华为云用户手册

如何连接本地IDC？ 当您有VPC与本地IDC互通的需求时，需要确保VPC的网段和要互通的IDC内网段都不冲突。 如图1所示，比如您在A区域有一个VPC1，B区域有两个VPC，分别为VPC2和VPC3。VPC1需要连接用户A区域IDC，通过VPN走Internet互连。VPC2需要连接用户B区域IDC，通过云专线连接。同时在B区域的VPC3与VPC2通过对等连接建立连接。 图1 IDC连接 此例中，各VPC网段划分需要注意以下几点： VPC1的网段（CIDR）不能与区域A IDC的网段有重叠。 VPC2的网段（CIDR）不能与区域B IDC的网段有重叠。 VPC3和VPC2的网段也不能有重叠。

如何连接Internet？ 少量弹性云服务器通过弹性公网IP连接Internet 当您仅有少量弹性云服务器访问Internet时，您可将弹性公网IP（EIP）绑定到弹性云服务器上，弹性云服务器即可连接公网。您还可以通过动态解绑它，再绑定到NAT网关、弹性负载均衡上，使这些云产品连接公网，管理非常简单。不同弹性公网IP还可以共享带宽，减少您的带宽成本。 更多弹性公网IP（EIP）信息，请参见弹性公网IP简介。 大量弹性云服务器通过NAT网关连接Internet 当您有大量弹性云服务器需要访问Internet时，单纯使用弹性公网IP管理成本过高，公有云NAT网关来帮您，它提供SNAT和DNAT两种功能。SNAT可轻松实现同一VPC内的多个弹性云服务器共享一个或多个弹性公网IP主动访问公网，有效降低管理成本，减少了弹性云服务器的弹性公网IP直接暴露的风险。DNAT功能还可以实现端口级别的转发，将弹性公网IP的端口映射到不同弹性云服务器的端口上，使VPC内多个弹性云服务器共享同一弹性公网IP和带宽面向互联网提供服务。 更多NAT网关信息，请参见《NAT网关用户指南》。 海量高并发场景通过弹性负载均衡连接Internet 对于电商等高并发访问的场景，您可以通过弹性负载均衡（ELB）将访问流量均衡分发到多台弹性云服务器上，支撑海量用户访问。弹性负载均衡采用集群化部署，支持多可用区的同城双活容灾。同时，无缝集成了弹性伸缩，能够根据业务流量自动扩容，保证业务稳定可靠。 更多弹性负载均衡信息，请参见《弹性负载均衡用户指南》。

如何规划VPC？ VPC具有区域属性，默认情况下，不同VPC之间网络不通，同一个VPC内的不同子网之间网络互通。 一个VPC 当各业务之间没有网络隔离需求时，您可以只使用一个VPC。 多个VPC 当您在当前区域下部署多套业务，且希望不同业务之间网络隔离，则您可以在当前区域内，为每个业务建立对应的VPC。 如果需要连通相同账户内或者不同账户内，不同VPC之间的网络，您可以根据VPC的区域，选择以下方式： 相同区域内：可以通过对等连接实现。 不同区域内：可以通过云连接来实现。 一个用户在单个区域可创建的虚拟私有云数量默认为5个，如果您需要提升配额，请参见如何申请扩大配额？ 您可以在特定的私有IP网段范围内，选择VPC的网段。VPC网段的选择需要考虑以下两点： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当前VPC与其他VPC、云下数据中心连通时，要避免IP地址冲突。 VPC支持的网段范围如表1所示。 表1 VPC网段 VPC网段 IP地址范围 最大IP地址数 10.0.0.0/8~24 10.0.0.0-10.255.255.255 2^24-2=16777214 172.16.0.0/12~24 172.16.0.0-172.31.255.255 2^20-2=1048574 192.168.0.0/16~24 192.168.0.0-192.168.255.255 2^16-2=65534 表1中介绍的IPv4网段是VPC的主网段，当VPC创建完成后，主网段不支持修改，若主网段不够分配，您可以为虚拟私有云添加IPv4扩展网段。

操作场景 VPC支持同区域或者跨区域克隆安全组，方便您将相同的安全组规则快速应用到不同区域的弹性云服务器上。 当您遇到如下场景时，推荐您使用克隆安全组功能。 假设您已经在区域A创建了一个安全组sg-A，此时您需要为区域B内的弹性云服务器使用与sg-A完全相同的规则，您可以直接将sg-A克隆到区域B，而不需要在区域B重新创建安全组。 如果您的业务需要执行新的安全组规则，您可以克隆原有的安全组作为备份。 如果您需要修改当前业务使用的安全组规则，建议您可以克隆一个测试安全组，在测试环境调测成功后，再修改运行的业务安全组。

约束与限制 您可以在同一个区域内，或者跨区域克隆安全组。 同一个区域内克隆安全组时，可以克隆安全组内的全部规则。 跨区域克隆安全组时，仅支持克隆源/目的地址是IP地址或者本安全组的规则，不支持克隆源/目的地址是其他安全组和IP地址组的规则。 克隆安全组功能是克隆安全组及安全组规则，不支持克隆此安全组关联的实例。 克隆安全组支持在同一个账号内使用，如果您需要跨账号快速创建安全组，则推荐您使用导入/导出安全组规则功能，具体请参见导入和导出安全组规则。

约束与限制 共享流量包费用为一次性支付，即刻生效，不支持指定生效日期。 共享流量包一旦购买不支持修改和退订，到期后也不支持续订。 共享流量包支持包月和包年，到期后剩余的流量将无法再使用。 共享流量包只能针对按需计费（按流量计费）的带宽生效，且需要区分动态BGP和静态BGP类型。动态BGP共享流量包适用于动态BGP按需计费（按流量计费）的独享带宽，静态BGP共享流量包适用于静态BGP按需计费（按流量计费）的独享带宽。 共享流量包不支持对指定的某一个EIP带宽生效。 共享流量包不支持对共享带宽生效。 共享流量包不支持用于优选BGP类型的EIP。

实现不同安全组的实例内网网络互通 同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sg-A内的云服务器访问安全组sg-B内的MySQL数据库，您需要通过在安全组sg-B中添加一条入方向规则，允许来自安全组sg-A内云服务器的内网请求进入。 表8 实现不同安全组的实例网络互通 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sg-A 如果您通过中间网络实例在不同子网的实例之间转发流量，如安全组应用示例中的示例二，子网Subnet-A的E CS 通过虚拟IP和子网Subnet-B的ECS互相通信。由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

限制云服务器访问外部网站 安全组的出方向规则一般默认全部放通，默认规则如表11所示。如果您需要限制服务器只能访问特定网站，则按照如下要求配置： 首先，您需要遵循白名单规则，在安全组出方向规则中添加指定的端口和IP地址。 表10 限制云服务器访问外部网站 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 自定义TCP: 80 IP地址：132.15.XX.XX 允许安全组内云服务器访问指定的外部网站，网站地址为http://132.15.XX.XX:80。 出方向 1 允许 IPv4 自定义TCP: 443 IP地址：145.117.XX.XX 允许安全组内云服务器访问指定的外部网站，网站地址为https://145.117.XX.XX:443。 其次，删除安全组出方向中原有放通全部流量的规则，如表11所示。 表11 安全组默认出方向规则 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

云服务器提供数据库访问服务 安全组默认拒绝所有来自外部的请求，如果您在云服器上部署了数据库服务，允许其他实例通过内网访问数据库服务，则您需要在部署数据库服务器所在的安全组内，添加入方向规则，放通对应的端口，实现其他实例通过内网获取数据库数据的请求。常见的数据库类型机器对应的端口如下： MySQL(3306) Oracle(1521) MS SQL(1433) PostgreSQL(5432) Redis(6379) 表9 云服务器提供数据库访问服务 方向 优先级 策略 类型 协议端口 源地址 描述 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sg-A 允许安全组sg-A内云服务器访问MySQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 1521 安全组：sg-B 允许安全组sg-B内云服务器访问Oracle数据库服务。 入方向 1 允许 IPv4 自定义TCP: 1433 IP地址：172.16.3.21/32 允许私网IP地址为172.16.3.21的云服务器访问MS SQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 5432 IP地址：192.168.0.0/24 允许私网IP地址属于192.168.0.0/24网段的云服务器访问PostgreSQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 6379 IP地址组：ipGroup-A 允许私网IP地址属于IP地址组ipGroup-A范围内的云服务器访问PostgreSQL数据库服务。 本示例中源地址提供的配置仅供参考，请您根据实际需求设置源地址。

在本地服务器远程连接云服务器上传或者下载文件（FTP） 安全组默认拒绝所有来自外部的请求，如果您需要在本地服务器远程连接云服务器上传或者下载文件，那么您需要开通FTP(20、21)端口。 表5 在本地服务器远程连接云服务器上传或者下载文件 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 20-21 IP地址：0.0.0.0/0 您需要在弹性云服务器上先安装FTP服务器程序，再查看20、21端口是否正常工作。安装FTP服务器的操作请参见搭建FTP站点（Windows）、搭建FTP站点（Linux）。

在云服务器上搭建网站对外提供Web服务 安全组默认拒绝所有来自外部的请求，如果您在云服器上搭建了可供外部访问的网站，则您需要在安全组入方向添加对应的规则，放通对应的端口，例如HTTP(80)、HTTPS(443)。 表6 在云服务器上搭建网站对外提供Web服务 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 入方向 1 允许 IPv4 自定义TCP: 443 IP地址：0.0.0.0/0

通过本地服务器远程登录云服务器 安全组默认拒绝所有来自外部的请求，如果您需要通过本地服务器远程登录安全组内的云服务器，那么需要根据您的云服务器操作系统类型，在安全组入方向添加对应的规则。 通过SSH远程登录Linux云服务器，需要放通SSH(22)端口，请参见表2。 通过RDP远程登录Windows云服务器，需要放通RDP(3389)端口，请参见表3。 表2 通过SSH远程登录Linux云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 22 IP地址：0.0.0.0/0 表3 通过RDP远程登录Windows云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3389 IP地址：0.0.0.0/0 源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器，为了确保安全，建议您遵循最小原则，根据实际情况将源IP设置为特性的IP地址，配置示例请参见表4。 表4 通过特定IP地址远程登录云服务器 云服务器类型 方向 优先级 策略 类型 协议端口 源地址 Linux云服务器 入方向 1 允许 IPv4 自定义TCP: 22 IP地址：192.168.0.0/24 Windows云服务器 入方向 1 允许 IPv4 自定义TCP: 3389 IP地址：10.10.0.0/24

验证网络连通性 ICMP协议用于网络消息的控制和传递，因此在进行一些基本测试操作之前，需要开通ICMP协议访问端口。比如，您需要在某个个人PC上使用ping命令来验证云服务器的网络连通性，则您需要在云服务器所在安全组的入方向添加以下规则，放通ICMP端口。 表7 使用ping命令验证网络连通性 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 ICMP: 全部 IP地址：0.0.0.0/0 入方向 1 允许 IPv6 ICMP: 全部 IP地址：::/0

使用须知 在配置安全组规则之前，您需要先了解以下信息： 不同安全组之间的实例默认网络隔离，无法互相访问。 安全组默认拒绝所有来自外部的请求，即本安全组内的实例网络互通，外部无法访问安全组内的实例。 您需要遵循白名单原则添加安全组入方向规则，允许来自外部的特定请求访问安全组内的实例。 安全组的出方向规则一般默认全部放通，即允许安全组内的实例访问外部。 如果出方向规则被删除，将会导致安全组内实例无法正常访问外部，您可以参考表1重新添加规则。 表1 安全组默认出方向规则 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

约束与限制 当您删除安全组规则前，请您务必了解该操作可能带来的影响，避免误删除造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，表1中的入方向规则，确保安全组内实例的内网网络互通，不建议您删除该安全组规则。 在出方向中，表1中的出方向规则，允许所有流量从安全组内实例流出。如果您删除了该规则，则安全组内的实例无法访问外部，请您谨慎操作。 表1 安全组规则说明 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0

操作场景 安全组实际是网络流量访问策略，由入方向规则和出方向规则共同组成。您可以参考以下章节添加安全组规则，用来控制流入/流出安全组内实例（如ECS）的流量。 您在创建实例时（如ECS），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以参考以下操作创建自定义安全组并配置安全组规则实现特定业务访问需求。了解安全组的更多信息，请参见安全组和安全组规则。

安全组模板说明 创建安全组的时候，系统为您提供了几种常见的安全组模板。安全组模板中预先配置了入方向规则和出方向规则，您可以根据业务选择所需的模板，快速完成安全组的创建。安全组模板的详细说明如表1所示。 表1 安全组模板说明 模板名称 规则类别 类型和协议端口 源地址/目的地址 规则用途 模板适用场景 通用Web服务器 入方向规则 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的SSH(22)端口，用于远程登录Linux云服务器。 远程登录云服务器 在云服务器内使用ping命令测试网络连通性 云服务器用作Web服务器对外提供网站访问服务 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的RDP(3389)端口，用于远程登录Windows云服务器。 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的HTTP(80)端口，用于通过HTTP协议访问网站。 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的HTTPS(443)端口，用于通过HTTPS协议访问网站。 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议，允许外部所有IP访问安全组内云服务器的所有端口，用于通过ping命令测试云服务器的网络连通性。 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议，允许本安全组内云服务器的请求进入，即该条规则确保安全组内的云服务器网络互通。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云服务器可访问外部IP的所有端口。 开放全部端口 入方向规则 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议，允许本安全组内云服务器的请求进入，即该条规则确保安全组内的云服务器网络互通。 开放安全组内云服务器所有端口，此操作存在一定安全风险，请您谨慎选择。 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许外部所有IP访问安全组内云服务器的所有端口。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云服务器可访问外部IP的所有端口。 快速添加规则 入方向规则 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议，允许本安全组内云服务器的请求进入，即该条规则确保安全组内的云服务器网络互通。 您可以勾选常见协议端口，在入方向快速添加规则放通对应的协议及端口。 若您未勾选任何协议端口，则不会放通任何端口。请在安全组创建完成后，参考添加安全组规则自行添加所需的规则。 自定义选择的端口和协议 0.0.0.0/0 针对TCP或者ICMP协议，允许外部所有IP访问安全组内云服务器的指定端口，用于实现不同的用途。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允允许安全组内的云服务器可访问外部任意IP和端口。

约束与限制 共享流量包费用为一次性支付，即刻生效，不支持指定生效日期。 共享流量包一旦购买不支持修改和退订，到期后也不支持续订。 共享流量包支持包月和包年，到期后剩余的流量将无法再使用。 共享流量包只能针对按需计费（按流量计费）的带宽生效，且需要区分动态BGP和静态BGP类型。动态BGP共享流量包适用于动态BGP按需计费（按流量计费）的独享带宽，静态BGP共享流量包适用于静态BGP按需计费（按流量计费）的独享带宽。 共享流量包不支持对指定的某一个EIP带宽生效。 共享流量包不支持对共享带宽生效。 共享流量包不支持用于优选BGP类型的EIP。

注意事项 子网创建成功后，有5个系统保留地址您不能使用。以192.168.0.0/24的子网为例，默认的系统保留地址如下： 192.168.0.0：网络标识符，私有IP地址范围开始，不作分配 192.168.0.1：网关地址 192.168.0.253：系统接口，用于VPC对外通信 192.168.0.254：DHCP服务地址 192.168.0.255：广播地址 如果您在创建子网时选择了自定义配置，系统保留地址可能与上面默认的不同，系统会根据您的配置进行自动分配。

流量匹配网络ACL规则的顺序 一个子网只能绑定一个网络ACL，当网络ACL存在多条规则时，流量按照规则的优先级进行匹配。优先级的数字越小，优先级越高，越先执行该规则。默认规则优先级的值为“*”，优先级最低。 以入方向的流量为例，子网的网络流量将按照以下原则匹配网络ACL规则，入方向和出方向的流量匹配顺序相同。 当流量匹配上自定义规则，则根据规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入子网。 当策略为允许时，则允许该流量流入子网。 当流量未匹配上任何自定义规则，则执行默认规则，拒绝流量流入子网。 图2 网络ACL匹配顺序

应用场景 由于应用层需要对外提供服务，因此入方向规则必须放通所有地址，如何防止恶意用户的非正常访问呢？ 解决方案：通过网络ACL添加拒绝规则，拒绝恶意IP的访问。 隔离具有漏洞的应用端口，比如Wanna Cry，关闭445端口。 解决方案：通过网络ACL添加拒绝规则，拒绝恶意协议和端口，比如TCP：445端口。 子网内的通信无防护诉求，仅有子网间的访问限制。 解决方案：通过网络ACL设置子网间的访问规则 对访问频繁的应用，调整安全规则顺序，提高性能。 解决方案：网络ACL支持规则编排，可以把访问频繁的规则置顶。

网络ACL基本信息 您的VPC默认没有网络ACL。当您需要时，可以创建自定义的网络ACL并将其与子网关联。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。 网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。 每个新创建的网络ACL最初都为未激活状态，直至您关联子网为止。 网络ACL是有状态的。如果您从实例发送一个出站请求，且该网络ACL的出方向规则是放通的话，那么无论其入方向规则如何，都将允许该出站请求的响应流量流入。同理，如果该网络ACL的入方向规则是放通的，那无论出方向规则如何，都将允许该入站请求的响应流量可以流出。 网络ACL使用连接跟踪来标识进出实例的流量信息，入方向和出方向网络ACL规则配置变更，对原有流量不会立即生效。 当您在网络ACL内增加、删除、更新规则，或者在网络ACL内添加、移出子网时，由入方向/出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有网络ACL规则。入方向/出方向流量新建立的连接，将会匹配新的网络ACL出方向规则。 对于已建立的长连接，流量断开后，不会立即建立新的连接，需要超过连接跟踪的老化时间后，才会新建立连接并匹配新的规则。比如，对于已建立的ICMP协议长连接，当流量中断后，需要超过老化时间30s后，将会新建立连接并匹配新的规则，详细说明如下： 不同协议的连接跟踪老化时间不同，比如已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了报文，另一个方向没有收到报文，则连接老化时间是30s。 TCP协议处于不同状态下的连接老化时间也不相同，比如TCP连接处于ESTABLISHED（连接已建立）状态时，老化时间是600s，处于FIN-WAIT（连接即将关闭）状态时，老化时间是30s。

网络ACL默认规则 每个网络ACL都包含一组默认规则，如下所示： 默认放通同一子网内的流量。 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。 默认放通目的IP地址为169.254.169.254/32，TCP端口为80的metadata报文。用于获取元数据。 默认放通公共服务预留网段资源的报文，例如目的网段为100.125.0.0/16的报文。 除上述默认放通的流量外，其余出入子网的流量全部拒绝，如表1所示。该规则不能修改和删除。 表1 网络ACL默认规则 方向 优先级 动作 协议 源地址 目的地址 说明 入方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有入站流量 出方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有出站流量

操作场景 您可以在Excel格式文件中填写安全组规则参数，并将规则导入到安全组内。同时，您可以将已有安全组的规则导出至Excel格式文件中。 当您遇到如下场景时，推荐您使用导入和导出安全组功能。 本地备份安全组规则：如果您想在本地备份安全组规则，可以导出安全组内的规则，将安全组的出方向、入方向规则信息导出为Excel格式文件。 快速创建和恢复安全组规则：如果您想快速创建或恢复安全组规则，可以将安全组规则文件导入到已有安全组中。 快速迁移安全组规则：将某个安全组的规则快速应用到其他安全组。 批量修改安全组规则：将当前安全组的规则导出后，在Excel文件批量修改完成后，重新导入即可。

约束与限制 导入安全组规则时，请根据格式要求填写要求的参数，不能新增参数或者修改已有参数名称，否则会导入失败。 导入安全组规则时，当源地址/目的地址设置为安全组或者IP地址组时，请务必填写正确的ID信息，否则会导入失败。 当导入的安全组规则与安全组内已有规则重复时，系统会自动帮您过滤掉重复的规则，不影响导入。 对于同一个方向的安全组规则，当类型、协议端口、源地址/目的地址均相同时，不允许这两条规则的策略相反，即不能规则A设置为允许，规则B设置为拒绝，示例如表1所示。 当表格中的规则与安全组内已有规则的策略冲突时，安全组会导入失败，请根据界面提示排查修改。 当表格中的规则策略冲突时，安全组会导入失败，请根据界面提示排查修改。 表1 规则策略相反示例 规则 方向 优先级 策略 类型 协议端口 目的地址 规则A 入方向 1 允许 IPv4 TCP：22 0.0.0.0/0 规则B 入方向 5 拒绝 IPv4 TCP：22 0.0.0.0/0 当您在同一个账号内，跨区域导入安全组规则时，即将区域A的安全组规则导入到区域B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。 当您跨账号导入安全组规则时，即将账号A的安全组规则导入到账号B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。

流量匹配安全组和网络ACL 规则的顺序 当安全组和网络ACL同时存在时，流量优先匹配网络ACL的规则，然后匹配安全组规则。如图2所示，以入方向流量为例，为您详细介绍安全组和网络ACL规则的匹配顺序。 流量优先匹配网络ACL规则： 当流量未匹配上任何自定义网络ACL规则，则流量执行默认网络ACL规则，拒绝流量流入子网。 当流量匹配上自定义网络ACL规则，则根据网络ACL规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入子网。 当策略为允许时，则允许该流量流入子网。 当流量通过网络ACL进入子网时，流量进一步匹配安全组规则： 当实例关联多个安全组时，流量按照安全组的顺序进行匹配。首先匹配第一个安全组内的规则。 当流量未匹配上任何安全组规则时，则拒绝该流量进入实例。 当流量匹配上安全组规则，则根据安全组规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入实例。 当策略为允许时，则允许该流量流入实例。 对于未成功匹配第一个安全组内规则的流量，继续匹配第二个安全组内的规则。 当遍历了所有安全组的入方向规则，流量均没有匹配上时，则拒绝该流量流入实例。 图2 网络ACL和安全组的匹配顺序 如图3所示，以下为您提供具体的流量匹配示例。VPC-A内有子网Subnet-A，Subnet-A内有两台弹性 云服务器ECS -A和ECS-B。安全防护策略如下： 子网Subnet-A上关联了网络ACL Fw-A。Fw-A中的默认规则不能删除，流量优先匹配已添加的自定义规则，网络ACL规则示例请参见表2。 弹性云服务器ECS-A和ECS-B由安全组Sg-A来防护。创建安全组Sg-A时，您可以选择已有模板，模板中会自带部分安全组规则。您可以对系统自带的规则进行修改或者删除，也可以添加自定义规则，安全组规则示例请参见表3。 图3 网络ACL和安全组的匹配顺序示例 表2 网络ACL Fw-A规则说明 方向 优先级 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 说明 入方向 1 IPv4 拒绝 全部 10.0.1.0/24 全部 0.0.0.0/0 全部 自定义网络ACL规则A01：拒绝来自特定IP地址10.0.1.0/24网段的流量流入子网内 入方向 2 IPv4 允许 TCP 0.0.0.0/0 全部 0.0.0.0/0 80-85 自定义网络ACL规则A02：允许所有流量访问子网内实例的80-85端口 入方向 * -- 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认网络ACL规则：拒绝所有流量流入子网 出方向 1 IPv4 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 自定义网络ACL规则A03：允许所有流量从子网流出 出方向 * -- 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认网络ACL规则：拒绝所有流量从子网流出 表3 安全组Sg-A规则说明 方向 优先级 策略 类型 协议端口 源地址/目的地址 描述 入方向 1 允许 IPv4 自定义TCP：80 源地址：0.0.0.0/0 安全组规则A01：针对全部IPv4协议，允许所有流量访问安全组内实例的80端口 入方向 1 拒绝 IPv4 自定义TCP：82-83 源地址：0.0.0.0/0 安全组规则A02：针对全部IPv4协议，拒绝所有流量访问安全组内实例的82和83端口 入方向 1 允许 IPv4 全部 源地址：当前安全组（Sg-A） 安全组规则A03：针对全部IPv4协议，确保安全组内实例网络互通 入方向 1 允许 IPv6 全部 源地址：当前安全组（Sg-A） 安全组规则A04：针对全部IPv6协议，确保安全组内实例网络互通 出方向 1 允许 IPv4 全部 目的地址：0.0.0.0/0 安全组规则A05：针对全部IPv4协议，允许所有流量从安全组内实例流出 出方向 1 允许 IPv6 全部 目的地址：::/0 安全组规则A06：针对全部IPv6协议，允许所有流量从安全组内实例流出 基于以上场景，不同入方向报文对规则的匹配情况如下： 报文01：报文01无法匹配上Fw-A中的自定义网络ACL规则，则匹配默认规则，拒绝该报文流入子网。 报文02：报文02可匹配上Fw-A中的自定义网络ACL规则A01，根据规则策略，拒绝该报文流入子网。 报文03：报文03可匹配上Fw-A中的自定义网络ACL规则A02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，无法匹配上Sg-A的任何入方向规则，拒绝该报文流入实例。 报文04：报文04可匹配上Fw-A中的自定义网络ACL规则02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，可匹配上Sg-A的安全组规则A02，根据规则策略，拒绝该报文流入实例。 报文05：报文05可匹配上Fw-A中的自定义网络ACL规则02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，可匹配上Sg-A的安全组规则A01，根据规则策略，允许该报文流入实例。

安全组与网络ACL的区别说明 表1为您提供了安全组和网络ACL的详细区别。 表1 安全组和网络ACL区别 对比项 安全组 网络ACL 防护范围 实例级别：防护安全组内的实例，比如弹性云服务器、数据库、云容器实例等。 子网级别：防护整个子网，子网内的所有实例都会受到网络ACL的保护。 是否必选 必选，实例必须至少加入到一个安全组内。 非必选，您可以根据业务需求选择是否为子网关联网络ACL。 规则策略 安全组支持设置允许和拒绝策略。 允许策略：对于匹配成功的流量，允许流入/流出实例。 拒绝策略：对于匹配成功的流量，拒绝流入/流出实例。 网络ACL支持设置允许和拒绝策略。 允许策略：对于匹配成功的流量，允许流入/流出子网。 拒绝策略：对于匹配成功的流量，拒绝流入/流出子网。 规则生效顺序 当实例上绑定多个安全组，并且安全组中存在多条规则时，生效顺序如下： 首先根据实例绑定安全组的顺序生效，排在前面的安全组优先级高。 然后根据安全组内规则的优先级生效，优先级的数字越小，优先级越高。 当优先级相同的情况下，再按照策略匹配，拒绝策略高于允许策略。 一个子网只能绑定一个网络ACL，当网络ACL存在多条规则时，根据规则的优先级进行生效，优先级数字越小，优先级越高。 应用操作 创建实例（比如弹性云服务器）时，必须选择一个安全组，如果当前用户名下没有安全组，则系统会自动创建默认安全组。 实例创建完成后，您可以执行以下操作： 在安全组控制台，添加/移出实例。 在实例控制台，为实例添加/移除安全组。 创建子网没有网络ACL选项，需要先创建网络ACL，添加出入规则，并在网络ACL内关联子网。当网络ACL状态为已开启，将会对子网生效。 报文组 支持报文三元组（即协议、端口和源/目的地址）过滤。 支持报文五元组（即协议、源端口、目的端口、源地址和目的地址）过滤。

通过VPC对等连接实现两个重叠网段VPC子网网络互通 以图4为例，由于VPC-A和VPC-B的网段重叠，并且Subnet-A01和Subnet-B01子网网段重叠，那么您无法通过对等连接实现整个VPC-A和VPC-B之间的网络通信。此种情况下，对等连接可以连通非重叠子网Subnet-A02和Subnet-B02之间的网络。 图4 相互对等的两个重叠网段VPC子网(IPv4) 表8 对等连接关系说明-相互对等的两个重叠网段VPC子网(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B 表9 VPC路由表配置说明-相互对等的两个重叠网段VPC子网(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.2.0/24 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为Subnet-B02网段，下一跳指向Peering-AB的路由。 rtb-VPC-B 10.0.1.0/24 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为Subnet-A02网段，下一跳指向Peering-AB的路由。

无效的VPC对等连接 当VPC网段重叠，且全部子网重叠时，不支持使用对等连接。以网段和子网完全重叠的VPC-A和VPC-B为例，假如在VPC-A和VPC-B之间创建对等连接，那么路由表会由于目的地址重叠而导致流量传输错误。 在rtb-VPC-A路由表中，Local路由和对等连接路由的目的地址重叠，VPC-A往VPC-B的流量，会优先匹配Local路由，流量在VPC-A内部转发，无法送达VPC-B。 图6 VPC网段重叠，且全部子网重叠(IPv4) 表12 VPC路由表配置说明-VPC网段重叠，且全部子网重叠(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 10.0.1.0/24 Local 系统路由 10.0.0.0/16 (VPC-B) Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B的网段，下一跳指向Peering-AB的路由。 rtb-VPC-B 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 10.0.1.0/24 Local 系统路由 10.0.0.0/16 (VPC-A) Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A的网段，下一跳指向Peering-AB的路由。

通过VPC对等连接实现一个中心VPC的ECS与两个VPC的ECS对等 以图5为例，由于VPC-B和VPC-C的网段重叠，并且Subnet-B01和Subnet-C01子网网段重叠，那么您无法同时创建VPC-A和VPC-B、VPC-A和VPC-C之间的对等连接。您可以创建ECS之间的对等连接： 通过对等连接Peering-AB可以连通子网Subnet-B01内的ECS和Subnet-A01内的ECS。 通过对等连接Peering-AC可以连通子网Subnet-C01内的ECS和Subnet-A01内的ECS。 图5 一个中心VPC的ECS与两个VPC的ECS对等(IPv4) 表10 对等连接关系说明-一个中心VPC的ECS与两个VPC的ECS对等(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A内ECS-A01-1和VPC-B内ECS-B01对等 Peering-AB VPC-A VPC-B VPC-A内ECS-A01-2和VPC-C内ECS-C01对等 Peering-AC VPC-A VPC-C 表11 VPC路由表配置说明-一个中心VPC的ECS与两个VPC的ECS对等(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.139/32 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为ECS-B01的私有IP地址，下一跳指向Peering-AB的路由。 10.0.0.71/32 Peering-AC 自定义 在VPC-A的路由表中，添加目的地址为ECS-C01的私有IP地址，下一跳指向Peering-AC的路由。 rtb-VPC-B 172.16.0.111/32 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为ECS-A01-1的私有IP地址，下一跳指向Peering-AB的路由。 rtb-VPC-C 172.16.0.218/32 Peering-AC 自定义 在VPC-C的路由表中，添加目的地址为ECS-A01-2的私有IP地址，下一跳指向Peering-AC的路由。