双栈请参考IPv4/IPv6双栈网络.
如果您的应用系统与其他系统(例如:数据库系统)、应用系统之间需要使用IPv6进行内网访问,则您必须使用IPv6双栈.
使用IPv6双栈请参考IPv4/IPv6双栈网络.
申请IPv6弹性公网IP参考为弹性云服务器申请和绑定弹性公网IP申请弹性公网IP,在申请页面配置参数时,请开启"IPv6转换",就可以申请一个全新的IPv6弹性公网IP.
开启IPv6转换当已有的IPv4地址的弹性公网IP需要增加IPv6地址时,可以在弹性公网IP列表页面,找到想转换的IPv4地址弹性公网IP,单击"操作"列的"开启IPv6转换",即可将已有的IPv4弹性公网IP转换为IPv6的.
转换后,该弹性公网IP将同时拥有IPv4和IPv6地址.
配置安全组开启弹性公网IP的IPv6转换后,请务必在安全组的出方向和入方向中放通198.
19.
0.
0/16网段的IP地址,如表4-5所示.
因为IPv6弹性公网IP采用NAT64技术,入方向的源IP地址经过NAT64转换后,会从IPv6地址转换为198.
19.
0.
0/16之间的某个IPv4地址,源端口随机,目的IP为本机的内部私有IPv4地址,目的端口不变.
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司86表4-5安全组规则方向协议端口和地址入方向全部源地址:198.
19.
0.
0/16出方向全部目的地址:198.
19.
0.
0/16关闭IPv6转换当弹性公网IP不需要IPv6地址时,可以在弹性公网IP列表页面,找到想关闭IPv6地址的弹性公网IP,单击"操作"列的"关闭IPv6转换",即可删除IPv6地址.
删除后,该弹性公网IP仅保留IPv4地址.
虚拟私有云用户指南4弹性公网IP文档版本48(2021-03-05)版权所有华为技术有限公司875共享带宽5.
1共享带宽简介共享带宽可以实现多个弹性公网IP共同使用一条带宽.
提供区域级别的带宽共享及复用能力,同一区域下的所有已绑定弹性公网IP的弹性云服务器、裸金属服务器、弹性负载均衡等实例共用一条带宽资源.
客户有大量业务在云上时,如果每个弹性云服务器单独使用一条带宽,则需要较多的带宽实例,并且总的带宽费用会较高,如果所有实例共用一条带宽,就可以节省企业的网络运营成本,同时方便运维统计.
节省带宽使用成本提供区域级别的带宽复用共享能力,节省带宽使用的运营及运维成本.
操作灵活不区分弹性公网IP类型及绑定实例类型,随时从共享带宽中增加或移出按需计费的弹性公网IP.
计费方式灵活提供包年包月、按需计费两种计费模式.
约束与限制共享带宽只能加入按需计费的EIP.
支持按带宽计费、增强型95计费.
按带宽计费5Mbit/s起售,增强型95计费300Mbit/s起售.
共享带宽可支持加入20个EIP,如果您需要加入更多EIP,请提交工单申请.
每个用户最多申请5个共享带宽,如果您需要更多共享带宽,请提交工单申请.
包年包月共享带宽到期释放,EIP会被移出共享带宽并按照加入共享带宽之前的模式计费.
虚拟私有云用户指南5共享带宽文档版本48(2021-03-05)版权所有华为技术有限公司88说明独享带宽与共享带宽不支持直接互相转换,但针对按需计费的弹性公网IP,您可以购买一个共享带宽,进行如下操作:将弹性公网IP添加到共享带宽,则弹性公网IP使用共享带宽.
将弹性公网IP移出共享带宽,则弹性公网IP使用独享带宽.
工单提交请参见提交工单.
5.
2申请共享带宽操作场景客户有大量业务在云上时,如果每个实例单独使用一条带宽,则需要较多的带宽实例,并且总的带宽费用会较高.
您可以通过申请共享带宽,将多个EIP加入共享带宽,实现所有实例共用一条带宽,从而节省企业的网络运营成本,同时方便运维统计.
共享带宽需要申请才能使用.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在左侧导航栏,选择"弹性公网IP和带宽>共享带宽".
5.
在页面右上角,单击"购买共享带宽",按照提示配置参数.
表5-1参数说明参数说明取值样例计费模式购买共享带宽时使用的计费模式,分为以下两种:包年/包月:在使用前一次性支付一定期限(如1个月、1年等)的费用,后续使用期限内不再针对此共享带宽资源扣费.
按需计费:按照共享带宽的使用时长进行计费.
包年/包月区域不同区域的资源之间内网不互通.
请选择靠近您客户的区域,可以降低网络时延、提高访问速度.
华北-北京一虚拟私有云用户指南5共享带宽文档版本48(2021-03-05)版权所有华为技术有限公司89参数说明取值样例计费方式共享带宽的计费方式.
支持按带宽计费、按增强型95计费.
说明按需计费模式下,才能选择按增强型95计费.
用户等级大于等于V4才可以选购增强型95计费.
增强型95计费将按照多次去峰值后的实际使用带宽付费,按月结算.
您可以设置保底带宽(带宽大小*保底百分比),如果月峰值带宽小于等于保底带宽,将按照保底带宽计费,否则,将按照实际的月峰值带宽计费.
若选择增强型95计费,共享带宽300Mbit/s起售.
关于增强型95计费的更多信息请参见什么是增强型95计费按带宽计费带宽大小共享带宽的大小,单位Mbit/s,5M起售,最大支持2000Mbit/s.
10企业项目申请共享带宽时,可以将共享带宽加入已启用的企业项目.
企业项目管理提供了一种按企业项目管理云资源的方式,帮助您实现以企业项目为基本单元的资源及人员的统一管理,默认项目为default.
关于创建和管理企业项目的详情,请参见《企业管理用户指南》.
default带宽名称共享带宽的名称.
Bandwidth-001购买量包年包月场景需要选择,购买共享带宽的时长.
2个月6.
单击"立即购买".
5.
3添加弹性公网IP到共享带宽操作场景添加弹性公网IP到共享带宽中,共享带宽资源.
一个共享带宽中可以同时添加多个弹性公网IP.
约束与限制不支持包年包月的弹性公网IP添加到共享带宽.
弹性公网IP添加到共享带宽后,原本的带宽大小无效,将使用共享带宽进行限速.
弹性公网IP原本的独享带宽将会被删除,不再计费,不会额外计算流量和带宽费用.
虚拟私有云用户指南5共享带宽文档版本48(2021-03-05)版权所有华为技术有限公司90包年包月的弹性公网IP添加到共享带宽,需要先转为按需计费模式操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在左侧导航栏,选择"弹性公网IP和带宽>共享带宽".
5.
在共享带宽列表中找到您想添加弹性公网IP的共享带宽,在"操作"列选择"添加公网IP",勾选您想添加的弹性公网IP.
6.
单击"确定".
相关操作独享带宽与共享带宽有何区别能否互转5.
4从共享带宽中移出弹性公网IP操作场景您可以根据需要将不需要的弹性公网IP从共享带宽中移出.
约束与限制包年包月的弹性公网IP不能从共享带宽中移出(针对公测期间购买的共享带宽).
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在左侧导航栏,选择"弹性公网IP和带宽>共享带宽".
5.
在共享带宽列表中找到您想移出弹性公网IP的共享带宽,选择"更多>移出公网IP",勾选您想移出的弹性公网IP.
6.
设置EIP移出后规格.
支持修改EIP的计费模式和带宽大小.
7.
单击"确定".
5.
5修改共享带宽操作场景您可以根据需要修改共享带宽的名称、计费方式和带宽大小.
修改成功后立即生效.
虚拟私有云用户指南5共享带宽文档版本48(2021-03-05)版权所有华为技术有限公司91操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在左侧导航栏,选择"弹性公网IP和带宽>共享带宽".
5.
在共享带宽列表中找到您想修改的共享带宽,在"操作"列单击"修改带宽",修改共享带宽的参数.
6.
单击"下一步".
7.
单击"提交",完成修改.
5.
6删除共享带宽操作场景对于按需计费的共享带宽,当您不需要时可以直接删除.
约束与限制对于包年包月的共享带宽,您可以退订,但不能直接删除.
前提条件删除共享带宽前您需要先移出共享带宽内的弹性公网IP,详情请参见从共享带宽中移出弹性公网IP.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在左侧导航栏,选择"弹性公网IP和带宽>共享带宽".
5.
在共享带宽列表中找到您想删除的按需计费的共享带宽,在"操作"列选择"更多>删除".
6.
单击"是",删除该共享带宽.
虚拟私有云用户指南5共享带宽文档版本48(2021-03-05)版权所有华为技术有限公司926共享流量包6.
1共享流量包简介共享流量包是一款带宽流量套餐产品,使用方便,价格实惠.
购买共享流量包后立即生效,并自动抵扣按需按流量计费的EIP带宽产生的流量资费,直到流量包用完或到期.
支持两种类型的共享流量包,静态BGP类型支持抵扣按需按流量的静态BGP带宽流量资费,动态BGP类型支持抵扣按需按流量的动态BGP带宽流量资费.
共享流量包支持包月和包年两种规格,包年价格更优惠,支持购买多个共享流量包,优先抵扣快到期的流量包.
约束与限制共享流量包不支持退订.
共享流量包对所有按需按流量的EIP带宽生效,不支持对指定的某一个EIP带宽生效,不支持对共享带宽生效.
6.
2购买共享流量包操作场景共享流量包需要购买才能使用.
购买共享流量包后立即生效,并自动抵扣按需按流量计费的EIP带宽产生的流量资费,直到流量包用完或到期.
不支持对指定的某一个EIP带宽生效,不支持对共享带宽生效,不支持退订.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在左侧导航栏,选择"弹性公网IP和带宽>共享流量包".
虚拟私有云用户指南6共享流量包文档版本48(2021-03-05)版权所有华为技术有限公司935.
在页面右上角,选择"购买共享流量包",按照提示配置参数.
表6-1参数说明参数说明取值样例区域不同区域的资源之间内网不互通.
请选择靠近您客户的区域,可以降低网络时延、提高访问速度.
华北-北京一类型根据弹性公网IP的带宽类型进行设置.
动态BGP:支持类型为动态BGP的按需按流量计费带宽.
静态BGP:支持类型为静态BGP的按需按流量计费带宽.
静态BGP套餐有效期套餐时长.
请根据您的需要选择合适的套餐时长,流量包不支持退订,流量包购买成功后即刻生效,超过有效期后未用完的流量将无法使用.
一个月共享流量包规格共享流量包的大小,单位GB.
10GB购买时长套餐时长.
Default6.
单击"立即购买".
虚拟私有云用户指南6共享流量包文档版本48(2021-03-05)版权所有华为技术有限公司947带宽加油包7.
1带宽加油包简介带宽加油包用来临时调大带宽上限,适用于在有效期内的包年包月独享带宽和共享带宽.
当某个时间段业务量激增(例如:双11),需要在这个时间段临时调整带宽规格,您可以通过购买带宽加油包,设置有效期时间来解决.
加油包到期将自动失效,恢复到原来的带宽规格.
7.
2购买带宽加油包操作场景带宽加油包需要购买才能使用.
可以为同一带宽购买多个带宽加油包,但有效期时间不能重复.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在左侧导航栏,选择"弹性公网IP和带宽>带宽加油包".
5.
在页面右上角,单击"购买带宽加油包",按照提示配置参数.
表7-1参数说明参数说明取值样例区域不同区域的资源之间内网不互通.
请选择靠近您客户的区域,可以降低网络时延、提高访问速度.
华北-北京一名称带宽加油包的名称.
bandpkg-001虚拟私有云用户指南7带宽加油包文档版本48(2021-03-05)版权所有华为技术有限公司95参数说明取值样例带宽加油包的作用带宽.
Bandwidth-001新带宽大小新的带宽大小,必须大于原带宽大小,单位Mbit/s.
10有效期带宽加油包生效的开始时间和结束时间,按天计算.
加油包有效期必须在带宽的有效期内.
-6.
单击"立即购买".
7.
3修改带宽加油包操作场景您可以修改带宽加油包的名称.
约束与限制不支持直接修改带宽加油包大小、有效期等参数.
如果想修改,请先退订当前的加油包,然后重新购买新的加油包.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在左侧导航栏,选择"弹性公网IP和带宽>带宽加油包".
5.
在列表中找到您想修改的带宽加油包,单击"操作"列的"修改",修改带宽加油包的名称.
6.
单击"确定".
7.
4退订带宽加油包操作场景当您想提前结束带宽加油包时,可以退订带宽加油包.
已经使用的时长会收取对应的费用.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
虚拟私有云用户指南7带宽加油包文档版本48(2021-03-05)版权所有华为技术有限公司964.
在左侧导航栏,选择"弹性公网IP和带宽>带宽加油包".
5.
在列表中找到您想退订的带宽加油包,单击"操作"列的"退订",退订当前的带宽加油包.
虚拟私有云用户指南7带宽加油包文档版本48(2021-03-05)版权所有华为技术有限公司978路由表8.
1路由表简介路由表中包含一系列被称为路由的规则,可用于判断网络流量的导向目的地.
用户可以在虚拟私有云内添加自定义的路由规则,通过该路由规则使得虚拟私有云内没有绑定弹性公网IP的弹性云服务器能够访问Internet.
相关背景当前在部分区域中,路由表已从虚拟私有云中解耦,解耦后路由表拥有独立入口,支持路由表与子网关联功能,请以实际界面为准.
未解耦:在虚拟私有云详情页的"路由表"页签,可对路由表进行操作.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"路由表",可对路由表进行操作.
图8-1路由表入口本章节适用于路由表未解耦区域,已解耦的区域用户请参考路由表(解耦).
虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司988.
2VPC内自定义路由示例VPC内自定义路由,用于将同一个VPC内弹性云服务器发起的流量,路由到该VPC内的指定的弹性云服务器.
主要包含以下两个场景:当VPC内的云服务器需要访问Internet,用户可以添加自定义路由,通过绑定弹性公网IP的服务器访问Internet网络.
在通过自定义路由访问Internet网络时,目的地址配置为默认的0.
0.
0.
0/0(不能配置为具体的公网网段),下一跳为本VPC内ECS绑定了EIP的私有IP或者绑定了EIP的虚拟IP.
当VPC内的云服务器需要访问容器网络时,用户可以添加自定义路由,通过配置了容器的服务器访问容器网络.
在通过自定义路由访问ECS内部容器网络时,目的地址可以配置为默认的0.
0.
0.
0/0,也可以配置为容器网络的网段,下一跳为本VPC下已经配置了容器网络的ECS的私有IP或者虚拟IP.
每条路由信息的目的地址不能重复.
通过自定义路由访问Internet网络场景举例一个VPC内创建了两个弹性云服务器ECS1和ECS2,ECS1绑定了弹性公网IP,ECS2没有绑定弹性公网IP,您可以添加VPC的自定义路由,使得ECS2可以通过ECS1访问Internet网络.
图8-2通过自定义路由访问Internet网络配置方法1.
VPC的自定义路由配置如表8-1,目的地址配置为默认0.
0.
0.
0/0,下一跳地址为ECS1绑定了EIP的私有IP或者绑定了EIP的虚拟IP.
表8-1自定义路由目的地址下一跳地址0.
0.
0.
0/0ECS1的私有IP地址/虚拟IP地址虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司99说明通过自定义路由访问Internet网络时,目的地址配置为默认0.
0.
0.
0/0,不能配置为具体的公网网段.
如果下一跳地址是虚拟IP,则虚拟IP必须绑定弹性公网IP,否则无法通过虚拟IP访问Internet网络.
2.
参考配置SNAT服务器为下一跳ECS配置SNAT服务器.
通过自定义路由访问ECS内部容器网络场景举例一个VPC内创建了两个弹性云服务器ECS1和ECS2,ECS1内部配置了容器网络,ECS2想要访问ECS1的容器网络,您可以添加VPC的自定义路由,使得ECS2可以通过ECS1访问容器网络.
图8-3通过自定义路由访问ECS内部容器网络配置方法1.
VPC的自定义路由配置如表8-2,目的地址可以配置为默认0.
0.
0.
0/0,也可以配置为容器网络所在的网段,下一跳为本VPC下已经配置了容器网络的ECS的私有IP或者虚拟IP.
表8-2自定义路由目的地址下一跳地址0.
0.
0.
0/0ECS1的私有IP/虚拟IP2.
参考配置SNAT服务器为下一跳ECS配置SNAT服务器.
8.
3VPC外自定义路由示例VPC外自定义路由,用于将VPC外部发起的流量,路由到VPC内的指定弹性云服务器.
在设置自定义路由时,目的地址可以配置为默认的0.
0.
0.
0/0,也可以配置为其他网段(不能与本VPC下子网网段冲突),每条路由信息的目的地址不能配置重复.
VPC间自定义路由场景举例虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司100两个VPC之间建立了对等连接,您可以添加VPC的自定义路由,使得VPC2下的弹性云服务器可以通过对端VPC1下绑定了EIP的弹性云服务器访问Internet.
图8-4VPC间自定义路由配置方法1.
VPC1和VPC2建立对等连接,如图8-5所示.
图8-5VPC1和VPC2建立对等连接对等连接路由配置,如表8-3和表8-4所示.
虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司101表8-3SubnetA关联的路由表中的对等连接路由目的地址下一跳地址192.
168.
10.
0/24pc-01表8-4SubnetX关联的路由表中的对等连接路由目的地址下一跳地址192.
168.
1.
0/24pc-010.
0.
0.
0/0pc-01说明其中pc-01为对等连接的ID,自动生成,不可配置.
2.
自定义路由配置,如表8-5所示.
表8-5VPC1默认路由表中的自定义路由目标网段下一跳地址0.
0.
0.
0/0ECS1的私有IP/虚拟IP说明通过自定义路由访问Internet网络时,目的地址配置为默认0.
0.
0.
0/0,不能配置为具体的公网网段.
如果下一跳地址是虚拟IP,则虚拟IP必须绑定弹性公网IP,否则无法通过虚拟IP访问Internet网络.
3.
参考配置SNAT服务器为下一跳ECS配置SNAT服务器.
VPC与云专线间的路由场景举例您可以添加VPC的自定义路由,将云专线进来的所有报文路由到VPC内的指定主机.
除了云专线的配置外,VPC需要按照表8-6添加自定义路由.
虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司102图8-6VPC与云专线间的路由配置方法1.
VPC的自定义路由配置如表8-6,目的地址配置为默认0.
0.
0.
0/0,下一跳为ECS的私有IP或者虚拟IP.
表8-6VPC自定义路由表目的地址下一跳地址0.
0.
0.
0/0ECS的私有IP/虚拟IP2.
参考配置SNAT服务器为下一跳ECS配置SNAT服务器.
8.
4配置SNAT服务器操作场景当您在使用VPC的路由表功能时,需要在弹性云服务器上部署SNAT,使得VPC内其他没有绑定EIP的弹性云服务器可以通过它访问Internet.
该配置对VPC内所有子网生效.
前提条件已拥有需要部署SNAT的弹性云服务器.
待部署SNAT的弹性云服务器操作系统为Linux操作系统.
待部署SNAT的弹性云服务器网卡已配置为单网卡.
虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司103SNAT服务器与NAT网关服务差异NAT网关(NATGateway)能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器、云桌面)或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器,提供网络地址转换服务,使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务.
对比SNAT服务器实例,NAT网关具有配置简单、灵活易用、支持跨子网部署、跨可用区部署、支持多种网关规格等优势,您可以在管理控制台选择"网络>NAT网关"进行体验.
更多内容请参见《NAT网关用户指南》.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,单击"计算>弹性云服务器".
4.
在右侧弹性云服务器界面,单击需要设置SNAT的弹性云服务器名称,进入弹性云服务器详情页面.
5.
在弹性云服务器详情页面单击"网卡"页签.
6.
单击网卡IP地址,在展开的网卡详情区域内设置"源/目的检查"状态为"关闭".
默认情况下,"源/目的检查"状态为"启用",系统会检查弹性云服务器发送的报文中源IP地址是否正确,否则不允许弹性云服务器发送该报文.
这有助于防止伪装报文攻击,提升安全性.
但在SNAT场景中,SNAT实例起转发作用,这种保护机制会导致报文的发送者无法接收到返回的报文.
这种保护机制可以通过设置"源/目的检查"状态为禁用.
7.
绑定EIP.
–为弹性云服务器的私有IP绑定EIP,详情请参见为弹性云服务器申请和绑定弹性公网IP.
–为弹性云服务器的虚拟IP绑定EIP,详情请参见为虚拟IP地址绑定弹性公网IP或弹性云服务器.
8.
打开待配置SNAT弹性云服务器详情页面,通过remotelogin登录服务器.
9.
执行如下命令,输入root密码,切换至root.
su-root10.
执行如下命令,检测弹性云服务器是否可以正常连接Internet.
说明执行如下命令前,关闭SNAT服务器上响应的IPtables规则,开放安全组规则.
pingwww.
huawei.
com回显如下所示,表示弹性云服务器可以正常连接Internet.
[root@localhost~]#pingwww.
huawei.
comPINGwww.
a.
shifen.
com(xxx.
xxx.
xxx.
xxx)56(84)bytesofdata.
64bytesfromxxx.
xxx.
xxx.
xxx:icmp_seq=1ttl=51time=9.
34ms64bytesfromxxx.
xxx.
xxx.
xxx:icmp_seq=2ttl=51time=9.
11ms64bytesfromxxx.
xxx.
xxx.
xxx:icmp_seq=3ttl=51time=8.
99ms11.
执行如下命令,查看Linux操作系统的IP转发功能是否已开启.
cat/proc/sys/net/ipv4/ip_forward虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司104回显结果:1为开启,0为关闭,默认为0.
–是,执行14.
–否,执行12,开启Linux的IP转发功能.
许多操作系统支持路由报文.
操作系统需要在转发报文前将报文的源IP地址转换成操作系统的IP地址,因此,发送的报文带有公共发送者的IP地址,而返回的报文能够原路返回,这种方式称为SNAT.
操作系统需要跟踪转换过IP地址的报文,确保返回的报文中目的IP地址可以被重写,且报文能够转发给原始的报文发送者.
这一过程实现需要启用IP转发功能,并设置SNAT规则.
12.
使用vi打开"/etc/sysctl.
conf"文件,修改net.
ipv4.
ip_forward=1,按":wq"保存退出.
13.
执行如下命令,使修改生效.
sysctl-p/etc/sysctl.
conf14.
配置SNAT.
执行如下命令,允许网段(例如:192.
168.
1.
0/24)内所有弹性云服务器内访外配置.
实例如图8-7所示.
iptables-tnat-APOSTROUTING-oeth0-ssubnet-jSNAT--tonat-instance-ip图8-7配置SNAT说明如需实现重启后规则不丢失,则需把规则写在/etc/rc.
local文件中.
1.
执行以下命令进入/etc/rc.
local文件.
vi/etc/rc.
local2.
执行14配置SNAT3.
执行以下命令保存并退出.
:wq4.
执行以下命令添加rc.
local文件的执行权限.
#chmod+x/etc/rc.
local为保证配置正常生效,请执行iptables-L命令查看已配置的规则是否有冲突.
15.
执行如下命令,查看是否配置成功.
如图8-8所示,则表示配置成功(例如:192.
168.
1.
0/24).
iptables-tnat--list虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司105图8-8验证设置16.
添加自定义路由,详见添加自定义路由.
目的地址是0.
0.
0.
0/0,下一跳地址是SNAT服务器的私有IP或者虚拟IP(例如:192.
168.
1.
4).
按以上操作完成配置后,如果出现网络不通等情况,请检查您的安全组、网络ACL配置,是否放通了对应流量.
8.
5添加自定义路由操作场景当VPC内的弹性云服务器需要访问Internet,用户可以添加自定义路由,通过绑定弹性公网IP的服务器访问Internet网络.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要添加路由的虚拟私有云名称.
6.
在"路由表"页签,单击"添加路由信息".
7.
根据弹出框中提示,填写路由信息.
图8-9添加路由信息虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司106–"目的地址"是目的网段,默认是0.
0.
0.
0/0,如果是VPC内部发起的流量,则"目的地址"可以为该VPC下的子网地址.
如果是VPC外部发起的流量,则"目的地址"不能与该VPC下子网网段冲突.
但是,每条路由信息的目的地址不能重复.
–"下一跳地址"是VPC内的私有IP地址或虚拟IP.
说明如果下一跳地址是虚拟IP,这个虚拟IP必须绑定EIP,否则无法通过自定义路由到虚拟IP访问Internet.
8.
单击"确定",完成创建.
8.
6查询路由表操作场景已经创建的路由表,您可以随时查询单个路由表或所有路由表的信息.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要查询路由的虚拟私有云名称.
6.
在路由表列中查看单个路由表或者所有路由表信息.
8.
7修改路由操作场景修改路由的目的地址、下一跳地址.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要修改路由的虚拟私有云名称.
6.
在"路由表"页签中,单击需要修改的路由信息所在行的"操作"列下的"修改".
根据弹出框提示,修改路由信息.
7.
单击"确定",完成修改.
虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司1078.
8删除路由操作场景您可以随时删除已创建的路由.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要删除路由的虚拟私有云名称.
6.
在"路由表"页签中,单击需要删除的路由信息所在行的"操作"列下的"删除".
7.
单击"是",完成删除.
虚拟私有云用户指南8路由表文档版本48(2021-03-05)版权所有华为技术有限公司1089路由表(解耦)9.
1路由表简介相关背景当前在部分区域中,路由表已从虚拟私有云中解耦,解耦后路由表拥有独立入口,支持路由表与子网关联功能,请以实际界面为准.
未解耦:在虚拟私有云详情页的"路由表"页签,可对路由表进行操作.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"路由表",可对路由表进行操作.
图9-1路由表入口本章节适用于路由表已解耦区域,未解耦的区域用户请参考路由表.
路由表路由表由一系列路由规则组成,用于控制虚拟私有云内子网的出流量走向.
VPC中的每个子网都必须关联一个路由表,一个子网一次只能关联一个路由表,但一个路由表可以关联多个子网.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司109默认路由表和自定义路由表用户创建虚拟私有云时,系统会自动为其生成一个默认路由表,创建子网后,子网会自动关联默认路由表.
您可以在默认路由表中添加、删除和修改路由规则,但不能删除默认路由表.
创建VPN、云专线、云连接服务时,默认路由表会自动下发路由,该路由不能删除和修改,您可以将子网关联到自定义路由表或者复制该条路由到自定义路由表中,在自定义路由表中添加、修改和删除路由.
您可以直接使用默认路由表,也可以为具有相同路由规则的子网创建一个自定义路由表,并将自定义路由表与子网关联.
自定义路由表可以删除.
说明子网关联自定义路由表仅影响子网的出流量走向,入流量仍然匹配默认路由表.
当前自定义路由表需提交工单申请,如需使用自定义路由表,请在创建路由表页面单击"申请扩大配额"或在页面右上角单击"更多>工单>新建工单"申请扩大路由表配额.
更多提交工单信息请参考提交工单.
创建自定义路由表的方法请参见创建自定义路由表.
路由路由即路由规则,在路由中通过配置目的地址、下一跳类型、下一跳地址等信息,来决定网络流量的走向.
路由分为系统路由和自定义路由.
系统路由:系统自动添加且无法修改或删除的路由.
创建路由表后,系统会自动在路由表中添加如下的系统路由,表示VPC内实例互通.
–目的地址是100.
64.
0.
0/10、198.
19.
128.
0/20的路由.
–目的地址是子网网段的路由.
说明除以上系统路由外,系统还会自动添加目的地址是127.
0.
0.
0/8的路由,表示本地回环地址.
自定义路由:可以修改和删除的路由.
自定义路由的目地地址不能与系统路由的目地地址重叠.
您可以通过添加自定义路由来自定义网络流量的走向,您需要指定目的地址、下一跳类型、下一跳地址.
支持的下一跳类型如表9-1所示.
表9-1下一跳类型下一跳类型说明ECS实例将指向目的地址的流量转发到虚拟私有云内的一台ECS实例.
扩展网卡将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡.
VPN网关将指向目的地址的流量转发到一个VPN网关.
云连接将指向目的地址的流量转发到云连接.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司110下一跳类型说明云专线网关将指向目的地址的流量转发到一个云专线网关.
NAT网关将指向目的地址的流量转发到一个NAT网关.
对等连接将指向目的地址的流量转发到一个对等连接.
虚拟IP将指向目的地址的流量转发到一个虚拟IP地址,可以通过该虚拟IP地址将流量转发到主备ECS.
VPC终端节点将指向目的地址的流量转发到一个VPC终端节点.
云容器引擎将指向目的地址的流量转发到一个云容器引擎的节点.
说明当为默认路由表添加自定义路由时,下一跳类型不支持选择VPN网关与云专线网关.
个别由系统下发的路由可供用户修改和删除,这取决于创建对端服务时是否已设置目的地址.
例如,创建NATGateWay时,没有指定目的地址,系统会自动下发一条自定义类型的路由,可供用户自行调整.
而创建VPN网关时,可以指定远端子网,也就是路由表的目的地址,系统将下发系统类型的路由.
如果在路由表页面更改将会导致与对端数据不一致,您可以前往对端服务页面修改远端子网来调整路由表中的路由规则.
自定义路由表配置流程创建并配置自定义路由表的流程如图9-2所示.
图9-2路由表配置流程虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司1111.
参考创建自定义路由表创建自定义路由表.
2.
参考添加自定义路由添加自定义路由规则.
3.
参考关联子网与路由表关联子网,关联成功后,路由规则对该子网生效.
约束与限制每个路由表最多添加200个路由.
默认路由表不能删除.
系统路由不能修改和删除.
由VPN、云专线、云连接服务下发到默认路由表中的路由不能修改和删除.
云容器引擎类型的路由不支持修改、复制和删除.
由VPC终端节点服务下发到默认路由表的网关类型终端节点的路由不能修改、复制和删除,并且自定义路由表中的网关类型终端节点的路由也不能修改和删除.
当为默认路由表添加自定义路由时,下一跳类型不支持选择VPN网关与云专线网关.
9.
2创建自定义路由表操作场景当您不想使用默认路由表时,可以创建自定义路由表.
当前自定义路由表需提交工单申请,如需使用自定义路由表,请在创建路由表页面单击"申请扩大配额"或在页面右上角单击"更多>工单>新建工单"申请扩大路由表配额.
更多提交工单信息请参考提交工单.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏,选择"路由表".
5.
在页面右上角,单击"创建路由表",按照提示配置参数.
表9-2参数说明参数说明取值样例路由表名称路由表的名称,必填项.
路由表的名称只能由中文、英文字母、数字、"_"、"-"和".
"组成,且不能有空格,长度不能大于64个字符.
rtb-001所属VPC选择路由表归属的VPC,必填项.
vpc-001虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司112参数说明取值样例描述路由表的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-添加路由路由规则信息,非必填项.
路由规则可以在此处添加,也可以在路由表创建完成后,参考添加自定义路由添加.
单击"+"可以依次增加多条路由.
-6.
单击"确定",完成创建.
系统出现信息提示页面,您可根据提示选择是否立即关联子网.
若您想要立即关联子网,请参考以下步骤进行关联:a.
单击"关联子网",进入路由表详情页面的"关联子网"页签.
b.
单击"关联子网",选择需要关联的子网.
c.
单击"确定",完成关联.
9.
3添加自定义路由操作场景每个路由表会自带一条系统默认路由,含义为VPC内实例互通.
您可以根据需要添加自定义路由规则,将指向目的地址的流量转发到指定的下一跳地址.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,单击需要添加路由规则的路由表名称.
6.
单击"添加路由",按照提示配置参数.
单击"+"可以依次增加多条路由.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司113图9-3添加路由表9-3参数说明参数说明取值样例目的地址目的地址网段.
目的地址不能与已有路由冲突,目的地址也不能与VPC下子网网段冲突.
192.
168.
0.
0/16下一跳类型选择下一跳资源类型.
支持的资源类型请参见表9-1.
说明当为默认路由表添加或修改自定义路由时,下一跳类型不支持选择VPN网关与云专线网关.
ECS实例下一跳选择下一跳资源.
下拉列表包含资源将基于您所选的资源类型进行展示.
ecs-001描述路由的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-7.
单击"确定",完成添加.
9.
4关联子网与路由表操作场景为路由表关联子网.
关联后,该路由表的路由规则将对该子网生效,该子网下的云资源将启用这个新的路由策略,请确认对业务造成的影响,谨慎操作.
约束与限制一个子网只能关联一个路由表.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司114操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,单击操作列的"关联子网".
6.
选择需要关联的子网.
图9-4关联子网7.
单击"确定",完成关联.
9.
5更换子网关联的路由表操作场景更换子网已经关联的路由表为该VPC下其他的路由表.
更换路由表后,子网下资源将启用新路由表策略,请确认对业务造成的影响.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,单击路由表名称.
6.
在关联子网页签下,单击操作列的"更换路由表",根据提示,选择新的路由表.
7.
单击"确定",完成更换.
更换路由表后,子网下资源将启用新路由表策略.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司1159.
6查询路由表操作场景查看路由表基本信息、路由、关联的子网等信息.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,单击路由表的名称,查看详情.
9.
7删除路由表操作场景自定义路由表可以删除,系统默认路由表不能删除.
前提条件删除路由表之前,请确保该自定义路由表下面没有关联子网.
如果存在关联子网,请通过"更换路由表"将子网关联到其他的路由表,然后尝试删除.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,找到需要删除的路由表,单击操作列的"删除".
6.
单击"是".
9.
8修改路由操作场景修改已经存在的路由.
约束与限制系统路由不能修改.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司116由VPN、云专线、云连接服务下发到默认路由表中的路由不能修改.
由VPC终端节点服务下发到默认路由表的网关类型终端节点的路由不能修改,并且自定义路由表中的网关类型终端节点的路由也不能修改.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,单击路由表名称.
6.
找到需要修改的路由,单击操作列的"修改".
7.
根据弹出框提示,修改路由规则.
表9-4参数说明参数说明取值样例目的地址目的地址网段.
目的地址不能与已有路由冲突,目的地址也不能与VPC下子网网段冲突.
192.
168.
0.
0/16下一跳类型选择下一跳资源类型.
支持的资源类型请参见表9-1.
说明当为默认路由表添加或修改自定义路由时,下一跳类型不支持选择VPN网关与云专线网关.
ECS实例下一跳选择下一跳资源.
下拉列表包含资源将基于您所选的资源类型进行展示.
ecs-001描述路由的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-8.
单击"确定".
9.
9删除路由操作场景您可以随时删除已创建的自定义路由.
约束与限制系统路由不能删除.
由VPN、云专线、云连接服务下发到默认路由表中的路由不能删除.
由VPC终端节点服务下发到默认路由表的网关类型终端节点的路由不能删除,并且自定义路由表中的网关类型终端节点的路由也不能删除.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司117操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,单击路由表名称.
6.
找到需要删除的路由,单击操作列的"删除".
7.
单击"是".
9.
10复制路由操作场景您可以随时复制已创建的路由.
约束与限制由VPC终端节点服务下发到默认路由表的网关类型终端节点的路由不能复制.
由VPN服务下发到默认路由表中的路由不能复制.
手工开通方式的云专线下发至默认路由表中的路由不能复制.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,单击操作列的"复制路由".
6.
根据界面提示,选择需要复制的路由和目标路由表.
页面所列路由为目标路由表中不存在的路由.
您可以选择一个或多个路由复制到目标路由表.
7.
单击"确定".
9.
11导出路由表列表操作场景您可以将当前帐号下拥有的路由表信息,以Excel文件的形式导出至本地.
该文件记录了路由表的名称、ID、所属VPC、类型、关联子网个数等.
操作步骤1.
登录管理控制台.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司1182.
在管理控制台左上角单击,选择区域和项目.
3.
选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表页,单击右上角的.
系统会将您帐号下,当前区域的所有路由表信息自动导出为Excel文件,并下载至本地.
虚拟私有云用户指南9路由表(解耦)文档版本48(2021-03-05)版权所有华为技术有限公司11910VPC对等连接10.
1对等连接简介对等连接是指两个VPC之间的网络连接.
您可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样.
同一区域内,您可以在自己的VPC之间创建对等连接,也可以在自己的VPC与其他帐户的VPC之间创建对等连接.
不同区域间的VPC之间不能创建对等连接.
图10-1对等连接约束与限制有重叠子网网段的VPC建立的对等连接,可能不生效.
两个VPC之间不能同时建立多个VPC对等连接.
不同区域的VPC不能创建对等连接.
VPC1与VPC2创建对等连接,默认情况下VPC2不能通过VPC1的EIP访问公网.
您可以通过使用NAT网关服务或配置SNAT服务器,使得VPC2下的弹性云服务器可以通过VPC1下绑定了EIP的弹性云服务器访问Internet.
具体实现方式请参见无公网IP的弹性云服务器访问Internet.
跨租户申请VPC对等连接,需要对端租户接受后,才能生效.
同租户申请对等连接默认已接受.
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司120对等连接建立后,需要在本端VPC、对端VPC分别添加对方子网的路由才能通信.
VPCA与B、C分别建立对等连接,如果B、C两个VPC的网段有重叠,A中无法添加具有相同目的网段的路由.
为了安全起见,请不要接受来自未知帐号的对等连接申请.
对等连接双方帐号都有权限删除对等连接,一方删除对等连接后,对等连接的所有信息会被立刻删除,包括对等连接关联的路由信息.
如果两个VPC的CIDR有重叠,建立对等连接时,只能针对子网建立对等关系.
如果两个VPC下的子网网段有重叠,那么该对等关系不生效.
建立对等连接时,请确保两个VPC之间没有重叠的子网.
VPC对等连接路由存在时,VPC无法被删除.
支持在华为云中国站和国际站同一区域创建对等连接.
10.
2对等连接路由配置方案当您需要两个VPC互相通信时,可以通过在VPC间建立对等连接的方式实现.
拥有不同CIDR的VPC可创建指向整个VPC的对等连接路由,具有重叠CIDR的VPC只能针对子网创建对等连接路由.
指向整个VPC的对等连接路由配置.
–指向整个VPC的对等连接包含以下几种情况:两个VPC之间建立对等连接,多个VPC之间建立对等连接.
–不论是哪种情况,只要是指向整个VPC的对等连接路由配置,建立对等连接的所有VPC的CIDR都不能重叠,否则连接失效,路由不通.
–指向整个VPC的对等连接的路由配置,目的地址为对端VPC的CIDR,下一跳地址为对等连接ID.
假设VPC1和VPC2拥有不同的CIDR,那么,可以创建指向整个VPC的对等连接路由.
对等关系如图10-2所示.
图10-2VPC1和VPC2建立对等连接图中VPC1和VPC2的需要通过添加路由来建立对等关系.
对等连接路由配置如图10-3所示,配置完成后,VPC1和VPC2就建立了对等关系,可以相互通信.
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司121图10-3VPC1和VPC2的对等连接路由表指向子网的对等连接路由配置.
如果VPC间的CIDR有重叠,建立对等连接时,只能针对子网建立对等关系.
如果VPC下的子网网段有重叠,那么该对等关系不生效.
建立对等连接时,请确保VPC之间没有重叠的子网.
假设VPC1和VPC2的CIDR相同且相互之间子网没有重叠,那么,可以在两个不同的子网间建立对等连接,具体是哪些子网具有对等关系,是在路由表里体现的.
对等关系如图10-4.
图中VPC1的子网A和VPC2的子网X需要通过添加路由来建立对等关系.
图10-4网A和子网X建立对等连接子网A和子网X的对等连接路由配置如图10-5所示,配置完成后,子网A与子网X就建立了对等关系,可以相互通信.
图10-5子网A和子网X的对等连接路由表虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司122如果两个VPC之间的子网网段有重叠,那么建立的对等连接将无效,无法相互通信.
如图10-6所示,由于子网B与子网X的网段相同,因此子网A会优先访问同VPC内与子网X具有同网段的子网B,从而子网A和子网X无法建立对等关系.
图10-6无效的对等连接当VPC1与多个VPC(比如:VPC2、VPC3、VPC4)建立对等连接时,VPC1与这些VPC下的子网CIDR都不能重叠.
如果VPC2、VPC3、VPC4具有重叠子网,重叠子网不能同时作为对等子网与VPC1的子网建立对等关系.
1个子网与其他N个子网建立对等关系时,所有子网的网段彼此都不能重叠.
10.
3创建同一帐户下的对等连接操作场景创建对等连接首先要向需要建立对等连接的VPC发送请求,您可以和自己帐户内相同区域的其他VPC申请对等连接,同帐户内同区域的VPC创建对等连接,默认自动接受.
本小节以帐户内vpc-01和vpc-02为例,创建同一帐户下的对等连接.
假设vpc-01的CIDR为192.
168.
10.
0/24,vpc-02的CIDR为192.
168.
2.
0/24.
对等连接路由信息如所示.
图10-7vpc-01和vpc-02对等连接路由表虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司123操作流程图10-8同帐户的VPC创建对等连接流程在同一个帐户下,创建对等连接后,状态是已接受.
您需要在两端VPC内添加对等连接路由信息,才能使两个VPC互通.
说明当前在部分区域中,由于路由表已从虚拟私有云中解耦,解耦后路由表拥有独立入口,配置VPC对等连接路由时,需要前往路由表界面进行操作.
具体配置时请根据界面提示为准.
未解耦:在虚拟私有云详情页的"路由表"页签,可对路由表进行操作.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"路由表",可对路由表进行操作.
若您所在区域,路由表未解耦,请参考添加VPC对等连接路由(路由表未解耦).
若您所在区域,路由表已解耦,请参考添加VPC对等连接路由(路由表已解耦).
前提条件已创建相同区域内的两个VPC.
创建VPC对等连接1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"对等连接".
5.
在界面右侧详情区域单击"创建对等连接".
6.
根据界面提示配置参数,其中"帐户"选择"当前帐户",相关参数如表10-1所示.
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司124图10-9创建对等连接表10-1参数说明参数说明取值样例名称对等连接名称.
由中文字符、英文字母、数字、中划线、下划线等构成,一般不超过64个字符.
peering-001本端VPC本端VPC.
可在下拉框中选择.
vpc_01本端VPC网段本端VPC网段.
192.
168.
10.
0/24帐户建立对等连接的帐号:当前帐户:表示在同一个帐户内、同一个区域下的不同VPC间建立对等连接.
其他帐户:表示在同一个区域下的不同帐户的VPC间建立对等连接.
当前帐户对端项目对端项目名称,默认为当前项目的项目名称.
aaa对端VPC对端VPC.
同帐户PeerVPC可在下拉框中选择.
vpc_02虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司125参数说明取值样例对端VPC网段对端VPC网段.
对端VPC网段不能和本端VPC网段相同或有重叠网段,否则对等连接路由可能会失效.
192.
168.
2.
0/247.
单击"确定".
添加VPC对等连接路由(路由表未解耦)相同帐户创建VPC对等连接,默认自动接受请求,要使对等连接的VPC可以路由数据,还需要添加VPC对等连接本端、对端路由信息.
1.
在系统首页,选择"网络>虚拟私有云".
2.
在左侧导航栏选择"对等连接".
3.
在对等连接列表中,查找需要添加路由信息的对等连接.
4.
单击对等连接名称,进入对等连接详情页面.
5.
在"本端路由"页签区域,单击"添加本端路由"添加本端路由信息,参数说明参考表10-2.
图10-10添加本端路由表10-2路由参数说明参数说明取值样例目的地址目的地址,对端VPC或子网的网段.
192.
168.
2.
0/24下一跳地址下一跳地址,即对等连接ID,默认不用配置.
d1a7863b-9d5e-4d27-8eaf-ab14d2a9148b6.
单击"确定",回到对等连接详情界面.
7.
在对等连接详情界面,单击"对端路由".
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司1268.
在"对端路由"页签区域,单击"添加对端路由"添加对端路由信息.
9.
单击"确定",完成添加VPC对等连接路由信息.
对等连接建立后,您可以使用私有IP地址在两个VPC之间进行通信.
您可以使用"ping"命令检查网络两端是否连通.
使用"ping"命令时,需检查是否已在安全组中放通ICMP入站规则,添加规则操作请参见添加安全组规则.
添加VPC对等连接路由(路由表已解耦)相同帐户创建VPC对等连接,默认接受请求,要使对等连接的VPC可以路由数据,还需要在路由表中添加VPC对等连接本端、对端路由信息.
1.
在系统首页,选择"网络>虚拟私有云".
2.
在左侧导航栏选择"路由表".
3.
查找或创建本端VPC对应的路由表,添加本端路由.
参数说明如表10-3所示.
图10-11添加本端路由表10-3参数说明参数说明取值样例目的地址对端VPC的网段.
192.
168.
2.
0/24下一跳类型选择"对等连接".
对等连接下一跳选择当前对等连接的名称.
peering-001描述路由的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-4.
查找或创建对端VPC对应的路由表,添加对端路由.
对等连接建立后,您可以使用私有IP地址在两个VPC之间进行通信.
您可以使用"ping"命令检查网络两端是否连通.
使用"ping"命令时,需检查是否已在安全组中放通ICMP入站规则,添加规则操作请参见添加安全组规则.
相关操作为什么对等连接创建完成后不能互通虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司12710.
4创建不同帐户下的对等连接操作场景VPC支持本帐户与其他帐户内相同区域的VPC创建对等连接.
与其他帐户内相同区域的VPC创建对等连接时,需要对端帐户接受对等连接请求,才能建立有效对等连接.
本帐户与其他帐户均不收取费用.
本小节以分别属于不同帐户下的vpc-01和vpc-03为例,创建不同帐户下的对等连接.
假设vpc-01的CIDR为192.
168.
10.
0/24,vpc-03的CIDR为192.
168.
3.
0/24.
对等连接路由信息如所示.
图10-12vpc-01和vpc-03对等连接路由表操作流程图10-13跨帐户的VPC创建对等连接流程跨帐户创建VPC对等连接时,一端VPC发起创建对等连接请求,对等连接状态为待接受.
待对方接受该创建请求后,对等连接状态变为已接受,请求方和接受方须分别配置对等连接路由信息,才能使两个VPC互通.
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司128说明当前在部分区域中,由于路由表已从虚拟私有云中解耦,解耦后路由表拥有独立入口,配置VPC对等连接路由时,需要前往路由表界面进行操作.
具体配置时请根据界面提示为准.
未解耦:在虚拟私有云详情页的"路由表"页签,可对路由表进行操作.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"路由表",可对路由表进行操作.
若您所在区域,路由表未解耦,请参考添加VPC对等连接路由(路由表未解耦).
若您所在区域,路由表已解耦,请参考添加VPC对等连接路由(路由表已解耦).
创建VPC对等连接1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"对等连接".
5.
在界面右侧详情区域单击"创建对等连接".
6.
根据界面提示配置参数,其中"帐户"选择"其他帐户".
图10-14创建对等连接虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司129表10-4参数说明参数说明取值样例名称对等连接名称.
由中文字符、英文字母、数字、中划线、下划线等构成,一般不超过64个字符.
peering-002本端VPC本端VPC.
可在下拉框中选择.
vpc_01帐户建立对等连接的帐号:当前帐户:表示在同一个帐户内、同一个区域下的不同VPC间建立对等连接.
其他帐户:表示在同一个区域下的不同帐户的VPC间建立对等连接.
其他帐户对端项目ID选择"其他帐户"时,有此参数.
对端项目ID获取参考如何获取对端项目ID.
-对端VPCID选择"其他帐户"时,有此参数.
对端VPCID获取请参考如何获取对端VPCID.
65d062b3-40fa-4204-8181-3538f527d2ab7.
单击"确定".
说明若提示"请输入正确的VPCID以及项目ID",可能是由于VPC不在同一区域,无法创建对等连接.
若需要跨区域VPC互通,您可以使用云连接服务实现,请参见云连接.
接受对等连接不同帐户创建对等连接,由于本端帐户没有对端帐号权限,要使对等连接生效,需对端帐户接受对等连接.
说明为了安全起见,请不要接受来自未知帐号的对等连接申请.
1.
对端帐户登录管理控制台.
2.
在系统首页,选择"网络>虚拟私有云".
3.
在左侧导航栏选择"对等连接".
4.
在对等连接列表上方的待处理列表中,找到需要接受请求的对等连接,单击操作列的"接受请求".
图10-15待处理列表虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司1305.
单击"是",接受对等连接.
拒绝对等连接不同帐户创建对等连接,由于本端帐户没有对端帐户权限,对端帐户如果不同意创建对等连接,可以选择拒绝对等连接请求,拒绝后本次创建对等连接结束.
拒绝的对等连接,需要删除后,才能再次发起请求.
1.
对端帐户登录管理控制台.
2.
在系统首页,选择"网络>虚拟私有云".
3.
在左侧导航栏选择"对等连接".
4.
在对等连接列表上方的待处理列表中,找到需要拒绝请求的对等连接,单击操作列的"拒绝请求".
5.
单击"是".
拒绝对等连接.
添加VPC对等连接路由(路由表未解耦)不同帐户创建VPC对等连接,接受请求后,要使对等连接的VPC可以相互通信,还需要添加VPC对等连接路由信息.
由于本端帐户没有对端帐户权限,本端帐户只可以添加本端路由信息,对端路由信息需要对端帐户添加相应路由信息.
本端帐户添加路由信息和对端帐户添加路由信息操作相同,具体操作如下.
1.
登录管理控制台.
2.
在系统首页,选择"网络>虚拟私有云".
3.
在左侧导航栏选择"对等连接".
4.
在已创建对等连接列表,查找需要添加路由信息对等连接名.
5.
单击对等连接名称链接,进入对等连接详情页面.
6.
单击"添加本端路由"添加本端路由信息,参数说明参考表10-5.
图10-16添加本端路由虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司131表10-5路由参数说明参数说明取值样例目的地址目的地址,对端VPC或子网的网段.
192.
168.
3.
0/24下一跳地址下一跳地址,即对等连接ID,默认不用配置.
ba5db563-8673-488b-addf-854cabb7fc567.
单击"确定",完成添加VPC对等连接路由信息.
对等连接建立后,您可以使用私有IP地址在两个VPC之间进行通信.
您可以使用"ping"命令检查网络两端是否连通.
使用"ping"命令时,需检查是否已在安全组中放通ICMP入站规则,添加规则操作请参见添加安全组规则.
添加VPC对等连接路由(路由表已解耦)不同帐户创建VPC对等连接,接受请求后,要使对等连接的VPC可以相互通信,还需要在路由表中添加VPC对等连接路由信息.
由于本端帐户没有对端帐户权限,本端帐户只可以添加本端路由信息,对端路由信息需要对端帐户添加相应路由信息.
本端帐户添加路由信息和对端帐户添加路由信息操作相同,具体操作如下.
1.
在系统首页,选择"网络>虚拟私有云".
2.
在左侧导航栏选择"路由表".
3.
查找或创建本端VPC对应的路由表,添加本端路由.
参数说明如表10-6所示.
图10-17添加本端路由表10-6参数说明参数说明取值样例目的地址对端VPC的网段.
192.
168.
3.
0/24下一跳类型选择"对等连接".
对等连接下一跳选择当前对等连接的名称.
peering-002描述路由的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司1324.
单击"确定",完成添加VPC对等连接路由信息.
对等连接建立后,您可以使用私有IP地址在两个VPC之间进行通信.
您可以使用"ping"命令检查网络两端是否连通.
使用"ping"命令时,需检查是否已在安全组中放通ICMP入站规则,添加规则操作请参见添加安全组规则.
如何获取对端项目ID1.
使用对端帐户登录管理控制台.
2.
在用户名的下拉列表中,单击"我的凭证".
3.
在"项目列表"页签中查看项目ID.
如何获取对端VPCID1.
使用对端帐户登录管理控制台.
2.
在系统首页,选择"网络>虚拟私有云".
3.
在左侧导航栏,选择"虚拟私有云".
4.
单击VPC名称,在VPC详情页查看VPCID.
相关操作为什么对等连接创建完成后不能互通10.
5查看对等连接操作场景已创建的对等连接或等待接受的对等连接,两端帐户均可在对等连接中查看对等连接信息.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"对等连接".
5.
在界面右侧详情区域可通过创建的对等连接状态或对等连接名称筛选查看对等连接.
6.
单击对应的对等连接名称,进入对等连接详情界面,可查看对等连接路由等详细信息.
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司13310.
6修改对等连接操作场景对等连接在任何状态下,两端帐户均有权限修改对等连接.
可以修改对等连接的名称.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"对等连接".
5.
在界面右侧详情区域可通过创建的对等连接状态或对等连接名称筛选查看对等连接.
6.
单击操作列的"修改",修改对等连接信息.
7.
单击"确定",完成信息修改.
10.
7删除对等连接操作场景对等连接在任何状态下,两端帐户均有权限删除对等连接.
对等连接删除时,会自动删除两端VPC关联的路由信息.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"对等连接".
5.
在界面右侧详情区域可通过创建的对等连接状态或对等连接名称筛选查看对等连接.
6.
单击操作列的"删除",删除对等连接信息.
7.
单击"是".
10.
8查看对等连接路由操作场景对等连接路由信息添加后,两端帐户均有权限在对等连接详情界面查看对等连接路由信息.
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司134操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"对等连接".
5.
在对等连接列表中,查找需要查看路由信息的对等连接.
6.
单击对等连接名称,进入对等连接详情页面.
7.
在VPC对等连接详情页面,单击"本端路由"页签,可查看此对等连接的本端路由信息.
8.
在对等连接详情界面,单击"对端路由"页签,可查看此对等连接的对端路由信息.
说明如果您建立了对等连接,但是无法通信,请先按照上述步骤查看本端和对端路由表配置是否正确.
10.
9删除对等连接路由操作场景对等连接路由添加后,两端帐户均有权限在对等连接详情界面或路由表界面(已解耦)删除对等连接路由信息.
说明当前在部分区域中,由于路由表已从虚拟私有云中解耦,解耦后路由表拥有独立入口,配置VPC对等连接路由时,需要前往路由表界面进行操作.
具体配置时请根据界面提示为准.
未解耦:在虚拟私有云详情页的"路由表"页签,可对路由表进行操作.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"路由表",可对路由表进行操作.
若您所在区域,路由表未解耦,请参考操作步骤(路由表未解耦).
若您所在区域,路由表已解耦,请参考操作步骤(路由表已解耦).
操作步骤(路由表未解耦)1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"对等连接".
5.
在对等连接列表中,查找需要删除路由信息的对等连接.
6.
单击对等连接名称,进入对等连接详情页面.
7.
在对等连接详情页面,单击"本端路由"页签,可查看此对等连接的本端路由信息.
8.
在"本端路由"页签,选中需要删除的本端路由信息,单击操作列的"删除",弹出删除告警框.
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司1359.
单击"是",确认删除.
10.
在对等连接详情界面,单击"对端路由"页签,可查看此对等连接的对端路由信息.
11.
在"对端路由"页签,选中需要删除的对端路由信息,单击操作列的"删除",弹出删除告警框.
12.
单击"是",确认删除.
操作步骤(路由表已解耦)1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"路由表".
5.
在路由表列表中,查找需要删除路由信息的路由表.
6.
单击路由表名称,进入路由表详情页面.
7.
找到需要删除的路由,单击操作列的"删除".
8.
单击"是",确认删除.
虚拟私有云用户指南10VPC对等连接文档版本48(2021-03-05)版权所有华为技术有限公司13611VPC流日志(公测)11.
1VPC流日志简介VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等.
VPC流日志功能需要与云日志服务LTS结合使用,先在云日志服务中创建日志组和日志流,然后再创建VPC流日志.
配置流程如图11-1所示.
图11-1配置VPC流日志虚拟私有云用户指南11VPC流日志(公测)文档版本48(2021-03-05)版权所有华为技术有限公司137VPC流日志本身是免费的,您只需要为使用过程中用到的其他云资源付费.
例如,数据存储在云日志服务中,将按日志服务的标准收费.
详情请参见《云日志服务用户指南》.
VPC流日志功能目前仅在"亚太-新加坡"、"华南-广州"、"亚太-曼谷"开放,且还在公测期间,请申请公测权限后使用.
约束与限制目前支持S2、M2、Hc2、H2、D2、P1、G3、Pi1、fp1、S3、C3、M3、H3、D3、Ir3、I3、Sn3、S6、E3、C3ne、M3ne、G5、P2v、Ai1、C6、M6、D6类型的弹性云服务器.
弹性云服务器类型具体信息请参见实例类型.
默认情况下,一个用户最多允许创建10个VPC流日志.
默认情况下,最大支持40万条流日志记录.
11.
2创建VPC流日志操作场景创建VPC流日志,记录虚拟私有云中的流量信息.
说明VPC流日志功能目前仅在"亚太-新加坡"、"华南-广州"、"亚太-曼谷"开放,且还在公测期间,请申请公测权限后使用.
前提条件在创建VPC流日志前,请确保您在云日志服务完成了如下配置:创建日志组.
创建日志流.
云日志服务更多内容请参见《云日志服务用户指南》.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏,选择"VPC流日志".
5.
在页面右上角,单击"创建VPC流日志",按照提示配置参数.
虚拟私有云用户指南11VPC流日志(公测)文档版本48(2021-03-05)版权所有华为技术有限公司138表11-1参数说明参数说明取值样例名称VPC流日志的名称.
名称只能由中文、英文字母、数字、"_"、"-"和".
"组成,且不能有空格,长度不能大于64个字符.
flowlog-495d资源类型选择要采集流量的资源类型,目前支持网卡、子网、虚拟私有云类型.
网卡选择资源选择需要采集流量信息的具体资源.
说明建议您选择处于开机状态的弹性云服务器.
如果选择了关机状态的弹性云服务器,请在VPC流日志创建完成后,重启弹性云服务器,以便准确的记录网卡流量.
-采集类型全部:采集指定资源的全部流量.
接受:采集指定资源被安全组或网络ACL允许的流量.
拒绝:采集指定资源被网络ACL拒绝的流量.
全部日志组选择在云日志服务中创建的日志组.
lts-group-wule日志流选择在云日志服务中创建的日志流.
lts-topic-wule描述VPC流日志的描述信息,非必填项.
描述信息内容不能超过255个字符,且不能包含"".
-说明同一个资源在同一个日志组的同一个日志主题下,只能有两个不同采集类型的VPC流日志.
不能重复创建相同的VPC流日志.
6.
单击"确定".
11.
3查看VPC流日志操作场景查看流日志记录详情.
捕获窗口大约为10分钟,即每10分钟输出一次流日志记录.
所以流日志创建完成后,您需要等待大约10分钟,才能查看流日志记录详情.
虚拟私有云用户指南11VPC流日志(公测)文档版本48(2021-03-05)版权所有华为技术有限公司139说明VPC流日志功能目前仅在"亚太-新加坡"、"华南-广州"、"亚太-曼谷"开放,且还在公测期间,请申请公测权限后使用.
弹性云服务器关机状态下,不显示流日志记录.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏,选择"VPC流日志".
5.
找到需要查看的流日志,单击操作列的"查看日志",在云日志服务中查看流日志记录.
流日志格式:示例1:在捕获窗口中正常记录数据的流日志记录15f67944957444bd6bb4fe3b367de8f3d1d515d18-1b36-47dc-a983-bd6512aed4bd192.
168.
0.
154192.
168.
3.
2538929531719615487521361548752736ACCEPTOKVPC流日志版本为1,在2019年01月29日16:55:36-17:05:36这10分钟内,网卡(1d515d18-1b36-47dc-a983-bd6512aed4bd)允许流过的流量信息,由源端IP地址和端口(192.
168.
0.
154,38929)通过UDP协议向目的端IP地址和端口(192.
168.
3.
25,53)传输了1个数据包,所有数据包的大小为96byte.
示例2:在捕获窗口中未记录数据的流日志记录15f67944957444bd6bb4fe3b367de8f3d1d515d18-1b36-47dc-a983-bd6512aed4bd14312808761431280934-NODATA示例3:在捕获窗口中跳过了数据的流日志记录15f67944957444bd6bb4fe3b367de8f3d1d515d18-1b36-47dc-a983-bd6512aed4bd14312808761431280934-SKIPDATA字段含义如表11-2所示:表11-2日志字段说明字段说明示例versionVPC流日志版本.
1project-id项目ID.
5f67944957444bd6bb4fe3b367de8f3dinterface-id为其记录流量的网卡的ID.
1d515d18-1b36-47dc-a983-bd6512aed4bdsrcaddr源地址.
192.
168.
0.
154dstaddr目的地址.
192.
168.
3.
25srcport源端口.
38929dstport目标端口.
53虚拟私有云用户指南11VPC流日志(公测)文档版本48(2021-03-05)版权所有华为技术有限公司140字段说明示例protocolIANA协议编号.
有关更多信息,请参阅Internet协议编号.
17packets数据包的数量.
1bytes数据包的大小.
96start捕获窗口启动的时间,采用Unix秒的格式.
1548752136end捕获窗口结束的时间,采用Unix秒的格式.
1548752736action与流量关联的操作:ACCEPT:安全组或网络ACL允许记录的流量.
REJECT:网络ACL拒绝记录的流量.
ACCEPTlog-status流日志的日志记录状态:OK:数据正常记录到选定目标.
NODATA:捕获窗口中没有传入或传出符合"采集类型"的网卡的网络流量.
SKIPDATA:捕获窗口中跳过了一些流日志记录.
这可能是由于内部容量限制或内部错误.
示例:如果您创建VPC流日志时设置"采集类型"为"接受",当有接受流量时,"log-status"将显示为"OK".
当没有接受的流量时,不管是否有拒绝的流量,"log-status"都将显示为"NODATA".
当有一些接受流量异常跳过时,"log-status"将显示为"SKIPDATA".
OK同时,您也可以在云日志服务的日志流详情页面,在搜索框中通过关键字搜索日志.
虚拟私有云用户指南11VPC流日志(公测)文档版本48(2021-03-05)版权所有华为技术有限公司14111.
4开启/关闭VPC流日志操作场景创建完VPC流日志后,VPC流日志功能会自动开启.
当您不需要记录流量数据时,您可以关闭对应的VPC流日志.
关闭的VPC流日志,支持再次开启.
说明VPC流日志功能目前仅在"亚太-新加坡"、"华南-广州"、"亚太-曼谷"开放,且还在公测期间,请申请公测权限后使用.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏,选择"VPC流日志".
5.
找到需要开启或关闭的VPC流日志,单击操作列的"开启"或"关闭".
6.
单击"是",确认开启或关闭VPC流日志.
11.
5删除VPC流日志操作场景删除不用的VPC流日志.
删除VPC流日志不会删除云日志服务中的流日志记录.
说明VPC流日志功能目前仅在"亚太-新加坡"、"华南-广州"、"亚太-曼谷"开放,且还在公测期间,请申请公测权限后使用.
如果VPC流日志关联的网卡已删除,则对应的VPC流日志会自动删除.
但不会删除流日志记录.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏,选择"VPC流日志".
5.
找到需要删除的流日志,单击操作列的"删除".
6.
单击"是",确认删除.
虚拟私有云用户指南11VPC流日志(公测)文档版本48(2021-03-05)版权所有华为技术有限公司14212虚拟IP12.
1虚拟IP简介什么是虚拟IP虚拟IP(VirtualIPAddress,简称VIP)是一个未分配给真实弹性云服务器网卡的IP地址.
弹性云服务器除了拥有私有IP地址外,还可以拥有虚拟IP地址,用户可以通过其中任意一个IP(私有IP/虚拟IP)访问此弹性云服务器.
同时,虚拟IP地址拥有私有IP地址同样的网络接入能力,包括VPC内二三层通信、VPC之间对等连接访问,以及弹性公网IP、VPN、云专线等网络接入.
多个主备部署的弹性云服务器可以在绑定虚拟IP地址时选择同一个虚拟IP地址.
用户可以为该虚拟IP地址绑定一个弹性公网IP地址,从互联网可以访问后端绑定了同一个虚拟IP地址的多个主备部署的弹性云服务器,增强容灾性能.
典型组网虚拟IP主要用在弹性云服务器的主备切换,达到高可用性HA(HighAvailability)的目的.
当主服务器发生故障无法对外提供服务时,动态将虚拟IP切换到备服务器,继续对外提供服务.
本节介绍两种典型的组网模式.
典型组网1:HA高可用性模式场景举例:如果您想要提高服务的高可用性,避免单点故障,可以用"一主一备"或"一主多备"的方法组合使用弹性云服务器,这些弹性云服务器对外表现为一个虚拟IP.
当主服务器故障时,备服务器可以转为主服务器,继续对外提供服务.
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司143图12-1HA高可用性模式组网图–将2台同子网的弹性云服务器绑定同一个虚拟IP.
–将这2台弹性云服务器配置Keepalived,实现一台为主服务器,一台为备份服务器.
Keepalived可参考业内通用的配置方法,此处不做详细介绍.
典型组网2:高可用负载均衡集群场景举例:如果您想搭建高可用负载均衡集群服务,您可以采用Keepalived+LVS(DR)来实现.
图12-2高可用负载均衡集群–将2台弹性云服务器绑定同一个虚拟IP.
–将绑定了虚拟IP的这2台弹性云服务器配置Keepalived+LVS(DR模式),组成LVS主备服务器.
这2台服务器作为分发器将请求均衡地转发到不同的后端服务器上执行.
–配置另外2台弹性云服务器作为后端RealServer服务器.
–关闭2台后端RealServer弹性云服务器的源/目的检查.
–检查LVS主备服务器的源/目的检查是否关闭,请参见关闭源/目的检查(适用于高可用负载均衡集群场景).
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司144若采用控制台方式将弹性云服务器与虚拟IP绑定,则源/目的检查自动关闭;若采用调用接口方式将弹性云服务器与虚拟IP绑定,则需要手动关闭源/目的检查.
Keepalived+LVS调度服务端安装配置以及后端RealServer服务器配置可以参考业内通用的配置方法,此处不做详细介绍.
应用场景场景一:通过弹性公网IP访问虚拟IP.
您的应用需要具备高可用性并通过Internet对外提供服务,推荐使用弹性公网IP绑定虚拟IP功能.
场景二:通过VPN/云专线/对等连接访问虚拟IP.
您的应用需要具备高可用性并且需要通过Internet访问,同时需要具备安全性(VPN),保证稳定的网络性能(云专线),或者需要通过其他VPC访问(对等连接).
约束与限制不推荐在弹性云服务器配置多个同子网网卡的场景下,使用虚拟IP功能.
若在该场景下使用虚拟IP功能,弹性云服务器内部会存在路由冲突,导致虚拟IP通信异常.
虚拟IP仅能绑定到同一个子网下的云服务器.
备弹性云服务器需要关闭IP转发功能.
请参见关闭备弹性云服务器IP转发功能.
虚拟IP只能使用默认安全组,不能更新为自定义安全组.
建议一个ECS绑定的虚拟IP不要超过8个.
建议一个虚拟IP绑定的ECS不要超过10个.
IPv6的虚拟IP仅支持绑定一个网卡(双栈网卡),如需进行服务器的主备切换,请通过调用API方式.
具体请参考配置云服务器高可用的IPv6虚拟IP功能.
虚拟IP及扩展网卡不支持直接访问华为云内公共云服务,如内网DNS等,推荐使用VPCEP访问华为云公共云服务,具体参见购买连接"接口"型终端节点服务的终端节点.
12.
2申请虚拟IP地址操作场景当弹性云服务器需要设置虚拟IP地址或预留指定的虚拟IP地址时,可以通过给子网申请虚拟IP地址的方式分配虚拟IP地址.
说明当前在部分区域中,子网已从虚拟私有云中解耦,解耦后子网拥有独立入口,虚拟IP的相关操作入口也随之迁移.
目前存在以下两种入口.
未解耦:在虚拟私有云详情页的"子网"页签,可对子网进行操作.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"子网",对子网进行操作.
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司145操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
在子网未解耦区域,虚拟IP入口请参考4~7;在子网已解耦区域,虚拟IP入口请参考8~10.
图12-3入口图示4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要申请虚拟IP地址的子网所在的虚拟私有云名称.
6.
在"子网"页签中,单击需要申请虚拟IP地址的子网名称.
7.
选择"虚拟IP"页签,单击"申请虚拟IP地址".
8.
在左侧导航栏选择"子网".
9.
在子网列表中,单击需要申请虚拟IP地址的子网名称.
10.
在"IP地址管理"页签中,单击"申请虚拟IP地址".
11.
选择IP类型.
仅在IPv6开放区域可配置.
–IPv4–IPv612.
选择虚拟IP地址的分配方式.
–自动分配:系统将自动分配IP地址.
–手动分配:系统将分配您指定的IP地址.
13.
选择手动分配方式,请填写虚拟IP地址.
14.
单击"确定".
在IP列表中可以查看申请的虚拟IP地址.
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司14612.
3为虚拟IP地址绑定弹性公网IP或弹性云服务器操作场景用户可以为虚拟IP地址绑定一个弹性公网IP地址,从互联网可以访问后端绑定了同一个虚拟IP地址的多个主备部署的弹性云服务器,增强容灾性能.
说明当前在部分区域中,子网已从虚拟私有云中解耦,解耦后子网拥有独立入口,虚拟IP的相关操作入口也随之迁移.
目前存在以下两种入口.
未解耦:在虚拟私有云详情页的"子网"页签,可对子网进行操作.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"子网",对子网进行操作.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
在子网未解耦区域,虚拟IP入口请参考4~7;在子网已解耦区域,虚拟IP入口请参考8~10.
图12-4入口图示4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击虚拟IP地址所属的虚拟私有云名称.
6.
在"子网"页签中,单击虚拟IP地址所属子网名称.
7.
选择"虚拟IP"页签,在需要绑定弹性公网IP或者弹性云服务器的虚拟IP地址所在行的操作列下,单击"绑定弹性公网IP"或者"绑定云服务器".
8.
在左侧导航栏选择"子网".
9.
在子网列表中,单击虚拟IP地址所属子网名称.
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司14710.
选择"IP地址管理"页签,在需要绑定弹性公网IP或者弹性云服务器的虚拟IP地址所在行的操作列下,单击"绑定弹性公网IP"或者"绑定云服务器".
11.
选择需要绑定的弹性公网IP地址或弹性云服务器(及网卡).
说明弹性云服务器多网卡时,建议绑定主网卡.
一个弹性云服务器的网卡可以绑定多个虚拟IP.
IPv6的虚拟IP仅支持绑定一个网卡(双栈网卡),如需进行服务器的主备切换,请通过调用API方式.
具体请参考配置云服务器高可用的IPv6虚拟IP功能.
12.
单击"确定".
13.
为已绑定虚拟IP的弹性云服务器手工配置虚拟IP地址.
弹性云服务器的网卡绑定虚拟IP地址后,需要在弹性云服务器上手工配置虚拟IP地址.
Linux系统(本文以"CentOS7.
264bit"为例)a.
执行以下命令查看需要绑定虚拟IP的网卡及其连接.
nmcliconnection图12-5查看网卡及其连接上图回显样例中"DEVICE"列的"eth0"为需要绑定虚拟IP的网卡,"NAME"列的"Systemeth0"为对应的连接.
b.
执行以下命令修改对应的连接添加虚拟IP.
nmcliconnectionmodify"CONNECTION"ipv4.
addressesVIP图12-6配置虚拟IP地址c.
重启弹性云服务器,使用ipaddress命令查看是否已经完成虚拟IP地址的配置.
图12-7查看是否配置虚拟IP地址上图回显样例中192.
168.
1.
137为虚拟IP地址.
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司148Windows系统(本文以"Windows7"为例)a.
在"控制面板>网络和Internet>网络连接"路径下,右键单击对应的本地连接,选择"属性".
b.
在"网络"页签内选择"Internet协议版本4(TCP/IPv4)".
c.
单击"属性".
d.
选择"使用下面的IP地址",IP地址配置为弹性云服务器的私有IP地址,例如:192.
168.
10.
41.
图12-8配置私有IP地址e.
单击"高级".
f.
在"IP设置"页签内"IP地址"区域,单击"添加".
添加虚拟IP地址,例如:192.
168.
10.
137.
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司149图12-9配置虚拟IP地址g.
单击"确认",保存更改.
h.
在"开始"菜单中打开Windows命令行窗口,执行以下命令确认是否配置了虚拟IP地址.
ipconfig/all虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司150图12-10查看是否配置虚拟IP地址上图回显样例中IPv4Address包含虚拟IP地址192.
168.
10.
137,表示弹性云服务器内部网卡的虚拟IP地址配置正常.
相关操作弹性云服务器的网卡绑定虚拟IP地址后,该虚拟IP地址无法ping通时,如何排查弹性公网IP、私有IP、浮动IP、虚拟IP之间有何区别12.
4通过弹性公网IP访问虚拟IP前提条件已经参考典型组网完成弹性云服务器组网配置,确保弹性云服务器已经绑定虚拟IP.
已创建弹性公网IP.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>弹性公网IP".
4.
在需要绑定虚拟IP的弹性公网IP地址所在行,单击"绑定".
5.
选择需要绑定的虚拟IP,单击"确定".
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司15112.
5通过VPN访问虚拟IP操作步骤1.
参考典型组网完成弹性云服务器组网配置.
2.
创建VPN.
创建的VPN可以访问弹性云服务器的虚拟IP.
12.
6通过云专线访问虚拟IP操作步骤1.
参考典型组网完成弹性云服务器组网配置.
2.
创建云专线.
创建的云专线可以访问弹性云服务器的虚拟IP.
12.
7通过对等连接访问虚拟IP操作步骤1.
参考典型组网完成弹性云服务器组网配置.
2.
创建对等连接.
创建的对等连接可以访问弹性云服务器的虚拟IP.
12.
8关闭备弹性云服务器IP转发功能Linux系统1.
登录弹性云服务器执行如下命令,查看IP转发功能是否已开启.
cat/proc/sys/net/ipv4/ip_forward回显结果:1为开启,0为关闭,默认为0.
–回显为1,执行2和3关闭IP转发功能.
–回显为0,操作完成.
2.
使用vi打开"/etc/sysctl.
conf"文件,修改net.
ipv4.
ip_forward=0,按":wq"保存退出.
或使用sed命令修改,参考命令如下:sed-i'/net.
ipv4.
ip_forward/s/1/0/g'/etc/sysctl.
conf3.
执行如下命令,使修改生效.
sysctl-p/etc/sysctl.
confWindows系统1.
在Windows系统的"开始>命令提示符"执行如下命令.
ipconfig/all虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司152回显结果中:"IP路由已启用"为"否",则IP转发功能已关闭.
2.
按"Windows+R"打开运行窗口,输入regedit,进入注册表编辑器.
3.
编辑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下的IPEnableRouter值为0.
–指定值为0:关闭IP转发.
–指定值为1:启用IP转发.
12.
9关闭源/目的检查(适用于高可用负载均衡集群场景)1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
选择"计算>弹性云服务器".
4.
在弹性云服务器列表中单击该弹性云服务器名称.
5.
进入弹性云服务器详情页面,单击"网卡"页签.
6.
确认网卡详情中"源/目的检查"状态已设置"关闭".
图12-11关闭源/目的检查12.
10删除虚拟IP地址操作场景当无需使用子网的虚拟IP地址或预留虚拟IP地址、需要释放网络资源时,可删除子网的虚拟IP地址.
说明当前在部分区域中,子网已从虚拟私有云中解耦,解耦后子网拥有独立入口,虚拟IP的相关操作入口也随之迁移.
目前存在以下两种入口.
未解耦:在虚拟私有云详情页的"子网"页签,可对子网进行操作.
已解耦:在进入"网络>虚拟私有云"后,在左侧导航栏直接选择"子网",对子网进行操作.
前提条件在删除虚拟IP前,请确保您已经将虚拟IP与以下资源解绑:虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司153弹性云服务器弹性公网IPCCE集群操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
在子网未解耦区域,虚拟IP入口请参考4~7;在子网已解耦区域,虚拟IP入口请参考8~10.
图12-12入口图示4.
在左侧导航栏选择"虚拟私有云".
5.
在虚拟私有云列表中,单击需要删除虚拟IP地址的子网所在的虚拟私有云名称.
6.
在"子网"页签中,单击需要删除虚拟IP地址的子网名称.
7.
选择"虚拟IP"页签,在需要删除虚拟IP地址所在行的操作列下,单击"更多>删除".
8.
在左侧导航栏选择"子网".
9.
在子网列表中,单击虚拟IP地址所属子网名称.
10.
选择"IP地址管理"页签,在需要删除虚拟IP地址所在行的操作列下,单击"更多>删除".
图12-13删除虚拟IP地址11.
单击"是".
虚拟私有云用户指南12虚拟IP文档版本48(2021-03-05)版权所有华为技术有限公司15413二层连接网关(公测)13.
1二层连接网关简介二层连接网关二层连接网关(Layer2ConnectionGateway,以下简称L2CG)是一种虚拟隧道网关,可基于云专线网络建立云上与云下之间的二层网络,解决云上和云下网络二层互通问题,允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云.
通过云专线,建立的是云上与云下的三层网络通道,要求云上与云下子网网段不重叠.
而当数据中心与云上子网网段相同,且需要云上与云下服务器在该相同子网网段互通时,您就可以通过二层连接网关来解决云上与云下二层网络通信问题.
二层连接网关组网图如图1L2CG组网图所示.
图13-1二层连接网关组网图二层连接网关作为虚拟私有云的隧道网关,与用户本地数据中心侧的隧道网关对应,可基于云专线网络使虚拟私有云与用户数据中心之间建立二层网络.
二层连接可将虚拟私有云的子网接入到二层连接网关中,并指定二层连接网关与企业数据中心侧的隧道网关建立连接,使虚拟私有云的子网与企业数据中心侧的子网建立二层通信.
二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司155二层连接网关配置流程图13-2二层连接网关配置流程1.
创建云专线创建一个云上和云下的三层网络通道,可以选择云专线.
具体操作请参见云专线.
2.
购买二层连接网关在云上指定VPC和云专线的本端子网创建一个二层连接网关,生成本端隧道IP.
3.
建立连接在云上指定接入子网和远端隧道IP创建二层连接.
4.
配置远端隧道在云下数据中心的网关设备上配置VXLAN隧道.
应用场景通过L2CG在云下传统数据中心与线上VPC之间建立二层网络,帮助企业客户业务快速平滑上云.
支持客户业务IP不修改迁移上云,减少业务对环境感知,加快上云进度.
支持云上云下二层互通,可通过虚拟IP提供云上云下互备的高可用系统,应对云上或云下单点故障问题,完善客户混合云组网解决方案.
支持业务系统灰度上云,应对核心业务分批平滑上云,可按VM粒度进行业务迁移,避免业务在迁移过程中受损,减少上云风险.
虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司156约束与限制每个帐号默认可以创建5个L2CG.
(公测期间默认只能创建1个L2CG).
如需提升配额请提交工单,请参见提交工单.
L2CG依赖专线,需要提前创建专线.
L2CG依赖与IDC侧建立VXLAN隧道,IDC侧交换机要支持VXLAN隧道.
一个VPC可绑定多个L2CG,一个L2CG只能绑定一个VPC.
一个L2CG支持最多6个二层连接云上云下互通.
同个L2CG的多个二层连接对应的远端隧道号和隧道IP组合不允许相同.
已被二层连接绑定过的子网不能再被其它二层连接或L2CG使用.
在创建中、删除中、规格变更中的资源不允许做修改或删除操作.
不支持云下往云上转发未知单播、广播、组播(除VRRP协议外)的IP报文.
云上云下IP地址不能冲突(除子网网关IP外).
不支持云下主机访问云上的高级网络特性(如VPC对等连接,ELB,路由表,NAT网关等).
L2CG的每个二层连接会占用二层子网中的两个IP(接口IP与隧道IP),这两个IP不能与IDC的已有IP相同.
L2CG网关会占用隧道子网的三个IP,需预留足够IP地址.
13.
2购买二层连接网关操作场景如果您需要将VPC中的弹性云服务器和您的数据中心子网做二层互通,则需要先购买二层连接网关.
说明二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
前提条件已提前规划创建二层连接网关所在VPC、子网.
确认VPC已绑定了专线虚拟网关(连接方式为自定义时,此项为非必须条件).
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"二层连接网关".
5.
在右侧详情区域单击"购买",进入二层连接网关购买页面.
虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司157图13-3购买二层连接网关6.
根据界面提示,配置二层连接网关基本信息,配置参数请参见表13-1.
表13-1参数说明参数参数说明取值样例计费模式支持按需计费.
按需计费区域所在的区域.
华北-北京一主可用区L2CG主节点所在可用区.
主可用区是当前承载流量的可用区,推荐与需要通信的云服务器部署在同一个可用区,从而实现最优访问性能.
可用区1备可用区L2CG备节点所在可用区.
备可用区用于容灾备份,建议不要与主可用区相同.
可用区2规格L2CG的规格.
共有基础型、标准型、增强型三种规格类型(公测期间暂只开放增强型).
增强型隧道连接方式L2CG与线下数据中心互通的网络连接方式,一般为云专线.
云专线关联网关根据不同的隧道连接方式,可选择需要的云专线虚拟网关.
vgw-01虚拟私有云L2CG所属的VPC.
vpc-01隧道子网L2CG所属VPC中的子网.
该子网通过专线与线下数据中心网络互通.
subnet-01隧道IPL2CG本端隧道IP,可选择自动分配和手动分配.
自动分配虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司158参数参数说明取值样例名称L2CG名称.
最大支持64个字符,仅支持数据、字母、_(下划线)、-(中划线).
l2cg-01描述L2CG信息描述.
最大支持255个字符.
-配置完成上述信息,会显示L2CG配置费用,可通过"了解计费详情"查看计费信息.
7.
单击"立即购买"后,在规格确认页面,您可以再次核对二层连接网关信息.
8.
单击"提交",开始创建二层连接网关.
二层连接网关的创建过程一般需要3~6分钟.
9.
在二层连接网关页面查询状态.
若状态为"运行中",表示二层连接网关已创建成功.
13.
3查看二层连接网关操作场景二层连接网关创建后,可以查看已经创建的二层连接网关详情.
说明二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
前提条件二层连接网关创建成功.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"二层连接网关".
5.
在右侧详情区域单击需要查看详情的二层连接网关名称.
13.
4修改二层连接网关操作场景二层连接网关创建后,您可以随时修改二层连接网关的名称或者描述信息.
虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司159说明二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
前提条件二层连接网关创建成功.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"二层连接网关".
5.
在右侧详情区域单击需要修改的二层连接网关名称.
6.
在二层连接网关页面,单击对应参数后面的.
7.
根据界面提示,修改二层连接网关的名称或者描述等信息.
8.
单击,完成信息修改.
13.
5删除二层连接网关操作场景二层连接网关创建后,如果您不再需要使用二层连接网关,可以通过删除二层连接网关,释放资源,节省费用.
说明二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
前提条件二层连接网关下面的连接不存在中间状态,例如"准备中"、"删除中".
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"二层连接网关".
5.
在右侧详情区域单击需要删除的二层连接网关名称.
6.
在二层连接网关详情右上角,单击"删除".
7.
在弹出的对话框中单击"是",二层连接网关进入删除中状态.
虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司160二层连接网关的删除过程一般需要10~30秒.
13.
6创建二层连接操作场景如果您需要将VPC中的弹性云服务器和您的数据中心子网做二层互通,在购买二层连接网关后需要创建二层连接.
说明二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
前提条件二层连接网关创建成功.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"二层连接网关".
5.
在右侧详情区域单击二层连接网关名称.
6.
在二层连接网关页面右侧,单击"创建连接",进入二层连接创建页面.
图13-4创建连接7.
根据界面提示,配置二层连接的基本信息,配置参数请参见表13-2.
虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司161表13-2参数说明参数参数说明取值样例二层连接网关L2CG名称.
l2cg-01虚拟私有云L2CG绑定的VPC名称.
vpc-01二层连接子网VPC与线下数据中心做二层互通的子网.
subnet-01接口IPVPC子网接入到L2CG接口的IP.
可以自动分配或手工指定IP地址.
自动分配远端接入信息隧道号远端数据中心连接L2CG所需的VXLAN隧道号,即VXLAN网络标识VNI,类似VLANID,用于区分VXLAN段.
-隧道IP远端数据中心连接L2CG所需的VXLAN隧道IP.
-隧道端口远端数据中心连接L2CG所需的VXLAN隧道端口号.
默认为4789.
4789名称二层连接名称.
l2conn-018.
确认参数无误后,单击"创建",开始创建二层连接.
二层连接的创建过程一般需要20~60秒.
9.
在二层连接网关页面查询连接状态.
若状态为"未连接"或"已连接",表示二层连接已创建成功.
13.
7查询二层连接操作场景二层连接创建后,可以查看已经创建的二层连接详情.
说明二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
前提条件二层连接创建成功.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"二层连接网关".
虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司1625.
在右侧详情区域单击需要查看详情的二层连接网关名称.
6.
在二层连接网关上的"二层连接拓扑"页面,选择需查看的二层连接.
13.
8删除二层连接操作场景二层连接创建后,如果您不再需要使用该二层连接,则可以删除该二层连接.
说明二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
前提条件二层连接的连接不存在中间状态,例如"准备中"、"删除中".
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"网络>虚拟私有云".
4.
在左侧导航栏选择"二层连接网关".
5.
在右侧详情区域单击需要删除连接的二层连接网关名称.
6.
在二层连接网关的"二层连接拓扑"页面,选择要删除的二层连接,单击"删除".
7.
在弹出的对话框中单击"是",二层连接进入删除中状态.
二层连接的删除过程一般需要10~30秒.
13.
9配置远端隧道网关操作场景本文旨在指导用户在线下数据中心(IDC)的VXLAN隧道交换机上配置隧道.
针对用户IDC的常见组网场景提供配置参考.
本文以华为CE6850交换机为例.
说明二层连接网关功能目前仅在"华东-上海一"、"华南-广州"开放,且还在公测期间,请申请公测权限后使用.
操作步骤场景:规划的二层网络的子网网关和VXLAN隧道不在同个交换机上虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司163此场景规划的云上隧道IP是10.
0.
6.
3,用户IDC侧隧道交换机的隧道IP是2.
2.
2.
2,隧道vni是5010,仅供参考.
远端隧道网关的配置方法:配置IDC隧道交换机,将二层子网VLAN的流量引流到隧道.
图13-5不同交换机1.
登录隧道交换机,执行命令system-view,进入系统视图.
2.
进入loopback0接口视图,配置隧道IP.
配置示例:interfaceloopback0ipaddress2.
2.
2.
2255.
255.
255.
2553.
执行命令quit,退出接口视图,返回到系统视图.
4.
执行命令bridge-domain,进入BD视图,配置BD所对应VXLAN的VNI.
配置示例:bridge-domain10vxlanvni50105.
执行命令quit,退出BD视图,返回到系统视图.
6.
创建二层子接口,通过子接口将二层网络指定的VLAN引流到隧道.
配置示例:interface10ge1/0/2.
1model2encapsulationdot1qvid100bridge-domain107.
执行命令interfacenve,创建NVE接口,并进入NVE接口视图,配置VXLAN隧道源端VTEP的IP地址:2.
2.
2.
2.
配置示例:interfacenve1source2.
2.
2.
28.
在nve接口视图下,执行命令vni,配置VNI的头端复制列表.
配置示例:vni5010head-endpeer-list10.
0.
6.
3虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司1649.
在系统视图下,执行如下命令查看VXLAN的配置状态.
displayvxlanvni5010verbose图13-6VXLAN配置状态up表示隧道状态正常.
如需更多配置排查,相关命令可参考实际交换机型号的产品文档.
虚拟私有云用户指南13二层连接网关(公测)文档版本48(2021-03-05)版权所有华为技术有限公司16514监控14.
1支持的监控指标功能说明本节定义了弹性公网IP和带宽上报云监控的监控指标的命名空间,监控指标列表和维度定义,用户可以通过云监控提供的管理控制台或API接口来检索弹性公网IP和带宽产生的监控指标和告警信息.
命名空间SYS.
VPC监控指标表14-1弹性公网IP和带宽支持的监控指标指标指标名称含义取值范围测量对象&维度监控周期(原始指标)upstream_bandwidth出网带宽该指标用于统计测试对象出云平台的网络速度(原指标为上行带宽).
单位:比特/秒≥0bit/s测量对象:带宽或弹性公网IP.
测量维度a:bandwidth_id,publicip_id1分钟downstream_bandwidth入网带宽该指标用于统计测试对象入云平台的网络速度(原指标为下行带宽).
单位:比特/秒≥0bit/s测量对象:带宽或弹性公网IP.
测量维度:bandwidth_id,publicip_id1分钟虚拟私有云用户指南14监控文档版本48(2021-03-05)版权所有华为技术有限公司166指标指标名称含义取值范围测量对象&维度监控周期(原始指标)upstream_bandwidth_usage出网带宽使用率该指标用于统计测量对象出云平台的带宽使用率,以百分比为单位.
0-100%测量对象:带宽或弹性公网IP.
测量维度:bandwidth_id,publicip_id1分钟up_stream出网流量该指标用于统计测试对象出云平台的网络流量(原指标为上行流量).
单位:字节≥0bytes测量对象:带宽或弹性公网IP.
测量维度:bandwidth_id,publicip_id1分钟down_stream入网流量该指标用于统计测试对象入云平台的网络流量(原指标为下行流量).
单位:字节≥0bytes测量对象:带宽或弹性公网IP.
测量维度:bandwidth_id,publicip_id1分钟a:对于有多个测量维度的测量对象,使用接口查询监控指标时,所有测量维度均为必选.
查询单个监控指标时,多维度dim使用样例:dim.
0=bandwidth_id,530cd6b0-86d7-4818-837f-935f6a27414d&dim.
1=publicip_id,3773b058-5b4f-4366-9035-9bbd9964714a.
批量查询监控指标时,多维度dim使用样例:"dimensions":[{"name":"bandwidth_id","value":"530cd6b0-86d7-4818-837f-935f6a27414d"}{"name":"publicip_id","value":"3773b058-5b4f-4366-9035-9bbd9964714a"}],维度KeyValuepublicip_id弹性公网IPIDbandwidth_id带宽ID虚拟私有云用户指南14监控文档版本48(2021-03-05)版权所有华为技术有限公司16714.
2查看监控指标操作场景查看带宽、弹性公网IP的使用情况.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"管理与部署>云监控".
4.
单击页面左侧的"云服务监控",选择"弹性公网IP和带宽".
5.
单击"操作"列的"查看监控指标",查看带宽或弹性公网IP的监控指标详情.
支持查看"近1小时"、"近3小时"和"近12小时"的数据.
14.
3创建告警规则操作场景通过设置告警规则,用户可自定义监控目标与通知策略,及时了解虚拟私有云的状况,从而起到预警作用.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
在系统首页,选择"管理与部署>云监控".
4.
在左侧导航栏,选择"告警>告警规则".
5.
在"告警规则"界面,单击"创建告警规则"进行添加,或者选择已有的告警规则进行修改,设置虚拟私有云的告警规则.
6.
规则参数设置完成后,单击"确定".
虚拟私有云告警规则设置完成后,当符合规则的告警产生时,系统会自动进行通知.
说明更多关于虚拟私有云监控规则的信息,请参见《云监控用户指南》.
虚拟私有云用户指南14监控文档版本48(2021-03-05)版权所有华为技术有限公司16815审计15.
1支持审计的关键操作通过云审计,您可以记录与虚拟私有云相关的操作事件,便于日后的查询、审计和回溯.
云审计支持的虚拟私有云操作列表如表15-1所示.
表15-1云审计服务支持的VPC操作列表操作名称资源类型事件名称修改BandwidthbandwidthmodifyBandwidth创建EIPeipcreateEip释放EIPeipdeleteEip绑定EIPeipbindEip解绑定EIPeipunbindEip创建PrivateIpprivateIpscreatePrivateIp删除PrivateIpprivateIpsdeletePrivateIp创建SecurityGroupsecurity_groupcreateSecurityGroup修改SecurityGroupsecurity_groupmodifySecurityGroup创建SubnetsubnetcreateSubnet删除SubnetsubnetdeleteSubnet修改SubnetsubnetmodifySubnet创建VPCvpccreateVpc删除VPCvpcdeleteVpc修改VPCvpcmodifyVpc虚拟私有云用户指南15审计文档版本48(2021-03-05)版权所有华为技术有限公司169操作名称资源类型事件名称创建VPNvpncreateVpn删除VPNvpndeleteVpn修改VPNvpnmodifyVpn创建Nat网关natgatewaycreateNatGateway更新Nat网关natgatewayupdateNatGateway删除Nat网关natgatewaydeleteNatGateway创建Snat规则snatrulecreateSnatRule删除Snat规则snatruledeleteSnatRule创建Dnat规则dnatrulecreateDnatRule删除Dnat规则dnatruledeleteDnatRule15.
2查看审计日志操作场景在您开启了云审计服务后,系统开始记录云服务资源的操作.
云审计服务管理控制台保存最近7天的操作记录.
本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录.
操作步骤1.
登录管理控制台.
2.
在管理控制台左上角单击,选择区域和项目.
3.
单击"服务列表",选择"管理与部署>云审计服务",进入云审计服务信息页面.
4.
单击左侧导航树的"事件列表",进入事件列表信息页面.
5.
事件列表支持通过筛选来查询对应的操作事件.
当前事件列表支持四个维度的组合查询,详细信息如下:–事件来源、资源类型和筛选类型.
在下拉框中选择查询条件.
其中筛选类型选择事件名称时,还需选择某个具体的事件名称.
选择资源ID时,还需选择或者手动输入某个具体的资源ID.
选择资源名称时,还需选择或手动输入某个具体的资源名称.
–操作用户:在下拉框中选择某一具体的操作用户,此操作用户指用户级别,而非租户级别.
–事件级别:可选项为"所有事件级别"、"normal"、"warning"、"incident",只可选择其中一项.
虚拟私有云用户指南15审计文档版本48(2021-03-05)版权所有华为技术有限公司170–时间范围:可选择查询最近七天内任意时间段的操作事件.
6.
在需要查看的记录左侧,单击箭头展开该记录的详细信息.
7.
在需要查看的记录右侧,单击"查看事件",弹出的窗口显示该操作事件结构的详细信息.
虚拟私有云用户指南15审计文档版本48(2021-03-05)版权所有华为技术有限公司17116权限管理16.
1创建用户并授权使用VPC如果您需要对您所拥有的VPC进行精细的权限管理,您可以使用统一身份认证服务(IdentityandAccessManagement,简称IAM),通过IAM,您可以:根据企业的业务组织,在您的华为云帐号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用VPC资源.
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离.
将VPC资源委托给更专业、高效的其他华为云帐号或者云服务,这些帐号或者云服务可以根据权限进行代运维.
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用VPC服务的其它功能.
本章节为您介绍对用户授权的方法,操作流程如图16-1所示.
前提条件给用户组授权之前,请您了解用户组可以添加的VPC系统权限,并结合实际需求进行选择,VPC支持的系统权限,请参见:VPC系统策略.
若您需要对除VPC之外的其它服务授权,IAM支持服务的所有策略请参见权限策略.
虚拟私有云用户指南16权限管理文档版本48(2021-03-05)版权所有华为技术有限公司172示例流程图16-1给用户授权VPC权限流程1.
创建用户组并授权在IAM控制台创建用户组,并授予VPC只读权限"VPCReadOnlyAccess".
2.
创建用户并加入用户组在IAM控制台创建用户,并将其加入1.
创建用户组并授权中创建的用户组.
3.
用户登录并验证权限新创建的用户登录控制台,切换至授权区域,验证权限:–在"服务列表"中选择虚拟私有云,进入VPC主界面,单击右上角"创建虚拟私有云",如果无法创建虚拟私有云(假设当前权限仅包含VPCReadOnlyAccess),表示"VPCReadOnlyAccess"已生效.
–在"服务列表"中选择除虚拟私有云外(假设当前策略仅包含ECSViewer)的任一服务,若提示权限不足,表示"VPCReadOnlyAccess"已生效.
16.
2VPC自定义策略如果系统预置的VPC权限,不满足您的授权要求,可以创建自定义策略.
自定义策略中可以添加的授权项(Action)请参见策略及授权项说明.
目前华为云支持以下两种方式创建自定义策略:可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略.
JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容.
具体创建步骤请参见:创建自定义策略.
本章为您介绍常用的VPC自定义策略样例.
虚拟私有云用户指南16权限管理文档版本48(2021-03-05)版权所有华为技术有限公司173VPC自定义策略样例示例1:授权用户创建和查看VPC{"Version":"1.
1","Statement":[{"Effect":"Allow","Action":["vpc:vpcs:createvpc:svpcs:list"]}]}示例2:拒绝用户删除VPC拒绝策略需要同时配合其他策略使用,否则没有实际作用.
用户被授予的策略中,一个授权项的作用如果同时存在Alow和Deny,则遵循Deny优先.
如果您给用户授予VPCFullAccess的系统策略,但不希望用户拥有VPCFullAccess中定义的删除VPC权限,您可以创建一条拒绝删除VPC的自定义策略,然后同时将VPCFullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对VPC执行除了删除外的所有操作.
拒绝策略示例如下:{"Version":"1.
1","Statement":[{"Effect":"Deny","Action":["vpc:vpcs:delete"]}]}示例3:多个授权项策略一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务.
多个授权语句策略描述如下:{"Version":"1.
1","Statement":[{"Action":["vpc:vpcs:create","vpc:vpcs:update"],"Effect":"Allow"},{"Action":["ecs:servers:delete"],"Effect":"Allow"}]}虚拟私有云用户指南16权限管理文档版本48(2021-03-05)版权所有华为技术有限公司17417附录17.
1NAT64TOA插件配置操作场景用户使用IPv6地址通信需要获取来访者的真实IPv6地址.
TOA内核模块主要用来获取经NAT64转化过的来访者真实IPv6地址,该插件安装在后端服务器.
当用户需要在操作系统中编译NAT64TOA内核模块时,可参考本文档进行配置.
本操作当前仅支持华北-北京四区域.
说明TOA不支持UDP协议.
TOA模块在以下操作系统中验证可以正常工作,其他内核版本安装方法类似.
CentOS7/7.
2(Kernelversion3.
10.
0)Ubuntu14.
04.
3(Kernelversion3.
12.
0)Ubuntu16.
04.
3(Kernelversion4.
4.
0)前提条件编译内核模块开发环境需与当前内核版本开发环境一致.
确保虚拟机可以访问开放源.
如果是非root用户,需拥有sudo权限.
操作步骤编译并加载TOA模块以下操作步骤是针对Linux内核版本为3.
0以上的操作系统.
1.
准备编译环境.
说明安装内核模块开发包的过程中,如果源里面找不到对应内核版本的安装包,需要自行去网上下载需要的安装包.
虚拟私有云用户指南17附录文档版本48(2021-03-05)版权所有华为技术有限公司175以下是不同Linux发行版本的操作说明,请根据环境选择对应的方案.
–CentOS环境下的操作步骤.
i.
执行如下命令,安装gcc编译器.
sudoyuminstallgccii.
执行如下命令,安装make工具.
sudoyuminstallmakeiii.
执行如下命令,安装内核模块开发包,开发包头文件与库的版本需要与内核版本一致.
sudoyuminstallkernel-devel-`uname-r`说明如果自带源里没有对应的内核开发包,可以到如下地址中去下载对应的rpm包.
地址:https://mirror.
netcologne.
de/oracle-linux-repos/ol7_latest/getPackage/以3.
10.
0-693.
11.
1.
el7.
x86_64为例,下载后执行以下命令安装:rpm-ivhkernel-devel-3.
10.
0-693.
11.
1.
el7.
x86_64.
rpm.
–Ubuntu、Debian环境下的操作步骤.
i.
执行如下命令,安装gcc编译器.
sudoapt-getinstallgccii.
执行如下命令,安装make工具.
sudoapt-getinstallmakeiii.
执行如下命令,安装内核模块开发包,开发包头文件与库的版本需要与内核版本一致.
sudoapt-getinstalllinux-headers-`uname-r`–SUSE环境下的操作步骤.
i.
执行如下命令,安装gcc编译器.
sudozypperinstallgccii.
执行如下命令,安装make工具.
sudozypperinstallmakeiii.
执行如下命令,安装内核模块开发包,开发包头文件与库的版本需要与内核版本一致.
sudozypperinstallenel-default-devel–CoreOS环境下的操作步骤.
CoreOS环境下在容器内进行内核模块的编译时,需要先启动一个用于内核模块开发的容器,然后再进行编译.
详细过程参见CoreOS官方文档,获取方式如下链接所示.
https://coreos.
com/os/docs/latest/kernel-modules.
html2.
编译内核模块.
a.
使用git工具,执行如下命令,下载TOA内核模块源代码.
gitclonehttps://github.
com/huaweicloud/elb-toagitcheckoutIPv6虚拟私有云用户指南17附录文档版本48(2021-03-05)版权所有华为技术有限公司176说明如果未安装git工具,请进入以下链接下载TOA模块源代码.
https://github.
com/huaweicloud/elb-toa/tree/IPv6b.
执行如下命令,进入源码目录,编译模块.
cdsrcmake编译过程未提示warning或者error,说明编译成功,检查当前目录下是否已经生成toa.
ko文件.
3.
加载内核模块.
a.
执行如下命令,加载内核模块.
sudoinsmodtoa.
kob.
执行如下命令,验证模块加载情况,查看内核输出信息.
dmesg|grepTOA若提示信息包含"TOA:toaloaded",说明内核模块加载成功.
说明CoreOS在容器中编译完内核模块后,需要将内核模块复制到宿主系统,然后在宿主系统中加载内核模块.
由于编译内核模块的容器和宿主系统共享/lib/modules目录,可以在容器中将内核模块复制到该目录下,以供宿主系统使用.
4.
自动加载内核模块.
为了使TOA内核模块在系统启动时生效,可以将加载TOA内核模块的命令加到客户的启动脚本中.
自动加载内核模块的方法有以下两种方法:–客户可以根据自身需求,在自定义的启动脚本中添加加载TOA内核模块的命令.
–参考以下操作步骤配置启动脚本.
i.
在"/etc/sysconfig/modules/"目录下新建toa.
modules文件.
该文件包含了TOA内核模块的加载脚本.
toa.
modules文件内容,请参考如下示例:#!
/bin/sh/sbin/modinfo-Ffilename/root/toa/toa.
ko>/dev/null2>&1if[$-eq0];then/sbin/insmod/root/toa/toa.
kofi其中"/root/toa/toa.
ko"为TOA内核模块文件的路径,客户需要将其替换为自己编译的TOA内核模块路径.
ii.
执行以下命令,为toa.
modules启动脚本添加可执行权限.
sudochmod+x/etc/sysconfig/modules/toa.
modules说明客户升级内核后,会导致现有TOA内核模块不匹配,因此需要重新编译TOA内核模块.
5.
安装多节点.
虚拟私有云用户指南17附录文档版本48(2021-03-05)版权所有华为技术有限公司177如果要在相同的客户操作系统中加载此内核模块,可以将toa.
ko文件拷贝到需要加载此模块的虚拟机中,然后参照3加载内核模块.
内核模块加载成功以后,应用程序可以正常获取访问者的真实源IPv6地址.
说明节点的操作系统发行版与内核版本必须相同.
后端服务器适配使用NAT64的TOA源地址透传功能,后端服务器应用程序源码应该做以下适配(以下为C语言示例):1.
定义用来保存地址的数据结构.
structtoa_nat64_peeruaddr2.
调用函数,获得IPv6地址.
getsockopt(connfd,IPPROTO_IP,TOA_SO_GET_LOOKUP,&uaddr,&len)其中connfd:服务器端提供服务连接的socketfdIPPROTO_IP:固定len:sizeof(structtoa_nat64_peer)TOA_SO_GET_LOOKUP:常量值4096uaddr:用来保存NAT64TOA数据结构的变量3.
输出地址并保存.
uaddr.
saddr4.
参考代码示例://定义保存nat64toa信息的数据结构和变量enum{TOA_BASE_CTL=4096,TOA_SO_SET_MAX=TOA_BASE_CTL,TOA_SO_GET_LOOKUP=TOA_BASE_CTL,TOA_SO_GET_MAX=TOA_SO_GET_LOOKUP,};structtoa_nat64_peer{structin6_addrsaddr;uint16_tsport;};structtoa_nat64_peeruaddr;……//获取服务端的socketsockaddr.
sin_family=AF_INET;sockaddr.
sin_addr.
s_addr=htonl(INADDR_ANY);sockaddr.
sin_port=htons(PORT);listenfd=socket(AF_INET,SOCK_STREAM,0);bind(listenfd,(structsockaddr*)&sockaddr,sizeof(sockaddr))……//监听对应的socketconnfd=accept(listenfd,(structsockaddr*)&caddr,&length);//获取对应nat64toa的信息charfrom[40];intlen=sizeof(structtoa_nat64_peer);if(getsockopt(connfd,IPPROTO_IP,TOA_SO_GET_LOOKUP,&uaddr,&len)==0){inet_ntop(AF_INET6,&uaddr.
saddr,from,sizeof(from));//获取源IP和源port的信息printf("realclient[%s]:%d\n",from,ntohs(uaddr.
sport));}虚拟私有云用户指南17附录文档版本48(2021-03-05)版权所有华为技术有限公司178A修订记录发布日期修改说明2021-03-05第四十八次正式发布.
文档内容更新为:产品介绍新增"网络服务概述".
常见问题新增"配置了IPv6双栈,为什么无法访问IPv6网站".
2020-12-17第四十七次正式发布.
文档内容更新为:在"约束与限制"章节,增加各功能限制说明.
对等连接补充图示.
2020-11-03第四十六次正式发布.
文档内容更新为:调整"虚拟私有云和子网章节"结构.
新增"为虚拟私有云添加扩展网段"和"删除虚拟私有云扩展网段"章节.
在"网络ACL"章节,新增"拒绝某IP地址的访问".
删除常见问题:弹性云服务器关机再开机后,其绑定的弹性公网IP是否会改变2020-10-23第四十五次正式发布.
文档内容更新为:新增"弹性网卡"章节.
优化"安全组"章节.
2020-09-07第四十四次正式发布.
文档内容更新为:常见问题新增"为什么配置的安全组规则不生效".
常见问题删除"VPC对等连接出现问题时,如何排查".
常见问题修改"为什么对等连接创建完成后不能互通".
常见问题修改"弹性云服务器的网卡绑定虚拟IP地址后,该虚拟IP地址无法ping通时,如何排查".
2020-07-23第四十三次正式发布.
文档内容更新为:新增"IP地址组"章节,同时在安全组对应章节新增"IP地址组"字段.
虚拟私有云用户指南A修订记录文档版本48(2021-03-05)版权所有华为技术有限公司179发布日期修改说明2020-06-09第四十二次正式发布.
文档内容更新为:常见问题新增:"配置双网卡后ping不通".
2020-05-20第四十一次正式发布.
文档内容更新为:常见问题新增:"外网能访问服务器,但是服务器无法访问外网时,如何排查".
常见问题新增:"哪些设备可以与华为云二层连接网关做对接"常见问题新增:"二层连接配置完成后状态一直显示未连接".
常见问题新增:"二层连接状态显示已连接,但云上与云下的主机网络仍不通".
修改常见问题"子网被相关资源占用时,会导致无法删除子网,如何排查相关资源".
新增"克隆安全组"章节.
2020-04-15第四十次正式发布.
文档内容更新为:常见问题新增"弹性公网IP是否支持跨区域绑定".
常见问题新增"如何查询弹性公网IP归属地".
常见问题新增"弹性公网IP是否支持转移给其他帐号".
常见问题新增"购买弹性公网IP时,是否可以指定IP地址".
常见问题新增"购买弹性公网IP后,弹性公网IP是否会变化".
常见问题新增"怎样切换内网DNS".
2020-03-30第三十九次正式发布.
文档内容更新为:新增"二层连接网关(公测)"章节.
在"安全组简介"及"网络ACL简介"章节补充基本信息.
修改常见问题"变更安全组规则和网络ACL规则时,是否对原有流量实时生效".
产品介绍新增"计费说明"章节.
常见问题新增"计费类".
2020-03-20第三十八次正式发布.
文档内容更新为:常见问题新增"用户在弹性云服务器内手工配置的IPv6地址为什么无法通信"常见问题删除"安全组中多个安全组规则冲突时,安全组规则优先级哪个更高"2020-02-18第三十七次正式发布.
文档内容更新为:常见问题新增"弹性公网IP如何计费".
优化常见问题"一个弹性公网IP可以给几个弹性云服务器使用".
虚拟私有云用户指南A修订记录文档版本48(2021-03-05)版权所有华为技术有限公司180发布日期修改说明2020-02-10第三十六次正式发布.
文档内容更新为:修改"权限管理"章节,VPC系统权限名称变更.
2020-01-20第三十五次正式发布.
文档内容更新为:修改"权限管理"章节内容.
2019-12-23第三十四次正式发布.
文档内容更新为:根据界面"子网""路由表"入口及功能变化刷新文档.
在常见问题新增"弹性云服务器是否支持切换虚拟私有云".
2019-12-03第三十三次正式发布.
文档内容更新为:优化"产品介绍"描述与图示.
根据统一身份认证服务界面,刷新"权限管理"章节.
2019-11-20第三十二次正式发布.
文档内容更新为:在常见问题新增"弹性公网IP的分配策略是什么"章节.
在常见问题新增"静态BGP与全动态BGP有何区别"章节.
在常见问题新增"什么是增强型95计费"章节.
2019-10-30第三十一次正式发布.
文档内容更新为:新增附录章节"NAT64TOA插件配置".
2019-10-15第三十次正式发布.
文档内容更新为:新增"VPC流日志(公测)"章节.
根据安全组添加规则界面,刷新文档截图.
在常见问题新增"为什么网络ACL添加了拒绝特定IP地址访问的规则,但仍可以访问"章节.
2019-10-09第二十九次正式发布.
文档内容更新为:在常见问题新增"弹性公网IP是否支持变更绑定的弹性云服务器"章节.
在常见问题新增"弹性云服务器关机再开机后,其绑定的弹性公网IP是否会改变"章节.
2019-09-26第二十八次正式发布.
文档内容更新为:优化"VPC对等连接"章节.
2019-09-12第二十七次正式发布.
文档内容更新为:删除"删除VPN"章节.
在常见问题新增"带宽与上传下载速率是什么关系"章节.
常见问题"删除安全组有何约束"补充内容.
虚拟私有云用户指南A修订记录文档版本48(2021-03-05)版权所有华为技术有限公司181发布日期修改说明2019-08-15第二十六次正式发布.
文档内容更新为:在"安全组配置示例"章节,新增"允许外部访问指定端口"示例.
常见问题中新增"如何切换计费方式中的"按带宽计费"和"按流量计费""章节.
常见问题中新增"带宽加油包是否支持在有效期内叠加"章节.
2019-07-30第二十五次正式发布.
文档内容更新为:新增"带宽加油包"章节.
2019-05-31第二十四次正式发布.
文档内容更新为:产品介绍中新增"权限管理"章节.
产品介绍中新增"区域和可用区"章节.
快速入门中新增"搭建IPv4网络"和"搭建IPv6网络(公测)".
用户指南中新增"权限管理"章节.
2018-12-30第二十三次正式发布.
文档内容更新为:匹配管理控制台左侧导航菜单变更,修改了安全组、网络ACL、弹性公网IP、共享带宽等的入口描述.
新增"网络ACL简介"章节.
新增"网络ACL配置示例"章节.
2018-11-30第二十二次正式发布.
文档内容更新为:根据网络ACL界面优化同步更新对应文档.
–新增批量删除规则、批量解除关联子网.
–修改参数"Any"为"全部","动作"为"策略"等.
修改FAQ"弹性云服务器IP获取不到时,如何排查".
虚拟私有云用户指南A修订记录文档版本48(2021-03-05)版权所有华为技术有限公司182发布日期修改说明2018-09-30第二十一次正式发布.
文档内容更新为:新增常见问题"云主机弹性云服务器的主网卡和扩展网卡在使用上有什么区别".
新增常见问题"修改弹性云服务器的时间后,IP地址丢失,怎么办".
新增"IPv4/IPv6双栈网络(公测)"章节.
新增"共享流量包"章节.
修改常见问题"如何切换计费模式中的"按需"和"包年包月"".
在"创建虚拟私有云基本信息及默认子网"章节新增批创子网描述.
在"添加网络ACL规则"章节新增批量添加规则描述、新增规则的"描述"参数.
新增"配置SNAT服务器"章节.
2018-08-30第二十次正式发布.
文档内容更新为:新增"IPv6弹性公网IP(公测)"章节.
在"创建虚拟私有云基本信息及默认子网"和"创建安全组"章节新增"企业项目"参数.
2018-07-30第十九次正式发布.
文档内容更新为:安全组修改:–修改"复制安全组规则"章节.
–新增"修改安全组规则"章节.
–修改"删除安全组规则"章节.
–新增"导入/导出安全组规则"章节.
–新增"实例加入/移出安全组"章节.
自定义路由修改:–新增"简介"章节.
–新增"VPC内自定义路由示例"章节.
–新增"VPC外自定义路由示例"章节.
在"为虚拟私有云创建新的子网"章节新增系统保留地址的说明.
删除"SNAT"和"配置SNAT服务器"章节,新增"NAT网关"章节.
虚拟私有云用户指南A修订记录文档版本48(2021-03-05)版权所有华为技术有限公司183发布日期修改说明2018-06-30第十八次正式发布.
文档内容更新为:共享带宽新增增强型95计费方式.
优化产品介绍章节.
优化安全组章节.
新增"VPC网络规划".
常见问题增加分类.
新增"无法访问公有云某些端口时怎么办".
新增"TCP25端口出方向无法访问时怎么办".
修改"添加安全组规则"章节.
修改"快速添加多条安全组规则"章节.
新增"修改安全组规则"章节.
2018-05-30第十七次正式发布.
文档内容更新为:新增"企业项目"参数.
新增"克隆安全组规则"功能.
新增安全组规则的"描述"参数.
统一购买、创建、申请的界面用语.
2018-05-23第十六次正式发布.
文档内容更新为:新增"修改弹性公网IP的带宽"章节,删除原"查询和修改带宽"章节.
修改"如何通过扩展网卡绑定的弹性公网IP访问公网".
修改"EIP连接出现问题时,如何排查".
2018-05-11第十五次正式发布.
文档内容更新为:新增共享带宽相关描述.
在申请弹性公网IP章节,将购买时长和数量合并,修改为购买量.
新增云监控和云审计内容.
修改常见问题:如何使用共享带宽.
修改常见问题:带宽的限速范围是多少.
2018-04-28第十四次正式发布.
文档内容更新为:新增导出虚拟私有云列表.
修改弹性IP为弹性公网IP.
新增常见问题:如何通过扩展网卡绑定的弹性公网IP访问公网.
虚拟私有云用户指南A修订记录文档版本48(2021-03-05)版权所有华为技术有限公司184发布日期修改说明2018-03-30第十三次正式发布.
文档内容更新为:新增Cloud-init连接出现问题时,如何排查.
新增EIP连接出现问题时,如何排查.
新增IB网络出现问题时,如何排查.
新增VPC对等连接出现问题时,如何排查.
新增二三层通信出现问题时,如何排查.
新增裸机网络出现问题时,如何排查.
新增VPC虚拟IP无法访问时,如何排查.
新增弹性云服务器IP获取不到时,如何排查.
新增VPN及专线网络连接出现问题时,如何排查.
2018-02-28第十二次正式发布.
文档内容更新为:新增如何切换弹性IP计费模式中的"按需"和"包年包月".
新增如何为配置了多网卡的弹性云服务器配置策略路由.
新增本地主机访问使用弹性云服器搭建的网站出现间歇性中断怎么办.
新增同一个子网下的弹性云服务器只能通过内网IP地址单向通信怎么办.
新增同一个VPC内的两台弹性云服务器无法互通或者出现丢包等现象时,如何排查.
新增弹性云服务器的网卡绑定虚拟IP地址后,该虚拟IP地址无法ping通时,如何排查.
2018-01-30第十一次正式发布.
文档内容更新为:新增批量解绑和释放弹性IP地址功能.
创建安全组时,描述信息不超过64位.
2017-11-30第十次正式发布.
文档更新内容为:创建子网无需配置可用区.
2017-10-30第九次正式发布.
文档内容更新为:按照管理控制台最新的UI风格刷新手册截图.
"防火墙"名称修改为"网络ACL".
新增快速添加安全组规则的功能.
新增弹性云服务器的安全组配置案例.
2017-09-30第八次正式发布.
文档内容更新为:新增虚拟私有云和子网的标签特性.
虚拟私有云用户指南A修订记录文档版本48(2021-03-05)版权所有华为技术有限公司185发布日期修改说明2017-08-20第七次正式发布.
文档内容更新为:根据界面优化更新"虚拟私有云和子网"和"自定义路由"章节操作步骤.
根据界面优化更新申请VPC、VPN、弹性IP地址操作步骤.
2017-07-30第六次正式发布.
文档内容更新为:路由表支持100条自定义路由.
2017-07-20第五次正式发布.
文档内容更新为:新增以下特性:对等连接网络ACL自定义路由2017-04-28第四次正式发布.
文档内容更新为:修改子网信息网络信息时,可以增加多个DNS服务器地址.
2016-10-19第三次正式发布.
文档内容更新如下:VPN帮助中心URL改动,更新帮助中心URL.
2016-07-15第二次正式发布.
文档内容更新如下:修改VPN的认证算法支持SHA2.
流量计费功能性能优化,同时支持自动切换流量计费数据库.
2016-03-14第一次正式发布.
虚拟私有云用户指南A修订记录文档版本48(2021-03-05)版权所有华为技术有限公司186