华为云用户手册

计费说明 资费项 计费项 含义 适用的计费模式 数据恢复费用 数据读取流量 访问低频访问存储类别的对象时，会根据对象大小产生额外的数据恢复费用。 访问归档存储类别的对象时，会根据对象大小和设置的恢复速度级别产生额外的数据恢复费用。 访问深度归档存储类别的对象时，会根据对象大小和设置的恢复速度级别产生额外的数据恢复费用。 此项费用不管通过内、外网访问均会产生；如果使用外网访问，则会同时计入到公网流出流量费用。 归档存储数据恢复后，会产生一个标准存储类别的对象副本，在恢复的有效期内，会同时收取这份数据在标准存储和归档存储中的存储费用，有效期到期后副本自动删除。其中，标准存储类别对象副本在整个有效期内的存储费用会在恢复时一次性扣除，扣除方式可以按需，也可以从资源包中抵扣。 低频访问存储数据恢复和归档存储直读功能不产生对象副本，不会产生标准存储的存储费用。 开启归档数据直读后，下载和拷贝归档存储对象均会产生数据读取流量。 说明： 重复恢复归档存储数据时，分为以下两种情况： 延长有效期：在延长恢复有效期的同时，也将会对恢复时产生的恢复费用进行重复收取。产生的标准存储类别的对象副本有效期将会延长，并且收取延长时间段产生的标准存储副本费用。 例如：您在昨天执行了一次恢复操作，有效期设置为7天，在今天同一时间又执行了一次恢复操作，有效期设置为8天，那么该归档存储对象的有效期为8天，收取的费用包含：两次恢复的费用，以及一个标准存储对象副本9天的费用。 缩短有效期：将会报错，错误码为409 ObjectHasAlreadyRestored。将不会产生恢复费用，也不会新增标准存储类别的对象副本的存储费用。 按需计费

约束与限制 VPC对等连接只能实现同区域VPC的网络互通，因此请确保您的VPC位于同一个区域内。 需要通过VPC对等连接通信的VPC的子网网段不能重叠，否则对等连接不会生效，更多详情请参见无效的VPC对等连接配置。 第三方防火墙部署的E CS 所在的子网需要关联自定义路由表 ，请确保您资源所在的区域支持自定义路由表功能。 如果在网络控制台的左侧子栏目看到独立的“路由表”选项，表示支持自定义路由表功能。 图2 支持定义路路由

组网规划说明 本示例中需要在VPC路由表中配置路由，实现VPC之间的互通以及通过防火墙的流量清洗、组网规划总体说明请参见表5。 以下路由规划详情仅为示例，供您参考，您需要根据实际业务情况规划路由。 表5 云上VPC互访使用第三方防火墙组网规划总体说明 路由表 说明 业务所在VPC vpc-A、vpc-B、vpc-C为业务VPC，路由表的规划详情如表6所示。 在vpc-A、vpc-B、vpc-C的默认路由表中，分别添加指向其他VPC子网，下一跳为对等连接的路由，实现不同VPC之间的网络互通。 防火墙所在VPC vpc-X为防火墙VPC，路由表的规划详情如表7所示。 在vpc-X的默认路由表中，根据您防火墙部署方案分为以下情况： 防火墙部署在一台ECS上，则添加目的地址为默认网段（0.0.0.0/0），下一跳为ecs-X01的路由，将流量引入防火墙所在的云服务器。 防火墙部署在两台ECS上，对外通过同一个虚拟IP通信，当主ECS发生故障无法对外提供服务时，动态将虚拟IP切换到备ECS，继续对外提供服务。此场景下，则添加目的地址为默认网段（0.0.0.0/0），下一跳为虚拟IP的路由，将流量进入虚拟IP，由虚拟IP将流量引入防火墙所在的云服务器。 本文以防火墙部署在一台ECS上为例，vpc-A、vpc-B、vpc-C互访的流量，都需要经过vpc-X，然后通过该条路由，将流量引入防火墙中进行清洗过滤。 在vpc-X的自定义路由表中，添加目的地址为业务VPC子网网段（vpc-A、vpc-B、vpc-C子网），下一跳为对等连接的路由，将清洗后的流量引入业务VPC。 表6 业务VPC路由表规划 VPC名称 VPC路由表 目的地址 下一跳类型 下一跳 路由类型 路由作用 vpc-A 默认路由表：rtb-vpc-A 10.2.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-A01和subnet-C01 192.168.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-A01和subnet-X01 vpc-B 默认路由表：rtb-vpc-B 10.1.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-B01和subnet-X01 vpc-C 默认路由表：rtb-vpc-C 10.1.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-C01 10.2.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-C01和subnet-X01 表7 防火墙VPC路由表规划 VPC名称 VPC路由表 目的地址 下一跳类型 下一跳 路由类型 路由作用 vpc-X 默认路由表：rtb-vpc-X 0.0.0.0/0 服务器实例 ECS-X 自定义 目的地址指向部署防火墙的ecs-X 将vpc-X入方向的流量引入防火墙 本文以防火墙部署在一台ECS上为例，如果您的防火墙同时部署在多台ECS上，对外通过虚拟IP通信，则路由下一跳选择虚拟IP。 自定义路由表：rtb-vpc-custom-X 10.1.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-X01 10.2.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-X01 10.3.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-C01和subnet-X01

资源规划说明 本示例中需要创建 虚拟私有云VPC 、弹性 云服务器ECS 以及VPC对等连接，资源规划总体说明请参见表1。 以下资源规划详情仅为示例，供您参考，您需要根据实际业务情况规划资源。 表1 云上VPC互访使用第三方防火墙资源规划总体说明 资源 说明 虚拟私有云VPC VPC的资源规划详情如表2所示。 本示例中共有4个VPC，包括业务所在VPC和防火墙所在的VPC。这些VPC位于同一个区域内，且这些VPC的子网网段不重叠。 vpc-A、vpc-B、vpc-C为业务VPC，vpc-X为防火墙VPC，这些VPC通过对等连接实现网络互通。 vpc-A、vpc-B、vpc-C、vpc-X各有一个子网。 vpc-A、vpc-B、vpc-C各有一个默认路由表，子网关联VPC默认路由表。 vpc-X有两个路由表，一个系统自带的默认路由表，一个用户创建的自定义路由表，vpc-X的子网关联自定义路由表。 默认路由表控制vpc-X的入方向流量，自定义路由表控制vpc-X的出方向流量。 须知： 需要通过对等连接通信的VPC的子网网段不能重叠，否则对等连接不会生效，更多详情请参见无效的VPC对等连接配置。 弹性云服务器ECS ECS的资源规划详情如表3所示。 本示例中共有4个ECS，这些ECS分别位于不同的VPC内，这些ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 VPC对等连接 VPC对等连接的资源规划详情如表4所示。 本示例中共3个对等连接，网络连通需求如下： peer-AX：连通vpc-A和vpc-X的网络。 peer-BX：连通vpc-B和vpc-X的网络。 peer-CX：连通vpc-C和vpc-X的网络。 由于VPC对等连接具有传递性，通过路由配置，vpc-A、vpc-B以及vpc-C之间可以通过vpc-X进行网络通信。 表2 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 子网作用 vpc-A 10.1.0.0/16 subnet-A01 10.1.0.0/24 默认路由表 部署业务的子网 vpc-B 10.2.0.0/16 subnet-B01 10.2.0.0/24 默认路由表 部署业务的子网 vpc-C 10.3.0.0/16 subnet-C01 10.3.0.0/24 默认路由表 部署业务的子网 vpc-X 192.168.0.0/16 subnet-X01 192.168.0.0/24 自定义路由表 部署防火墙的子网 表3 ECS资源规划详情 ECS名称 VPC名称 子网名称 私有IP地址 镜像 安全组 ECS作用 ecs-A01 vpc-A subnet-A01 10.1.0.139 公共镜像： CentOS 8.2 64bit sg-demo： 通用Web服务器 部署业务的云服务器 ecs-B01 vpc-B subnet-B01 10.2.0.93 部署业务的云服务器 ecs-C01 vpc-C subnet-C01 10.3.0.220 部署业务的云服务器 ecs-X01 vpc-X subnet-X01 192.168.0.5 部署防火墙的云服务器 表4 VPC对等连接资源规划详情 VPC对等连接名称 本端VPC 对端VPC peer-AX vpc-A vpc-X peer-BX vpc-B vpc-X peer-CX vpc-C vpc-X

方案架构 本示例中vpc-A、vpc-B、vpc-C为业务所在的VPC，vpc-X为防火墙所在的VPC，这些VPC通过对等连接实现网络互通。vpc-A、vpc-B、vpc-C之间互通的流量均需要经过vpc-X上的防火墙。根据默认路由表配置，所有vpc-X的入方向流量均引入防火墙，通过防火墙清洗后的流量根据自定义路由表的目的地址送往指定业务VPC。 在图1中，以ecs-A01访问ecs-C01为例，您可以清晰的看到流量的请求路径和响应路径。 图1 云上VPC互访使用第三方防火墙组网规划

配置步骤 创建VPC及VPC网段。 具体操作请参见创建虚拟私有云和子网。 创建弹性云服务器。 具体操作请参见创建弹性云服务器。 创建完成后在弹性云服务器网卡上取消源地址校验，如图2所示。 图2 取消源地址校验 在弹性云服务器上部署容器。 您可以使用Docker CE完成容器的部署，详细操作步骤，请参考第三方软件的帮助文档，本文不做详细说明。 同一台ECS内的容器需要在同一个网段，且不同ECS内容器网段不能重叠。 添加VPC路由表信息。 在VPC路由表中添加路由信息。让发送给10.0.2.0/24网段的数据包下一跳为192.168.0.2，发送给10.0.3.0/24网段的数据包下一跳为192.168.0.3，也就是让发送给容器的数据包下一跳都为容器所在ECS。 单个VPC中内默认支持50个不同网段的容器部署，如需扩大，请申请扩大VPC路由表数目。 容器迁移到其他弹性云服务器后，需要在VPC路由表中添加新的路由信息。 添加安全组规则。 为了能够通过traceroute命令和ping命令测试容器网络是否连通，为弹性云服务器的安全组添加如表1所示规则，开放ICMP和UDP规则。 具体操作请参见添加安全组规则。 表1 安全组规则 方向 协议/应用 端口 源地址 入方向 ICMP 全部 0.0.0.0/0 入方向 UDP 全部 0.0.0.0/0

典型拓扑 此场景下对网络拓扑有如下要求： 弹性云服务器在同一子网内。如图中VPC子网网段为192.168.0.0/24，弹性云服务器的IP地址为192.168.0.2和192.168.0.3。 容器网段与VPC子网不在一个网段，同一台弹性云服务器内的容器在同一个网段，不同弹性云服务器内容器的网段不同。如图中ECS1中容器网段为10.0.2.0/24，ECS2中容器网段为10.0.3.0/24。 发送给容器的数据包下一跳为容器所在弹性云服务器。如图中发送给10.0.2.0/24网段的数据包下一跳为192.168.0.2，发送给10.0.3.0/24网段的数据包下一跳为192.168.0.3。 图1 网络拓扑

网络配置错误 检查需要通信的云服务器的安全组规则是否配置正确，具体方法请参见查看安全组。 同一个账户下的对等连接：请参见创建相同账户下的对等连接中的“步骤三：配置对等连接两端VPC内实例的安全组规则”中的安全组规则说明进行检查。 不同账户下的对等连接：请参见创建不同账户下的对等连接中的“步骤四：配置对等连接两端VPC内实例的安全组规则”中的安全组规则说明进行检查。 检查云服务器网卡的防火墙配置。 需要确认防火墙不会拦截流量，否则需要放通防火墙规则。 检查对等连接连通的子网网络ACL规则是否配置正确。 确认对等连接涉及的子网流量未被网络ACL拦截，否则需要放通对等连接涉及的网络ACL规则。 对于多网卡的云服务器，检查云服务器内部的策略路由配置，确保源IP不同的报文匹配各自的路由，从各自所在的网卡发出。 假设云服务器有两个网卡为eth0和eth1： eth0的IP地址为192.168.1.10，所在子网的网关为192.168.1.1 eth1的IP地址为192.168.2.10，所在子网的网关为192.168.2.1 分别执行以下命令： ping -I eth0的IP地址 eth0所在子网的网关地址 ping -I eth1的IP地址 eth1所在子网的网关地址 命令示例： ping -I 192.168.1.10 192.168.1.1 ping -I 192.168.2.10 192.168.2.1 如果网络通信情况正常，说明服务的多个网卡路由配置正常。 否则需要为配置了多网卡的 云服务器配置 策略路由，具体请参见如何为配置了多网卡的弹性云服务器配置策略路由？

ECS基本网络功能异常 登录云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 检查ECS网卡是否已经正确分配到IP地址。 Linux云服务器：执行命令ifconfig或ip address查看网卡的IP信息。 Windows云服务器：在搜索区域输入cmd并按Enter，打开命令输入框，执行命令ipconfig查看。 若未能分配到IP地址，处理方法请参见弹性云服务器IP获取不到时，如何排查？。 检查云服务器所在子网的网关是否可以ping通，即确认基本通信功能是否正常。 在ECS列表中，单击云服务器名称超链接。 进入云服务器详情页。 在云服务器详情页，单击虚拟有云超链接。 进入虚拟私有云列表。 在虚拟私有云列表，单击虚拟私有云对应的“子网个数”超链接。 进入子网列表。 在子网列表，单击子网名称超链接。 进入子网详情页。 选择“IP地址管理”页签，查看子网的网关地址。 图5 查看子网网关 执行以下命令，检查网关通信是否正常。 ping 子网网关地址 命令示例：ping 172.17.0.1 如果无法ping通子网网关，则需首先排查二三层网络问题，具体请参见二三层通信出现问题时，如何排查？。

对等连接路由配置错误 对等连接创建完成后，请参考查看对等连接路由，在本端VPC和对端VPC的路由表中检查路由添加情况，检查项目如表4。 表4 对等连接路由配置检查项 路由配置检查项 处理方法 在本端VPC和对端VPC的路由表中，检查是否添加路由。 如果您未添加路由，请参考以下章节中的添加路由步骤： 创建相同账户下的对等连接 创建不同账户下的对等连接 检查对等连接路由地址配置是否正确。 在本端VPC内，检查路由的目的地址是否为对端VPC的网段，子网网段或者相关的私有IP地址。 在对端VPC内，检查路由的目的地址是否为本端VPC的网段，子网网段或者相关的私有IP地址。 如果路由目的地址配置错误，请参考修改对等连接路由修改路由地址。 对于云上和云下互通的组网，检查对等连接路由是否和云专线、VPN路由的目的地址重叠。 查看对等连接两端的VPC下是否有VPN/云专线资源，排查路由规则的下一跳目的地址是否有重叠。 如果路由目的地址重叠，该对等连接不生效，请重新规划网络连接方案。

对等连接中本端VPC和对端VPC网段重叠 VPC网段重叠的情况下，容易因为路由冲突导致对等连接不生效，具体如表2所示。 表2 对等连接中本端VPC和对端VPC网段重叠 场景说明 场景示例 解决方法 VPC网段重叠，且全部子网重叠 组网图如图2所示，VPC-A和VPC-B网段重叠，且全部子网重叠。 VPC-A和VPC-B的网段重叠，均为10.0.0.0/16。 VPC-A中的子网Subnet-A01和VPC-B中的子网Subnet-B01网段重叠，均为10.0.0.0/24。 VPC-A中的子网Subnet-A02和VPC-B中的子网Subnet-B02网段重叠，均为10.0.1.0/24。 不支持使用VPC对等连接。 本示例中，VPC-A和VPC-B无法使用对等连接连通，请重新规划网络。 VPC网段重叠，且部分子网重叠 组网图如图3所示，VPC-A和VPC-B网段重叠，且部分子网重叠。 VPC-A和VPC-B的网段重叠，均为10.0.0.0/16。 VPC-A中的子网Subnet-A01和VPC-B中的子网Subnet-B01网段重叠，均为10.0.0.0/24。 VPC-A中的子网Subnet-A02和VPC-B中的子网Subnet-B02网段不重叠。 无法创建指向整个VPC网段的对等连接。 本示例中，对等连接无法连通VPC-A和VPC-B之间的全部网络。 可以创建指向子网的对等连接，对等连接两端的子网网段不能包含重叠子网。本示例中，对等连接可以连通子网Subnet-A02和Subnet-B02之间的网络，详细的配置方法请参见图4。 图2 VPC网段重叠，且全部子网重叠(IPv4) 图3 VPC网段重叠，且部分子网重叠(IPv4) 当VPC网段重叠，且部分子网重叠，您可以在网段不重叠的子网之间建立对等连接。本示例为创建Subnet-A02和Subnet-B02之间的对等连接，组网图如图4所示，路由添加方法请参见表3。 图4 VPC网段重叠，部分子网重叠(IPv4)-正确配置 表3 Subnet-A02和Subnet-B02之间的对等连接 路由表 目的地址 下一跳 路由说明 VPC-A的路由表 10.0.2.0/24 Peering-AB 在VPC-A的路由表中，添加目的地址为Subnet-B02子网网段，下一跳指向Peering-AB的路由。 VPC-B的路由表 10.0.1.0/24 Peering-AB 在VPC-B的路由表中，添加目的地址为Subnet-A02子网网段，下一跳指向Peering-AB的路由。 由于网段重叠导致对等连接不生效的详细原理说明，请参见无效的VPC对等连接配置。 该限制同样适用于IPv6场景，即使您只需要使用对等连接实现不同VPC之间的IPv6通信，此时如果对等连接两端VPC的IPv4网段和子网重叠，那么您创建的对等连接也不会生效。

排查思路 问题排查思路请参见图1，以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 图1 对等连接网络不通排查思路 表1 排查思路-对等连接不通 序号 可能原因 处理措施 1 对等连接中本端VPC和对端VPC网段重叠 VPC网段重叠，且全部子网重叠。 VPC网段重叠，且部分子网重叠。 当对等连接中本端VPC和对端VPC网段重叠时，对等连接可能不生效，处理方法请参见对等连接中本端VPC和对端VPC网段重叠。 2 对等连接路由配置错误 没有在本端VPC和对端VPC内配置对等连接路由。 对等连接路由地址配置错误。 对于云上和云下互通的组网，检查对等连接路由是否和云专线、VPN路由的目的地址重叠。 当对等连接的路由配置错误时，会导致对等连接的网络流量无法正确送到目的地址，处理方法请参见对等连接路由配置错误。 3 网络配置错误 检查需要通信的ECS安全组规则是否配置正确。 检查ECS网卡的防火墙配置。 检查对等连接连通的子网网络ACL规则是否配置正确。 对于多网卡的ECS，检查ECS内部的策略路由配置。 请参见网络配置错误。 4 ECS基本网络功能异常 请参见ECS基本网络功能异常。 如果上述方法均不能解决您的疑问，请提交工单寻求更多帮助。

背景知识 通过华为云创建的ECS默认使用华为云提供的内网DNS进行解析。内网DNS不影响ECS对公网 域名 的访问。同时，还可以不经公网，直接通过内网DNS访问其他云上服务内部地址，如OBS、 SMN 等，访问时延小，性能高。 在内网域名功能上线之前创建的ECS，其关联VPC子网默认设置的DNS服务器为公共DNS，IP地址为114.114.114.114。为了使这部分ECS服务器能够使用内网域名功能，建议将ECS服务器关联VPC子网的DNS服务器修改为华为云的内网DNS。内网 DNS地址 请参见华为云提供的内网DNS地址是多少？。

更新ECS内的DNS服务器地址 VPC子网的DNS服务器地址修改后，ECS服务器的DNS不会立即更新。 如果要立即更新ECS服务器的DNS，可以采用以下两种方法。 重启操作系统，ECS服务器重新向DHCP服务器获取DNS信息。 重启操作系统会造成业务中断，请在业务低峰期谨慎操作。 ECS服务器的DHCP租约期结束后，DHCP服务器会重新向ECS服务器分配IP地址、更新DNS信息。 通过dhclient，获取修改后的DNS服务器地址。 登录云服务器。 登录方法请参见登录弹性云服务器。 执行以下命令，查看当前云服务器的DNS配置地址。 cat /etc/resolv.conf 回显类似如下信息，114.114.114.114是旧的DNS服务器地址。 执行以下命令，查看dhclient进程是否已存在。 ps -ef | grep dhclient | grep -v grep 回显类似如下信息，以CentOS 8.1为例，表示没有进程。 需要执行dhclient命令启动进程，并再次确认dhclient进程存在。 回显类似如下信息，以CentOS 7.2为例，表示已有进程。 执行以下命令，释放旧的DNS服务器地址。 dhclient -r 执行以下命令，重新启动dhclient进程，获取新的DNS服务器地址。 dhclient 执行以下命令，查看当前云服务器的DNS配置地址。 cat /etc/resolv.conf 回显类似如下信息，100.125.1.250和100.125.64.250是新的DNS服务器地址。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 ECS网卡对应安全组规则未放通 解决方法请参考ECS网卡对应安全组规则未放通。 ECS网卡所在子网关联的网络ACL规则未放通 解决方法请参考ECS网卡所在子网关联的网络ACL规则未放通。 ECS网卡内部网络配置问题 解决方法请参考ECS网卡内部网络配置问题。 端口不通 解决方法请参考端口不通。

ECS网卡所在子网关联的网络ACL规则未放通 查看弹性云服务器的网卡是否处于网络ACL的关联子网中。 在网络ACL列表中查看网络ACL的状态。 状态显示“已开启”，则表示网络ACL已经开启。执行3。 状态显示“未开启”，则表示网络ACL已经关闭。执行4。 单击网络ACL名称，分别在“入方向”和“出方向”的页签下添加ICMP放通规则。 网络ACL关闭时，默认规则为丢弃所有出入方向的包。此时，请删除网络ACL或者开启ACL并放通ICMP规则。

ECS网卡内部网络配置问题 以下步骤以Linux系统为例，Windows操作系统请检查系统防火墙限制。 确认弹性云服务器是否有多网卡配置。如果配置多网卡且弹性公网IP绑定在非主网卡上，请在弹性云服务内部配置策略路由，请参考如何配置多网卡弹性云服务器的策略路由？。 登录弹性云服务器，执行以下命令，查看网卡是否创建且网卡获取私有IP地址。若无网卡信息或者无法获取私有IP地址，请联系技术支持。 ifconfig 图3 查看网卡IP地址 执行以下命令，查看弹性云服务器的CPU占用率是否过高，CPU占有率超过80%有可能会影响ECS通信。 top 执行以下命令，查看弹性云服务器内容部是否有安全规则的其他限制。 iptables-save 执行以下命令，查看“/etc/hosts.deny”文件中是否包含了限制通信的IP地址。 vi /etc/hosts.deny 如果hosts.deny文件里面包含了对端的IP地址，请将该IP从hosts.deny文件中删除并保存文件。

步骤四：购买共享带宽并添加ECS的IPv6网卡（IPv6公网通信） 购买共享带宽，并在共享带宽中添加ECS IPv6网卡，则ECS可以通过IPv6类型的IP地址实现公网通信。 进入购买共享带宽页面。 在“购买共享带宽”页面，根据界面提示配置共享带宽参数。 请您按需选择EIP的配置参数，具体可请参见购买共享带宽。 参数设置完成后，单击“立即购买”。 返回共享带宽列表页面，可以查看到已创建的Bandwidth-A。 在共享带宽列表中，单击Bandwidth-A所在行的操作列下的“添加公网IP”。 弹出“添加公网IP”对话框。 图11 添加公网IP 根据以下说明设置参数，并单击“确定”，将ECS-A01的IPv6网卡添加到共享带宽Bandwidth-A中。 公网IP：选择“IPv6网卡”。 所属VPC：选择ECS所在的VPC，本示例为VPC-A。 子网：选择ECS所在的VPC，本示例为Subnet-A01。 IPv6网卡：选择ECS的IPv6网卡，本示例选择ECS-A01的网卡。

步骤五：验证IPv4和IPv6网络通信情况 分别验证使用ECS-A01的IPv4地址（EIP）和IPv6地址是否可以登录ECS-A01。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 以使用PuTTY工具远程登录ECS-A01为例： 验证IPv4地址登录：Host Name (or IP address)中输入ECS-A01的EIP地址，本示例为1.95.44.XX。 验证IPv6地址登录：Host Name (or IP address)中输入ECS-A01的IPv6地址，本示例为2407:XXX:e857。 图12 PuTTY配置 执行以下命令，分别验证ECS-A01的IPv4和IPv6公网通信情况。 验证IPv4公网访问情况： ping IPv4公网IP地址或者域名 命令示例： ping support.huaweicloud.com 回显类似如下信息，表示ECS-A01的IPv4公网通信正常。 [root@ecs-a01 ~]# ping support.huaweicloud.com PING hcdnw.cbg-notzj.c.cdnhwc2.com (203.193.226.103) 56(84) bytes of data. 64 bytes from 203.193.226.103 (203.193.226.103): icmp_seq=1 ttl=51 time=2.17 ms 64 bytes from 203.193.226.103 (203.193.226.103): icmp_seq=2 ttl=51 time=2.13 ms 64 bytes from 203.193.226.103 (203.193.226.103): icmp_seq=3 ttl=51 time=2.10 ms 64 bytes from 203.193.226.103 (203.193.226.103): icmp_seq=4 ttl=51 time=2.09 ms ... --- hcdnw.cbg-notzj.c.cdnhwc2.com ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3004ms rtt min/avg/max/mdev = 2.092/2.119/2.165/0.063 ms 验证IPv6公网通信情况： ping6 IPv6公网地址 假设2002:20::45是一个公网IP地址，命令示例如下： ping6 2002:20::45 回显类似如下信息，表示ECS-A01的IPv6公网通信正常。 [root@ecs-a01 ~]# ping6 2002:20::45 PING 2002:20::45(2002:20::45) from 2002:20::45 : 56 data bytes 64 bytes from 2002:20::45: icmp_seq=1 ttl=64 time=0.770 ms 64 bytes from 2002:20::45: icmp_seq=2 ttl=64 time=0.295 ms 64 bytes from 2002:20::45: icmp_seq=3 ttl=64 time=0.245 ms ^C --- 2002:20::45 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2080ms rtt min/avg/max/mdev = 0.245/0.436/0.770/0.237 ms

步骤三：购买EIP并绑定至ECS（IPv4公网通信） 购买EIP，并将EIP绑定至ECS，则ECS可以通过IPv4类型的EIP地址实现公网通信。 进入购买弹性公网IP页面。 在“购买弹性公网IP”页面，根据界面提示配置弹性公网IP参数。 请您按需选择EIP的配置参数，具体可请参见购买弹性公网IP。 参数设置完成后，单击“立即购买”。 返回EIP列表页面，可以查看到已创建的EIP-A。 在EIP列表中，单击EIP-A所在行的操作列下的“绑定”。 弹出“绑定弹性公网IP”对话框。 图9 绑定弹性公网IP 在对话框中，选择ECS-A01，并单击“确定”，将EIP-A绑定至ECS-A01。 返回EIP列表中，在“已绑定实例”列下，可查看到已绑定的ECS-A01。 图10 已绑定ECS-A

操作流程 操作步骤 说明 准备工作 使用云服务前，您需要 注册华为账号 并开通华为云、完成实名认证、为账户充值。 步骤一：创建VPC和子网 创建一个IPv4网段的VPC，并从VPC中划分一个子网。 VPC IPv4网段：192.168.0.0/16 子网IPv4网段：192.168.0.0/24 子网IPv6网段：系统自动分配IPv6地址，本示例为2407:c080:1200:2075::/64 步骤二：购买ECS 基于已有的VPC和子网，购买一个ECS，并配置安全组等参数。 步骤三：购买EIP并绑定至ECS（IPv4公网通信） 购买EIP，并将EIP绑定至ECS，则ECS可以通过IPv4类型的EIP地址实现公网通信。 步骤四：购买共享带宽并添加ECS的IPv6网卡（IPv6公网通信） 购买共享带宽，并在共享带宽中添加ECS IPv6网卡，则ECS可以通过IPv6类型的IP地址实现公网通信。 步骤五：验证IPv4和IPv6网络通信情况 验证ECS的IPv4和IPv6通信情况： 验证通过客户的本地PC，使用ECS-A01的IPv4地址（EIP）和IPv6地址可以登录ECS。 验证ECS-A01的IPv4和IPv6公网通信情况。

步骤二：购买ECS 进入购买弹性云服务器页面。 在“购买弹性云服务器”页面，根据界面提示配置弹性云服务器参数。 本示例中，ECS的网络配置详情如下： 网络：选择已创建的虚拟私有云和子网，VPC-A和Subnet-A01。 并选择“自动分配IPv6地址”，则ECS会拥有IPv4和IPv6两个地址。 图5 网络 安全组：新建一个安全组Sg-A，并添加入方向和出方向规则。您在创建安全组的时候，系统会自动添加部分规则，您需要根据实际情况进行检查修改，确保表3中的规则均已正确添加。 图6 安全组入方向 图7 安全组出方向 表3 安全组Sg-A规则说明 方向 策略 类型 协议端口 源地址/目的地址 描述 入方向 允许 IPv4 TCP: 22 源地址：10.1.0.7/32 针对IPv4，放通安全组内ECS的SSH(22)端口，用于通过本地PC (10.1.0.7/32)远程登录Linux ECS。 入方向 允许 IPv6 TCP: 22 源地址：2002:20::44/128 针对IPv6，放通安全组内ECS的SSH(22)端口，用于通过本地PC (2002:20::44/128)远程登录Linux ECS。 入方向 允许 IPv4 TCP: 3389 源地址：10.1.0.7/32 针对IPv4，针对IPv4，放通安全组内ECS的RDP(3389)端口，用于通过本地PC (10.1.0.7/32)远程登录Windows ECS。 入方向 允许 IPv6 TCP: 3389 源地址：2002:20::44/128 针对IPv6，放通安全组内ECS的RDP(3389)端口，用于通过本地PC (2002:20::44/128)远程登录Windows ECS。 入方向 允许 IPv4 ICMP: 全部 源地址：0.0.0.0/0 针对IPv4，放通安全组内ECS的ICMP(全部)端口，用于外部通过ping命令测试ECS的网络连通性。 入方向 允许 IPv6 ICMPV6: 全部 源地址：::/0 针对IPv6，放通安全组内ECS的ICMP(全部)端口，用于外部通过ping命令测试ECS的网络连通性。 入方向 允许 IPv4 全部 源地址：当前安全组Sg-A 针对IPv4，用于安全组内ECS之间网络互通。 入方向 允许 IPv6 全部 源地址：当前安全组Sg-A 针对IPv6，用于安全组内ECS之间网络互通。 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 针对IPv4，用于安全组内ECS访问外部，允许流量从安全组内ECS流出。 出方向 允许 IPv4 全部 目的地址：::/0 针对IPv6，用于安全组内ECS访问外部，允许流量从安全组内ECS流出。 弹性公网IP：选择“暂不购买”。 图8 弹性公网IP ECS的其他配置请您按需选择，具体可请参见购买弹性云服务器。 参数设置完成后，单击“立即购买”。 返回ECS列表页面，可以查看到已创建的ECS-A01。 创建ECS完成后，需要您登录至ECS内，确认当前ECS是否已成功获取到IPv6地址。 Windows公共镜像默认已开启IPv6动态获取功能，无需额外配置。 Linux公共镜像开启动态获取IPv6功能时，需要先判断是否支持IPv6协议栈，再判断是否已开启动态获取IPv6功能。 目前，所有Linux公共镜像均已支持IPv6协议栈。并且Ubuntu 16操作系统已默认开启动态获取IPv6功能，即Ubuntu 16操作系统无需额外配置，其他Linux公共镜像需要执行开启动态获取IPv6的操作。 如果您的镜像不支持自动分配IPv6地址，或者自动获取IPv6地址失败，您需要参考动态获取IPv6地址执行配置，否则ECS无法通过IPv6地址进行通信。

使用须知 当前IPv4/IPv6双栈网络暂不收费，后续 定价 会根据运营商收费策略的变化进行调整。 IPv6功能目前仅在部分区域公测，具体公测区域请参见功能总览中“IPv4/IPv6双栈”功能的发布区域。申请公测权限后，才可以体验IPv6功能。 云耀云服务器 L实例 、旧版云耀云服务器不支持IPv6网络。 弹性云服务器ECS部分规格支持IPv6网络，只有选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络。 在ECS控制台，单击“购买弹性云服务器”，进入购买页面查看ECS规格列表。当ECS规格列表中包含“IPv6”参数，且取值为“是”时，表示该规格的ECS支持IPv6网络。 图2 ECS规格列表 本示例网络规划仅供您参考，虚拟私有云和子网一旦创建完成，将无法修改网段，您需要根据具体的业务需求提前规划VPC的数量、子网的数量和IP网段划分等。 具体请参见虚拟私有云和子网规划建议。

准备工作 在创建VPC和ECS等资源之前，请先注册华为账号并开通华为云、完成实名认证、为账户充值。请保证账户有足够的资金，以免创建资源失败。 注册华为账号并开通华为云，完成实名认证。 如果您已有一个华为账号，请跳到下一个任务。如果您还没有华为账号，请执行以下操作。 注册华为账号并开通华为云。 参考实名认证，完成个人或企业账号实名认证。 为账户充值。 您需要确保账户有足够金额，充值方式请参见账户充值。

步骤四：验证网络通信情况 验证远程登录，使用本地PC远程登录ECS-A01。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 执行以下命令，验证ECS-A01和公网的通信情况。 ping IPv4公网IP地址或者域名 命令示例： ping support.huaweicloud.com 回显类似如下信息，表示ECS-A01可以访问公网。 [root@ecs-a01 ~]# ping support.huaweicloud.com PING hcdnw.cbg-notzj.c.cdnhwc2.com (203.193.226.103) 56(84) bytes of data. 64 bytes from 203.193.226.103 (203.193.226.103): icmp_seq=1 ttl=51 time=2.17 ms 64 bytes from 203.193.226.103 (203.193.226.103): icmp_seq=2 ttl=51 time=2.13 ms 64 bytes from 203.193.226.103 (203.193.226.103): icmp_seq=3 ttl=51 time=2.10 ms 64 bytes from 203.193.226.103 (203.193.226.103): icmp_seq=4 ttl=51 time=2.09 ms ... --- hcdnw.cbg-notzj.c.cdnhwc2.com ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3004ms rtt min/avg/max/mdev = 2.092/2.119/2.165/0.063 ms

步骤三：购买EIP并绑定至ECS 进入购买弹性公网IP页面。 在“购买弹性公网IP”页面，根据界面提示配置弹性公网IP参数。 请您按需选择EIP的配置参数，具体可请参见购买弹性公网IP。 参数设置完成后，单击“立即购买”。 返回EIP列表页面，可以查看到已创建的EIP-A。 在EIP列表中，单击EIP-A所在行的操作列下的“绑定”。 弹出“绑定弹性公网IP”对话框。 图8 绑定弹性公网IP 在对话框中，选择ECS-A01，并单击“确定”，将EIP-A绑定至ECS-A01。 返回EIP列表中，在“已绑定实例”列下，可查看到已绑定的ECS-A01。 图9 已绑定ECS-A

准备工作 在创建VPC和ECS等资源之前，请先注册华为账号并开通华为云、完成实名认证、为账户充值。请保证账户有足够的资金，以免创建资源失败。 注册华为账号并开通华为云，完成实名认证。 如果您已有一个华为账号，请跳到下一个任务。如果您还没有华为账号，请执行以下操作。 注册华为账号并开通华为云。 参考实名认证，完成个人或企业账号实名认证。 为账户充值。 您需要确保账户有足够金额，充值方式请参见账户充值。

操作流程 操作步骤 说明 准备工作 使用云服务前，您需要注册华为账号并开通华为云、完成实名认证、为账户充值。 步骤一：创建VPC和子网 创建一个IPv4网段的VPC，并从VPC中划分一个子网。 VPC IPv4网段：192.168.0.0/16 子网IPv4网段：192.168.0.0/24 步骤二：购买ECS 基于已有的VPC和子网，购买一个ECS，并配置安全组等参数。 步骤三：购买EIP并绑定至ECS 为ECS绑定一个EIP，ECS可以通过EIP访问公网。 步骤四：验证网络通信情况 验证ECS的通信情况： 通过客户的本地PC可以登录ECS。 通过ECS可以访问公网。

步骤二：购买ECS 进入购买弹性云服务器页面。 在“购买弹性云服务器”页面，根据界面提示配置弹性云服务器参数。 本示例中，ECS的网络配置详情如下： 网络：选择已创建的虚拟私有云和子网，VPC-A和Subnet-A01。 图4 网络 安全组：新建一个安全组Sg-A，并添加入方向和出方向规则。您在创建安全组的时候，系统会自动添加部分规则，您需要根据实际情况进行检查修改，确保表3中的规则均已正确添加。 图5 安全组入方向 图6 安全组出方向 表3 安全组Sg-A规则说明 方向 策略 类型 协议端口 源地址/目的地址 描述 入方向 允许 IPv4 TCP: 22 源地址：10.1.0.7/32 放通安全组内ECS的SSH(22)端口，用于通过本地PC (10.1.0.7/32)远程登录Linux ECS。 入方向 允许 IPv4 TCP: 3389 源地址：10.1.0.7/32 放通安全组内ECS的RDP(3389)端口，用于通过本地PC (10.1.0.7/32)远程登录Windows ECS。 入方向 允许 IPv4 ICMP: 全部 源地址：0.0.0.0/0 放通安全组内ECS的ICMP(全部)端口，用于外部通过ping命令测试ECS的网络连通性。 入方向 允许 IPv4 全部 源地址：当前安全组Sg-A 用于安全组内ECS之间网络互通。 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 用于安全组内ECS访问外部，允许流量从安全组内ECS流出。 弹性公网IP：选择“暂不购买”。 图7 弹性公网IP ECS的其他配置请您按需选择，具体可请参见购买弹性云服务器。 参数设置完成后，单击“立即购买”。 返回ECS列表页面，可以查看到已创建的ECS-A01。

背景知识 表1 Linux常用内核参数说明 参数 说明 net.core.rmem_default 默认的TCP数据接收窗口大小（字节）。 net.core.rmem_max 最大的TCP数据接收窗口（字节）。 net.core.wmem_default 默认的TCP数据发送窗口大小（字节）。 net.core.wmem_max 最大的TCP数据发送窗口（字节）。 net.core.netdev_max_backlog 在每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。 net.core.somaxconn 定义了系统中每一个端口最大的监听队列的长度，这是个全局的参数。 net.core.optmem_max 表示每个套接字所允许的最大缓冲区的大小。 net.ipv4.tcp_mem 确定TCP栈应该如何反映内存使用，每个值的单位都是内存页（通常是 4KB） 第一个值是内存使用的下限； 第二个值是内存压力模式开始对缓冲区使用应用压力的上限； 第三个值是内存使用的上限。在这个层次上可以将报文丢弃，从而减少对内存的使用。对于较大的BDP可以增大这些值（注意：其单位是内存页而不是字节）。 net.ipv4.tcp_rmem 为自动调优定义socket使用的内存。 第一个值是为socket接收缓冲区分配的最少字节数； 第二个值是默认值（该值会被rmem_default覆盖），缓冲区在系统负载不重的情况下可以增长到这个值； 第三个值是接收缓冲区空间的最大字节数（该值会被rmem_max覆盖）。 net.ipv4.tcp_wmem 为自动调优定义socket使用的内存。 第一个值是为socket发送缓冲区分配的最少字节数； 第二个值是默认值（该值会被wmem_default 覆盖），缓冲区在系统负载不重的情况下可以增长到这个值； 第三个值是发送缓冲区空间的最大字节数（该值会被wmem_max覆盖）。 net.ipv4.tcp_keepalive_time TCP发送 keepalive 探测消息的间隔时间（秒），用于确认TCP连接是否有效。 net.ipv4.tcp_keepalive_intvl 探测消息未获得响应时，重发该消息的间隔时间（秒）。 net.ipv4.tcp_keepalive_probes 在认定TCP连接失效之前，最多发送多少个keepalive探测消息。 net.ipv4.tcp_sack 启用有选择的应答（1 表示启用），通过有选择地应答乱序接收到的报文来提高性能，让发送者只发送丢失的报文段，（对于广域网通信来说）这个选项应该启用，但是会增加对CPU的占用。 net.ipv4.tcp_fack 启用转发应答，可以进行有选择应答（SACK）从而减少拥塞情况的发生，这个选项也应该启用。 net.ipv4.tcp_timestamps TCP时间戳（会在TCP包头增加12 B），以一种比重发超时更精确的方法（参考RFC 1323）来启用对RTT的计算，为实现更好的性能应该启用这个选项。 net.ipv4.tcp_window_scaling 启用RFC 1323定义的window scaling，要支持超过64KB的TCP窗口，必须启用该值（1表示启用），TCP窗口最大至1GB，TCP连接双方都启用时才生效。 net.ipv4.tcp_syncookies 表示是否打开TCP同步标签（syncookie），内核必须打开了CONFIG_SYN_COOKIES项进行编译，同步标签可以防止一个套接字在有过多试图连接到达时引起过载。默认值0表示关闭。 net.ipv4.tcp_tw_reuse 表示是否允许将处于TIME-WAIT状态的socket（TIME-WAIT 的端口）用于新的TCP连接。 说明： 该参数仅对客户端有效，当“net.ipv4.tcp_timestamps”参数开启时生效。 该参数在NAT(Network AddressTranslation)场景下不能配置为1，否则将导致云服务器远程连接异常。更多信息请参考SSH连接或者服务偶发性断开问题处理。 net.ipv4.tcp_tw_recycle 能够更快地回收TIME-WAIT套接字。 说明： 该参数仅当“net.ipv4.tcp_timestamps”参数开启时生效。 该参数在NAT(Network AddressTranslation)场景下不能配置为1，否则将导致云服务器远程连接异常。更多信息请参考SSH连接或者服务偶发性断开问题处理。 net.ipv4.tcp_fin_timeout 对于本端断开的socket连接，TCP保持在FIN-WAIT-2状态的时间（秒）。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。 net.ipv4.ip_local_port_range 表示TCP/UDP协议允许使用的本地端口号。 net.ipv4.tcp_max_syn_backlog 对于还未获得对方确认的连接请求，可保存在队列中的最大数目。如果服务器经常出现过载，可以尝试增加这个数字。默认为 1024。 net.ipv4.tcp_low_latency 允许TCP/IP栈适应在高吞吐量情况下低延时的情况，这个选项应该禁用。 net.ipv4.tcp_westwood 启用发送者端的拥塞控制算法，它可以维护对吞吐量的评估，并试图对带宽的整体利用情况进行优化，对于WAN通信来说应该启用这个选项。 net.ipv4.tcp_bic 为快速长距离网络启用Binary Increase Congestion，这样可以更好地利用以GB速度进行操作的链接，对于WAN通信应该启用这个选项。 net.ipv4.tcp_max_tw_buckets 该参数设置系统的TIME_WAIT的数量，如果超过默认值则会被立即清除。默认为180000。 net.ipv4.tcp_synack_retries 指明了处于SYN_RECV状态时重传SYN+ACK包的次数。 net.ipv4.tcp_abort_on_overflow 设置该参数为1时，当系统在短时间内收到了大量的请求，而相关的应用程序未能处理时，就会发送Reset包直接终止这些链接。建议通过优化应用程序的效率来提高处理能力，而不是简单地Reset。 默认值：0 net.ipv4.route.max_size 内核所允许的最大路由数目。 net.ipv4.ip_forward 接口间转发报文。 net.ipv4.ip_default_ttl 报文可以经过的最大跳数。 net.netfilter.nf_conntrack_tcp_timeout_established 让iptables对于已建立的连接，在设置时间内若没有活动，那么则清除掉。 net.netfilter.nf_conntrack_max 哈希表项最大值。