创建安全组规则 功能介绍 安全组中包括入方向规则和出方向规则,通过创建安全组规则来控制安全组内实例入方向和出方向的网络流量。 调用方法 请参见如何调用API。 URI POST /v3/{project_id}/vpc/security-group-rules 表1 路径参数 参数
无法访问华为云ECS的某些端口时怎么办? 添加安全组规则时,需要您指定通信所需的端口或者端口范围,然后安全组根据规则,决定允许或是拒绝相关流量转发至ECS实例。 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访问
产品功能 VPC提供丰富的功能供您灵活配置服务,构建多元化组网,具体说明请参见表1。 VPC的基本功能:虚拟私有云、子网、路由表和路由、虚拟IP、弹性网卡、辅助弹性网卡 VPC的网络安全功能:安全组、网络ACL、IP地址组 VPC的网络连接功能:VPC对等连接 VPC的网络运维功能
开启/关闭VPC流日志 操作场景 创建完VPC流日志后,VPC流日志功能会自动开启。当您不需要记录流量数据时,您可以关闭对应的VPC流日志。关闭的VPC流日志,支持再次开启。 约束与限制 流日志开启后,系统将会在下个日志采集周期内开始采集流日志数据。 流日志关闭后,系统将会在下个日志采集周期内停止采集流日志数据
ECS常用端口 添加安全组规则时,需要您指定通信所需的端口或者端口范围,然后安全组根据策略,决定允许或是拒绝相关流量转发至ECS实例。以通过SSH方式远程登录ECS为例,当安全组检测到SSH请求后,会检查发送请求的设备IP地址、登录所需的22端口是否已在安全组入方向中被放行,只有和安全组入方向规则匹配成功
修改网络ACL规则 操作场景 当网络ACL规则设置不满足需求时,您可以参考以下操作修改网络ACL中的规则,保证子网内实例的网络安全。您可以修改网络ACL规则的端口、协议、IP地址等。 当您的网络ACL已关联子网时,修改操作会影响子网的网络流量走向,请您谨慎评估后再执行修改,避免对业务造成影响
修改路由 操作场景 您可以参考以下操作,修改VPC路由表中已有的路由。 当您的路由表已关联子网时,修改路由会影响子网的网络流量走向,请您谨慎评估后再执行操作,避免对业务造成影响。 约束与限制 系统自动创建的路由不支持修改,即类型为“系统”的路由不支持修改。 创建VPN、云专线、云连接服务时
删除路由 操作场景 您可以参考以下操作,删除VPC路由表中的自定义路由,即类型为“自定义”的路由。 当您的路由表已关联子网时,删除路由会影响子网的网络流量走向,请您谨慎评估后再执行操作,避免对业务造成影响。 约束与限制 系统自动创建的路由不支持删除,即类型为“系统”的路由不支持删除
EIP带宽与内网带宽有何差异? 公网带宽 公网带宽是指华为云实例到Internet之间的网络带宽流量。ECS实例可以通过在创建时配置公网带宽,或创建后绑定EIP的方式来开通公网带宽,即弹性公网IP带宽。 公网带宽分为入云带宽和出云带宽。 入云带宽:从Internet流入华为云方向的带宽
同时拥有自定义路由和EIP的ECS访问外网的优先级是什么? 弹性公网IP的优先级高于VPC路由表中的自定义路由。示例如下: 假如VPC路由表中存在一条自定义路由,目的地址为默认路由(0.0.0.0/0),下一跳为NAT网关。 如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由
约束与限制 VPC服务使用限制 VPC在使用过程中存在一些限制,您可以单击以下链接,了解不同功能的限制说明。 VPC和子网网段限制 VPC IPv4扩展网段限制 路由表和路由限制 虚拟IP限制 弹性网卡限制 辅助弹性网卡限制 安全组限制 网络ACL限制 IP地址组限制 对等连接限制
删除网络ACL 操作场景 当您的网络ACL不需要使用时,您可以参考以下操作删除不需要的网络ACL。 当网络ACL已关联子网时,删除网络ACL时,会将子网和网络ACL解除关联,该操作可能会影响相关子网的网络流量,请您谨慎评估后再执行删除操作,避免对业务造成影响。 操作步骤 在页面左上角单击图标
路由表可以跨VPC存在吗? 路由表不可以跨VPC存在。 路由表由一系列路由规则组成,只能存在于某个VPC内,用于控制VPC内出入子网的流量走向。一个VPC可以有多个路由表,自带一个默认路由表,您还可以根据需求自定义多个路由表。 VPC中的每个子网都必须关联一个路由表,一个子网一次只能关联一个路由表
网络ACL 网络ACL是一个子网级别的可选安全防护层,您可以在网络ACL中设置入方向和出方向规则,并将网络ACL绑定至子网,可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同,安全组对云服务器、云容器、云数据库等实例进行防护,网络ACL对整个子网进行防护。安全组是必选的安全防护层
网络ACL概述 网络ACL 网络ACL是一个子网级别的可选安全防护层,您可以在网络ACL中设置入方向和出方向规则,并将网络ACL绑定至子网,可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同,安全组对云服务器、云容器、云数据库等实例进行防护,网络ACL对整个子网进行防护
修改安全组规则 操作场景 当安全组规则设置不满足需求时,您可以参考以下操作修改安全组中的规则,保证云服务器等实例的网络安全。您可以修改安全组规则的端口号、协议、IP地址等。 当您修改安全组规则前,请您务必了解该操作可能带来的影响,避免误操作造成网络中断或者引入不必要的网络安全问题。
删除安全组规则 操作场景 当您不需要通过某条安全组规则控制流量流入/流出安全组内实例时,您可以参考以下操作删除安全组规则。 当您需要对单个安全组规则执行操作时,请参见删除单个安全组规则。 当您需要对多个安全组规则批量执行操作时,请根据需求选择适合的方法,具体如下: 当您要删除的规则数量较少
跨区域及跨账号迁移安全组 安全组为云上实例(云服务器、云容器、云数据库等)提供访问策略控制能力,用于管理实例的入方向和出方向流量。随着业务的拓展,例如需要跨区域部署资源,或者因组织架构调整导致的账号变更时,您可能需要将安全组从一个区域迁移到另一个区域,或者从一个账号迁移到另一个账号
创建自定义路由表 操作场景 创建虚拟私有云时,会同步为虚拟私有云创建一个默认路由表。当默认路由表无法满足您的使用要求时,您可参考以下操作创建自定义路由表,并将自定义路由表关联至子网,则子网流量走向会依据新的路由表。 约束与限制 默认情况下,您没有创建自定义路由表的配额,因此创建自定义路由表时
安全组配置示例 当您在VPC子网内创建实例(云服务器、云容器、云数据库等)时,您可以使用系统提供的默认安全组default,您也可以创建其他安全组。无论是默认安全组,还是您创建的安全组,您均可以在安全组内设置出方向和入方向规则,以此控制出入实例的流量。以下为您介绍一些常用的安全组的配置示例
