华为云用户手册

注意事项 子网创建成功后，有5个系统保留地址您不能使用。以192.168.0.0/24的子网为例，默认的系统保留地址如下： 192.168.0.0：网络标识符，私有IP地址范围开始，不作分配 192.168.0.1：网关地址 192.168.0.253：系统接口，用于VPC对外通信 192.168.0.254：DHCP服务地址 192.168.0.255：广播地址 如果您在创建子网时选择了自定义配置，系统保留地址可能与上面默认的不同，系统会根据您的配置进行自动分配。

流量匹配网络ACL规则的顺序 一个子网只能绑定一个网络ACL，当网络ACL存在多条规则时，流量按照规则的优先级进行匹配。优先级的数字越小，优先级越高，越先执行该规则。默认规则优先级的值为“*”，优先级最低。 以入方向的流量为例，子网的网络流量将按照以下原则匹配网络ACL规则，入方向和出方向的流量匹配顺序相同。 当流量匹配上自定义规则，则根据规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入子网。 当策略为允许时，则允许该流量流入子网。 当流量未匹配上任何自定义规则，则执行默认规则，拒绝流量流入子网。 图2 网络ACL匹配顺序

应用场景 由于应用层需要对外提供服务，因此入方向规则必须放通所有地址，如何防止恶意用户的非正常访问呢？ 解决方案：通过网络ACL添加拒绝规则，拒绝恶意IP的访问。 隔离具有漏洞的应用端口，比如Wanna Cry，关闭445端口。 解决方案：通过网络ACL添加拒绝规则，拒绝恶意协议和端口，比如TCP：445端口。 子网内的通信无防护诉求，仅有子网间的访问限制。 解决方案：通过网络ACL设置子网间的访问规则 对访问频繁的应用，调整安全规则顺序，提高性能。 解决方案：网络ACL支持规则编排，可以把访问频繁的规则置顶。

网络ACL默认规则 每个网络ACL都包含一组默认规则，如下所示： 默认放通同一子网内的流量。 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。 默认放通目的IP地址为169.254.169.254/32，TCP端口为80的metadata报文。用于获取元数据。 默认放通公共服务预留网段资源的报文，例如目的网段为100.125.0.0/16的报文。 除上述默认放通的流量外，其余出入子网的流量全部拒绝，如表1所示。该规则不能修改和删除。 表1 网络ACL默认规则 方向 优先级 动作 协议 源地址 目的地址 说明 入方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有入站流量 出方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有出站流量

网络ACL基本信息 您的VPC默认没有网络ACL。当您需要时，可以创建自定义的网络ACL并将其与子网关联。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。 网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。 每个新创建的网络ACL最初都为未激活状态，直至您关联子网为止。 网络ACL是有状态的。如果您从实例发送一个出站请求，且该网络ACL的出方向规则是放通的话，那么无论其入方向规则如何，都将允许该出站请求的响应流量流入。同理，如果该网络ACL的入方向规则是放通的，那无论出方向规则如何，都将允许该入站请求的响应流量可以流出。 网络ACL使用连接跟踪来标识进出实例的流量信息，入方向和出方向网络ACL规则配置变更，对原有流量不会立即生效。 当您在网络ACL内增加、删除、更新规则，或者在网络ACL内添加、移出子网时，由入方向/出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有网络ACL规则。入方向/出方向流量新建立的连接，将会匹配新的网络ACL出方向规则。 对于已建立的长连接，流量断开后，不会立即建立新的连接，需要超过连接跟踪的老化时间后，才会新建立连接并匹配新的规则。比如，对于已建立的ICMP协议长连接，当流量中断后，需要超过老化时间30s后，将会新建立连接并匹配新的规则，详细说明如下： 不同协议的连接跟踪老化时间不同，比如已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了报文，另一个方向没有收到报文，则连接老化时间是30s。 TCP协议处于不同状态下的连接老化时间也不相同，比如TCP连接处于ESTABLISHED（连接已建立）状态时，老化时间是600s，处于FIN-WAIT（连接即将关闭）状态时，老化时间是30s。

操作场景 您可以在Excel格式文件中填写安全组规则参数，并将规则导入到安全组内。同时，您可以将已有安全组的规则导出至Excel格式文件中。 当您遇到如下场景时，推荐您使用导入和导出安全组功能。 本地备份安全组规则：如果您想在本地备份安全组规则，可以导出安全组内的规则，将安全组的出方向、入方向规则信息导出为Excel格式文件。 快速创建和恢复安全组规则：如果您想快速创建或恢复安全组规则，可以将安全组规则文件导入到已有安全组中。 快速迁移安全组规则：将某个安全组的规则快速应用到其他安全组。 批量修改安全组规则：将当前安全组的规则导出后，在Excel文件批量修改完成后，重新导入即可。

约束与限制 导入安全组规则时，请根据格式要求填写要求的参数，不能新增参数或者修改已有参数名称，否则会导入失败。 导入安全组规则时，当源地址/目的地址设置为安全组或者IP地址组时，请务必填写正确的ID信息，否则会导入失败。 当导入的安全组规则与安全组内已有规则重复时，系统会自动帮您过滤掉重复的规则，不影响导入。 对于同一个方向的安全组规则，当类型、协议端口、源地址/目的地址均相同时，不允许这两条规则的策略相反，即不能规则A设置为允许，规则B设置为拒绝，示例如表1所示。 当表格中的规则与安全组内已有规则的策略冲突时，安全组会导入失败，请根据界面提示排查修改。 当表格中的规则策略冲突时，安全组会导入失败，请根据界面提示排查修改。 表1 规则策略相反示例 规则 方向 优先级 策略 类型 协议端口 目的地址 规则A 入方向 1 允许 IPv4 TCP：22 0.0.0.0/0 规则B 入方向 5 拒绝 IPv4 TCP：22 0.0.0.0/0 当您在同一个账号内，跨区域导入安全组规则时，即将区域A的安全组规则导入到区域B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。 当您跨账号导入安全组规则时，即将账号A的安全组规则导入到账号B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。

流量匹配安全组和网络ACL 规则的顺序 当安全组和网络ACL同时存在时，流量优先匹配网络ACL的规则，然后匹配安全组规则。如图2所示，以入方向流量为例，为您详细介绍安全组和网络ACL规则的匹配顺序。 流量优先匹配网络ACL规则： 当流量未匹配上任何自定义网络ACL规则，则流量执行默认网络ACL规则，拒绝流量流入子网。 当流量匹配上自定义网络ACL规则，则根据网络ACL规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入子网。 当策略为允许时，则允许该流量流入子网。 当流量通过网络ACL进入子网时，流量进一步匹配安全组规则： 当实例关联多个安全组时，流量按照安全组的顺序进行匹配。首先匹配第一个安全组内的规则。 当流量未匹配上任何安全组规则时，则拒绝该流量进入实例。 当流量匹配上安全组规则，则根据安全组规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入实例。 当策略为允许时，则允许该流量流入实例。 对于未成功匹配第一个安全组内规则的流量，继续匹配第二个安全组内的规则。 当遍历了所有安全组的入方向规则，流量均没有匹配上时，则拒绝该流量流入实例。 图2 网络ACL和安全组的匹配顺序 如图3所示，以下为您提供具体的流量匹配示例。VPC-A内有子网Subnet-A，Subnet-A内有两台弹性 云服务器ECS -A和E CS -B。安全防护策略如下： 子网Subnet-A上关联了网络ACL Fw-A。Fw-A中的默认规则不能删除，流量优先匹配已添加的自定义规则，网络ACL规则示例请参见表2。 弹性云服务器ECS-A和ECS-B由安全组Sg-A来防护。创建安全组Sg-A时，您可以选择已有模板，模板中会自带部分安全组规则。您可以对系统自带的规则进行修改或者删除，也可以添加自定义规则，安全组规则示例请参见表3。 图3 网络ACL和安全组的匹配顺序示例 表2 网络ACL Fw-A规则说明 方向 优先级 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 说明 入方向 1 IPv4 拒绝 全部 10.0.1.0/24 全部 0.0.0.0/0 全部 自定义网络ACL规则A01：拒绝来自特定IP地址10.0.1.0/24网段的流量流入子网内 入方向 2 IPv4 允许 TCP 0.0.0.0/0 全部 0.0.0.0/0 80-85 自定义网络ACL规则A02：允许所有流量访问子网内实例的80-85端口 入方向 * -- 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认网络ACL规则：拒绝所有流量流入子网 出方向 1 IPv4 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 自定义网络ACL规则A03：允许所有流量从子网流出 出方向 * -- 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认网络ACL规则：拒绝所有流量从子网流出 表3 安全组Sg-A规则说明 方向 优先级 策略 类型 协议端口 源地址/目的地址 描述 入方向 1 允许 IPv4 自定义TCP：80 源地址：0.0.0.0/0 安全组规则A01：针对全部IPv4协议，允许所有流量访问安全组内实例的80端口 入方向 1 拒绝 IPv4 自定义TCP：82-83 源地址：0.0.0.0/0 安全组规则A02：针对全部IPv4协议，拒绝所有流量访问安全组内实例的82和83端口 入方向 1 允许 IPv4 全部 源地址：当前安全组（Sg-A） 安全组规则A03：针对全部IPv4协议，确保安全组内实例网络互通 入方向 1 允许 IPv6 全部 源地址：当前安全组（Sg-A） 安全组规则A04：针对全部IPv6协议，确保安全组内实例网络互通 出方向 1 允许 IPv4 全部 目的地址：0.0.0.0/0 安全组规则A05：针对全部IPv4协议，允许所有流量从安全组内实例流出 出方向 1 允许 IPv6 全部 目的地址：::/0 安全组规则A06：针对全部IPv6协议，允许所有流量从安全组内实例流出 基于以上场景，不同入方向报文对规则的匹配情况如下： 报文01：报文01无法匹配上Fw-A中的自定义网络ACL规则，则匹配默认规则，拒绝该报文流入子网。 报文02：报文02可匹配上Fw-A中的自定义网络ACL规则A01，根据规则策略，拒绝该报文流入子网。 报文03：报文03可匹配上Fw-A中的自定义网络ACL规则A02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，无法匹配上Sg-A的任何入方向规则，拒绝该报文流入实例。 报文04：报文04可匹配上Fw-A中的自定义网络ACL规则02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，可匹配上Sg-A的安全组规则A02，根据规则策略，拒绝该报文流入实例。 报文05：报文05可匹配上Fw-A中的自定义网络ACL规则02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，可匹配上Sg-A的安全组规则A01，根据规则策略，允许该报文流入实例。

安全组与网络ACL的区别说明 表1为您提供了安全组和网络ACL的详细区别。 表1 安全组和网络ACL区别 对比项 安全组 网络ACL 防护范围 实例级别：防护安全组内的实例，比如弹性云服务器、数据库、云容器实例等。 子网级别：防护整个子网，子网内的所有实例都会受到网络ACL的保护。 是否必选 必选，实例必须至少加入到一个安全组内。 非必选，您可以根据业务需求选择是否为子网关联网络ACL。 规则策略 安全组支持设置允许和拒绝策略。 允许策略：对于匹配成功的流量，允许流入/流出实例。 拒绝策略：对于匹配成功的流量，拒绝流入/流出实例。 网络ACL支持设置允许和拒绝策略。 允许策略：对于匹配成功的流量，允许流入/流出子网。 拒绝策略：对于匹配成功的流量，拒绝流入/流出子网。 规则生效顺序 当实例上绑定多个安全组，并且安全组中存在多条规则时，生效顺序如下： 首先根据实例绑定安全组的顺序生效，排在前面的安全组优先级高。 然后根据安全组内规则的优先级生效，优先级的数字越小，优先级越高。 当优先级相同的情况下，再按照策略匹配，拒绝策略高于允许策略。 一个子网只能绑定一个网络ACL，当网络ACL存在多条规则时，根据规则的优先级进行生效，优先级数字越小，优先级越高。 应用操作 创建实例（比如弹性云服务器）时，必须选择一个安全组，如果当前用户名下没有安全组，则系统会自动创建默认安全组。 实例创建完成后，您可以执行以下操作： 在安全组控制台，添加/移出实例。 在实例控制台，为实例添加/移除安全组。 创建子网没有网络ACL选项，需要先创建网络ACL，添加出入规则，并在网络ACL内关联子网。当网络ACL状态为已开启，将会对子网生效。 报文组 支持报文三元组（即协议、端口和源/目的地址）过滤。 支持报文五元组（即协议、源端口、目的端口、源地址和目的地址）过滤。

无效的VPC对等连接 当VPC网段重叠，且全部子网重叠时，不支持使用对等连接。以网段和子网完全重叠的VPC-A和VPC-B为例，假如在VPC-A和VPC-B之间创建对等连接，那么路由表会由于目的地址重叠而导致流量传输错误。 在rtb-VPC-A路由表中，Local路由和对等连接路由的目的地址重叠，VPC-A往VPC-B的流量，会优先匹配Local路由，流量在VPC-A内部转发，无法送达VPC-B。 图6 VPC网段重叠，且全部子网重叠(IPv4) 表12 VPC路由表配置说明-VPC网段重叠，且全部子网重叠(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 10.0.1.0/24 Local 系统路由 10.0.0.0/16 (VPC-B) Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B的网段，下一跳指向Peering-AB的路由。 rtb-VPC-B 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 10.0.1.0/24 Local 系统路由 10.0.0.0/16 (VPC-A) Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A的网段，下一跳指向Peering-AB的路由。

通过VPC对等连接实现两个重叠网段VPC子网网络互通 以图4为例，由于VPC-A和VPC-B的网段重叠，并且Subnet-A01和Subnet-B01子网网段重叠，那么您无法通过对等连接实现整个VPC-A和VPC-B之间的网络通信。此种情况下，对等连接可以连通非重叠子网Subnet-A02和Subnet-B02之间的网络。 图4 相互对等的两个重叠网段VPC子网(IPv4) 表8 对等连接关系说明-相互对等的两个重叠网段VPC子网(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B 表9 VPC路由表配置说明-相互对等的两个重叠网段VPC子网(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.2.0/24 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为Subnet-B02网段，下一跳指向Peering-AB的路由。 rtb-VPC-B 10.0.1.0/24 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为Subnet-A02网段，下一跳指向Peering-AB的路由。

通过VPC对等连接实现一个中心VPC的ECS与两个VPC的ECS对等 以图5为例，由于VPC-B和VPC-C的网段重叠，并且Subnet-B01和Subnet-C01子网网段重叠，那么您无法同时创建VPC-A和VPC-B、VPC-A和VPC-C之间的对等连接。您可以创建ECS之间的对等连接： 通过对等连接Peering-AB可以连通子网Subnet-B01内的ECS和Subnet-A01内的ECS。 通过对等连接Peering-AC可以连通子网Subnet-C01内的ECS和Subnet-A01内的ECS。 图5 一个中心VPC的ECS与两个VPC的ECS对等(IPv4) 表10 对等连接关系说明-一个中心VPC的ECS与两个VPC的ECS对等(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A内ECS-A01-1和VPC-B内ECS-B01对等 Peering-AB VPC-A VPC-B VPC-A内ECS-A01-2和VPC-C内ECS-C01对等 Peering-AC VPC-A VPC-C 表11 VPC路由表配置说明-一个中心VPC的ECS与两个VPC的ECS对等(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.139/32 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为ECS-B01的私有IP地址，下一跳指向Peering-AB的路由。 10.0.0.71/32 Peering-AC 自定义 在VPC-A的路由表中，添加目的地址为ECS-C01的私有IP地址，下一跳指向Peering-AC的路由。 rtb-VPC-B 172.16.0.111/32 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为ECS-A01-1的私有IP地址，下一跳指向Peering-AB的路由。 rtb-VPC-C 172.16.0.218/32 Peering-AC 自定义 在VPC-C的路由表中，添加目的地址为ECS-A01-2的私有IP地址，下一跳指向Peering-AC的路由。

通过VPC对等连接实现一个中心VPC与多个VPC之间网络互通 以图3为例，通过VPC对等连接，实现VPC-B、VPC-C、VPC-D、VPC-E、VPC-F、VPC-G和中心VPC-A之间的网络通信。 图3 一个中心VPC与多个VPC对等(IPv4) 表6 对等连接关系说明-一个中心VPC与多个VPC对等(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B VPC-A和VPC-C对等 Peering-AC VPC-A VPC-C VPC-A和VPC-D对等 Peering-AD VPC-A VPC-D VPC-A和VPC-E对等 Peering-AE VPC-A VPC-E VPC-A和VPC-F对等 Peering-AF VPC-A VPC-F VPC-A和VPC-G对等 Peering-AG VPC-A VPC-G 表7 VPC路由表配置说明-一个中心VPC与多个VPC对等(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/16 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B网段，下一跳指向Peering-AB的路由。 192.168.0.0/16 Peering-AC 自定义 在VPC-A的路由表中，添加目的地址为VPC-C网段，下一跳指向Peering-AC的路由。 10.2.0.0/16 Peering-AD 自定义 在VPC-A的路由表中，添加目的地址为VPC-D网段，下一跳指向Peering-AD的路由。 10.3.0.0/16 Peering-AE 自定义 在VPC-A的路由表中，添加目的地址为VPC-E网段，下一跳指向Peering-AE的路由。 172.17.0.0/16 Peering-AF 自定义 在VPC-A的路由表中，添加目的地址为VPC-F网段，下一跳指向Peering-AF的路由。 10.4.0.0/16 Peering-AG 自定义 在VPC-A的路由表中，添加目的地址为VPC-G网段，下一跳指向Peering-AG的路由。 rtb-VPC-B 172.16.0.0/16 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AB的路由。 rtb-VPC-C 172.16.0.0/16 Peering-AC 自定义 在VPC-C的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AC的路由。 rtb-VPC-D 172.16.0.0/16 Peering-AD 自定义 在VPC-D的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AD的路由。 rtb-VPC-E 172.16.0.0/16 Peering-AE 自定义 在VPC-E的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AE的路由。 rtb-VPC-F 172.16.0.0/16 Peering-AF 自定义 在VPC-F的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AF的路由。 rtb-VPC-G 172.16.0.0/16 Peering-AG 自定义 在VPC-G的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AG的路由。

通过VPC对等连接实现多个VPC网络互通 两个VPC网络互通：以图1为例，通过VPC对等连接，连通VPC-A和VPC-B之间的网络。 图1 相互对等的两个VPC(IPv4) 表2 对等连接关系说明-相互对等的两个VPC(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B 表3 VPC路由表配置说明-相互对等的两个VPC(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/16 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B网段，下一跳指向Peering-AB的路由。 rtb-VPC-B 172.16.0.0/16 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AB的路由。 多个VPC网络互通：以图2为例，通过VPC对等连接，连通VPC-A、VPC-B和VPC-C之间的网络。 图2 相互对等的多个VPC(IPv4) 表4 对等连接关系说明-相互对等的多个VPC(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B VPC-A和VPC-C对等 Peering-AC VPC-A VPC-C VPC-B和VPC-C对等 Peering-BC VPC-B VPC-C 表5 VPC路由表配置说明-相互对等的多个VPC(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/16 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B网段，下一跳指向Peering-AB的路由。 192.168.0.0/16 Peering-AC 自定义 在VPC-A的路由表中，添加目的地址为VPC-C网段，下一跳指向Peering-AC的路由。 rtb-VPC-B 172.16.0.0/16 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AB的路由。 192.168.0.0/16 Peering-BC 自定义 在VPC-B的路由表中，添加目的地址为VPC-C网段，下一跳指向Peering-BC的路由。 rtb-VPC-C 172.16.0.0/16 Peering-AC 自定义 在VPC-C的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AC的路由。 10.0.0.0/16 Peering-BC 自定义 在VPC-C的路由表中，添加目的地址为VPC-B网段，下一跳指向Peering-BC的路由。 如果您需要通信的VPC数量多，比如需要连通10个VPC，那么对等连接建立的组网会比较复杂，推荐您使用企业路由器服务。您可以将10个VPC接入企业路由器中，构建结构简单的中心辐射型组网，详细信息请参见通过企业路由器实现同区域VPC互通。

约束与限制 当前IPv6双栈网络暂不收费，后续 定价 会根据运营商收费策略的变化进行调整。 云耀云服务器 L实例 、旧版云耀云服务器不支持IPv6网络。 弹性云服务器ECS部分规格支持IPv6网络，只有选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络，请务必选择支持的区域和规格。 您可以通过以下方法查看ECS哪些规格支持IPv6： 通过ECS控制台查看：单击“创建弹性云服务器”，进入创建页面查看ECS规格列表。 当ECS规格列表中包含“IPv6”参数，且取值为“是”时，表示该规格的ECS支持IPv6。 通过ECS文档查看IPv6是否支持。 以通用计算增强型ECS为例，需要通过ECS文档查看通用计算增强型ECS支持IPv6的规格，步骤如下： 打开《ECS产品介绍》中的ECS规格清单页面。 在“通用计算增强型”小结，单击“各规格详细介绍请参见通用计算增强型”中的超链接。 图2 ECS规格清单页面 进入“通用计算增强型”章节，在表格“通用计算增强型实例特点”的“网络”列中，查看支持IPv6的规格。 图3 ECS通用计算增强型

IPv4/IPv6双栈网络的应用场景 当您的ECS规格支持IPv6，您可以搭建IPv4/IPv6双栈网络实现内网和公网通信。IPv4/IPv6双栈网络的应用场景说明和资源规划如表2所示。 表2 IPv4/IPv6双栈网络的应用场景及资源规划 应用场景 场景说明 子网 ECS IPv6内网通信 您在ECS上部署应用，需要与其他系统（比如数据库）之间使用IPV6进行内网互访 IPv4网段 IPv6网段 IPv4私有地址：用于IPv4内网通信 IPv6地址：用于IPv6内网通信 IPv6公网通信 您在ECS上部署应用并面向公网客户端提供服务，支持客户端通过IPv6地址访问 IPv4网段 IPv6网段 IPv4私有地址+IPv4 EIP地址：用于IPv4公网通信 IPv6地址+共享带宽：用于IPv6公网通信 您在ECS上部署应用并面向公网客户端提供服务，既要支持客户端通过IPv6地址访问，还要对这些访问来源进行数据分析 如果您的ECS规格不支持IPv6，您可以通过开启EIP的IPv6转换功能，实现IPv6公网通信，具体如表3所示。 表3 IPv6 EIP的应用场景及资源规划 应用场景 场景示例 子网 ECS IPv6公网通信 您在ECS上部署应用并面向公网客户端提供服务，支持客户端通过IPv6地址访问 IPv4网段 IPv4私有地址 IPv4 EIP地址（开启IPv6转换）：用于IPv4和IPv6公网通信 图4 IPv6网络应用场景及资源规划

IPv6网络操作指导 IPv6网络的操作与IPv4网络基本相同，仅部分功能配置存在差异，表4中为您提供IPv6网络配置指导。 表4 IPv6网络操作指导 操作场景 说明 指导 创建IPv6子网 创建子网时，勾选“开启IPv6”，则系统会自动为子网分配IPv6网段。 暂不支持自定义IPv6网段。 子网的IPv6功能开启后暂不支持关闭。 对于已创建完成的子网，如果未开启IPv6功能，您可以选择开启。 为虚拟私有云创建新的子网 查看子网中已使用的IPv6地址 在子网列表中单击子网名称，在“IP地址管理”页签可以查看已经使用的IPv4地址和IPv6地址。 查看子网内IP地址的用途 添加IPv6安全组规则 添加安全组规则时，类型选择“IPv6”，源地址/目的地址填写IPv6地址。 添加安全组规则 添加IPv6网络ACL规则 添加网络ACL规则时，类型选择“IPv6”，源地址/目的地址填写IPv6地址。 添加网络ACL规则 购买IPv6弹性公网IP 在购买EIP时 ，勾选“IPv6转换”，或者在EIP列表中，为已有IPv4 EIP执行“开启IPv6转换”操作。开启IPv6转换后，则系统为您提供IPv4和IPv6 EIP地址。 管理IPv6弹性公网IP 将IPv6弹性公网IP/IPv6地址添加到公网带宽中 购买共享带宽后，你可以将IPv6 EIP地址或者实例的IPv6地址添加到共享带宽中。 添加弹性公网IP到共享带宽 在VPC路由表中添加IPv6自定义路由 添加自定义路由时，目的地址和下一跳地址可以配置IPv4网段或IPv6网段。 如果目的地址是IPv6网段，则下一跳地址暂时只能使用同一VPC内的地址。 路由的目的地址为IPv6网段时，对应下一跳类型仅支持ECS实例、扩展网卡、 虚拟IP，同时下一跳资源需要具备IPv6地址。 添加自定义路由 申请IPv6虚拟IP地址 当VPC子网开启IPv6后，申请虚拟IP时，类型可以选择“IPv6”。 申请虚拟IP地址

IPv4/IPv6双栈网络介绍 IPv4/IPv6双栈网络，表示为您的实例提供两个版本的IP地址，包括IPv4 IP地址和IPv6 IP地址。以ECS为例，IPv4/IPv6双栈网络架构如图1所示。 图1 IPv6双栈网络架构图(VPC/EIP) 表1 IPv6双栈网络构建说明(VPC/EIP) 步骤 说明 1 在创建 虚拟私有云VPC 子网时，开启IPv6功能，则系统会自动为子网分配IPv6网段，当前不支持自定义IPv6网段。 2 相同VPC内的不同子网之间网络默认互通，网络ACL可以防护子网的网络安全，安全组防护实例的网络安全。 不同网络ACL之间网络隔离，如果两个子网关联了不同的网络ACL，则需要添加规则放通不同的网络ACL。 不同安全组之间网络隔离，实例都必须关联安全组，如果两个实例关联了不同的安全组，则需要添加规则放通不同的安全组。 当网络ACL和安全组均放通后，实例之间可以内网互通，即ECS-A和ECS-B通过内网可以互相通信。 使用IPv4私有IP地址，实现ECS内网通信。 使用IPv6 IP地址，实现双栈ECS内网通信。 3 实现IPv4公网通信时，需要创建弹性公网IP(EIP)，并将EIP绑定到实例上。一个EIP可以绑定一个实例。 比如，将EIP-A绑定至ECS-A，ECS-A可以通过EIP-A连通公网。将EIP-B绑定至ECS-B，ECS-B可以通过EIP-B连通公网。 4 实现IPv6公网通信时，需要创建EIP共享带宽，并将实例的IPv6地址添加至共享带宽即可。一个共享带宽中可以添加多个IP。 比如，将ECS-A和ECS-B的IPv6地址分别添加至共享带宽中，ECS-A和ECS-B可以通过IPv6地址连通公网。

操作场景 您可以通过使用该功能，在安全组中一键放通常见端口。适用于以下场景： 远程登录云服务器 在云服务器内使用ping命令测试网络连通性 云服务器用作Web服务器对外提供网站访问服务 您可以一键放通的常见端口详细说明如表1所示。 表1 一键放通常见端口说明 方向 类型和协议端口 源地址/目的地址 规则用途 入方向 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的SSH(22)端口，用于远程登录Linux云服务器。 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的RDP(3389)端口，用于远程登录Windows云服务器。 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的HTTP(80)端口，用于通过HTTP协议访问网站。 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的HTTPS(443)端口，用于通过HTTPS协议访问网站。 TCP : 20-21 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的FTP(20和21)端口，用于远程连接云服务器上传或者下载文件。 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议，允许外部所有IP访问安全组内云服务器的所有端口，用于通过ping命令测试云服务器的网络连通性。 出方向 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云服务器可访问外部任意IP和端口。

默认安全组应用示例 如图2所示，VPC-X内有三个子网，其中子网Subnet-A和Subnet-B中的ECS均关联默认安全组，默认安全组仅确保安全组内实例互通，默认拒绝所有外部请求进入实例。ECS-A01、ECS-A02、ECS-B01和ECS-B02之间内网网络互通，但是无法接受来自NAT网关的流量。 如果您需要放通NAT网关的流量，您可以在默认安全组中添加对应的规则，或者创建新的安全组，并关联给实例使用。 图2 默认安全组应用示例

步骤三：验证网络互通情况 对等连接路由添加完成后，执行以下操作，验证本端VPC和对端VPC的通信情况。 登录本端VPC内的弹性云服务器，本示例中为ECS-A01。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 执行以下命令，验证ECS-A01和的RDS-B01是否可以通信。 ping 对端服务器的IP地址 命令示例： ping 172.17.0.21 回显类似如下信息，表示ECS-A01与RDS-B01可以通过通信，VPC-A和VPC-B之间的对等连接创建成功。 [root@ecs-A02 ~]# ping 172.17.0.21 PING 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.0.21: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.0.21: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.0.21: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.0.21 ping statistics --- 本示例中ECS-A01和RDS-B01位于同一个安全组内，因此只要VPC-A和VPC-B之间的对等连接创建成功后，就可以实现网络互通。如果您需要连通的实例位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则，具体方法请参见实现不同安全组的实例内网网络互通。 对于更多对等连接网络不通的问题，处理方法请参见为什么对等连接创建完成后不能互通？。

约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 您可以通过对等连接连通位于华为云中国站和国际站相同区域的VPC，比如VPC-A位于中国站的“中国-香港”区域，VPC-B位于国际站的“中国-香港”区域，可以通过对等连接连通VPC-A和VPC-B。 若要实现不同区域VPC之间互通，您可以使用云连接，详细内容请参见跨区域VPC互通。 若您仅需要不同区域的几台ECS之间互通，您可以为ECS申请和绑定弹性公网IP，通过EIP实现ECS外网互通。此场景适用于ECS数量较少的情况。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 针对该情况，以下不同情况下的组网配置示例，请您参考对等连接使用示例。

步骤一：创建VPC对等连接 进入对等连接列表页面。 在页面右上角区域，单击“创建对等连接”。 弹出“创建对等连接”对话框。 根据界面提示设置对等连接参数。 参数详细说明请参见表1。 图2 创建对等连接 表1 创建对等连接-参数说明 参数 说明 取值样例 对等连接名称 必选参数。 此处填写对等连接的名称。 由中文字符、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 peering-AB 本端VPC 必选参数。 此处为对等连接一端的VPC，可以在下拉框中选择已有VPC作为本端VPC。 VPC-A 本端VPC网段 此处显示已选择的本端VPC的网段。 172.16.0.0/16 账户 必选参数。 当前账户：当对等连接中的对端VPC和本端VPC位于同一个账户下时，选择该项。 其他账户：当对等连接中的对端VPC和本端VPC位于不同账户下时，选择该项。 当前账户 对端项目 当账户选择“当前账户”时，系统默认填充对应的项目，无需您额外操作。 比如VPC-A和VPC-B均为账户A下的资源，并且位于区域A，那么此处系统默认显示账户A下，区域A对应的项目。 ab-cdef-1 对端VPC 当账户选择“当前账户”时，该项为必选参数。 此处为对等连接另外一端的VPC，可以在下拉框中选择已有VPC作为对端VPC。 VPC-B 对端VPC网段 此处显示已选择的对端VPC的网段。 当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效，具体请参见对等连接使用示例。 172.17.0.0/16 描述 可选参数。 您可以根据需要在文本框中输入对等连接的描述信息。 peering-AB连通VPC-A和VPC-B 参数填写完成后，单击“确定”。 弹出路由添加提示对话框。 在路由添加提示对话框中，单击“立即添加”，跳转到对等连接详情页面，继续执行步骤二：添加VPC对等连接路由，添加路由。

操作场景 不同VPC之间网络不通，您可以通过对等连接连通同一个区域下的VPC。本章节指导用户创建相同账户下的VPC对等连接，即连通的两个VPC位于同一个账户下。 本文档以在账户A下，创建VPC-A和VPC-B之间的对等连接为例，实现业务服务器ECS-A01和数据库服务器RDS-B01之间的通信。 创建步骤如下： 步骤一：创建VPC对等连接 步骤二：添加VPC对等连接路由 步骤三：验证网络互通情况 图1 相同账户下的对等连接组网示例 当前VPC对等连接暂不收取您的任何费用。

约束与限制 当您修改安全组规则前，请您务必了解该操作可能带来的影响，避免误操作造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，表1中的入方向规则，确保安全组内实例的内网网络互通，不建议您修改该安全组规则。 在出方向中，表1中的出方向规则，允许所有流量从安全组内实例流出。如果您修改了该规则，可能导致安全组内的实例无法访问外部，请您谨慎操作。 表1 安全组规则说明 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0

使用须知 配置安全组规则前，您需要规划好安全组内实例的访问策略，常见安全组规则配置案例请参见安全组配置示例。 安全组的规则数量有限制，请您尽量保持安全组内规则的简洁，详细约束请参见安全组的限制。 在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效，具体请参见检查安全组规则是否生效。 通常情况下，同一个安全组内的实例默认网络互通。当同一个安全组内实例网络不通时，可能情况如下： 当实例属于同一个VPC时，请您检查入方向规则中，是否删除了同一个安全组内实例互通对应的规则，规则详情如表1所示。 表1 安全组内实例互通规则 方向 优先级 策略 类型 协议端口 源地址/目的地址 入方向 1 允许 IPv4 全部 源地址：当前安全组（Sg-A） 入方向 1 允许 IPv6 全部 源地址：当前安全组（Sg-A） 不同VPC的网络不通，所以当实例属于同一个安全组，但属于不同VPC时，网络不通。 您可以通过VPC对等连接连通不同区域的VPC。

修订记录 发布日期 修改说明 2024-03-15 第七十次正式发布。文档内容更新为： 在共享VPC简介~停止VPC子网共享章节，增加共享VPC内容。 在创建虚拟私有云和子网和为虚拟私有云创建新的子网等章节，增加标签策略说明。 在导入和导出安全组规则章节，增加安全组规则导入约束与限制说明。 2023-11-16 第六十九次正式发布。文档内容更新为： 在将子网关联至网络ACL和将子网和网络ACL解除关联章节，增加通过子网列表页面，关联或者解除关联网络ACL的说明。 在创建IP地址组和在IP地址组内添加IP地址条目章节，增加IP地址条目描述说明。 新增导出IP地址组详情、在IP地址组内修改IP地址条目和在IP地址组内批量导入IP地址条目章节，增加IP地址组操作说明。 在创建IP地址组、在IP地址组内添加IP地址条目以及在IP地址组内修改IP地址条目章节，增加“最大条目数”参数。 2023-09-19 第六十八次正式发布。文档内容更新为： 在删除IP地址组章节，增加同步删除关联资源的说明。 在删除弹性网卡和删除辅助弹性网卡章节，增加删除网卡的说明。 在在安全组中一键放通常见端口章节，新增一键放通常见端口要内容。 在创建相同账户下的对等连接、创建不同账户下的对等连接、修改对等连接路由、查看对等连接路由、删除对等连接路由章节，修改对等连接添加路由内容。 2023-08-31 第六十七次正式发布。文档内容更新为： 在流量镜像简介~删除镜像会话章节，增加流量镜像功能。 在安全组和安全组规则和安全组配置示例章节，增加安全组规则介绍、配置示例等内容。 2023-07-07 第六十六次正式发布。文档内容更新为： 在添加安全组规则和快速添加多条安全组规则章节，源地址和目的地址增加支持添加多个IP地址说明。 在创建安全组章节，增加安全组模板说明，支持快速添加安全组规则模板。 2023-06-08 第六十五次正式发布。文档内容更新为： 在安全组和安全组规则章节，增加安全组规则示例说明。 在创建安全组章节，添加安全组规则模板说明。 在添加安全组规则、快速添加多条安全组规则和导入和导出安全组规则章节，修改源地址和目的地址参数说明。 在创建网络ACL章节，增加支持企业项目相关内容。 在创建IP地址组章节，增加支持企业项目相关内容。 在添加弹性公网IP到共享带宽章节，增加EIP跨带宽迁移能力的说明。 2023-04-26 第六十四次正式发布。文档内容更新为： 在创建相同账户下的对等连接和创建不同账户下的对等连接章节，更新界面截图和参数。 在IP地址组简介~删除IP地址组章节，增加IP地址组新功能相关内容。 2023-02-25 第六十三次正式发布。文档内容更新为： 在对等连接使用示例章节，增加对等连接示例组网。 增加获取对等连接的对端项目ID章节。 增加修改对等连接路由章节。 2023-01-31 第六十二次正式发布。文档内容更新为： 在创建虚拟私有云和子网、为虚拟私有云创建新的子网和修改子网信息章节，增加“ 域名 ”参数。 在创建IP地址组章节，修改IP地址组格式说明。 2022-12-23 第六十一次正式发布。文档内容更新为： 新增查看并删除子网内的云服务资源章节。 新增查看子网内IP地址的用途章节。 修改删除虚拟私有云和删除子网章节。 2022-11-15 第六十次正式发布。文档内容更新为： 在共享流量包简介章节，添加到价格计算器详情页的链接作为价格参考。 新增为虚拟IP解绑实例和为虚拟IP解绑弹性公网IP章节。 在删除虚拟IP地址章节，增加约束与限制。 在删除安全组章节，增加安全组不收费说明。 2022-11-01 第五十九次正式发布。文档内容更新为： 在安全组和安全组规则章节，修改安全组关联实例数量。 2022-08-19 第五十八次正式发布。文档内容更新为： 根据界面“子网”“路由表”“对等连接”“弹性网卡”入口变化刷新文档。 2022-07-26 第五十七次正式发布。 新增EIP不支持跨区域使用限制、带宽加油包支持的区域、普通可用区和边缘可用区的EIP资源使用限制，更新章节： 弹性公网IP简介。 为弹性云服务器申请和绑定弹性公网IP。 共享带宽简介。 添加弹性公网IP到共享带宽。 带宽加油包简介。 2022-07-14 第五十六次正式发布。文档内容更新为： 在为弹性云服务器申请和绑定弹性公网IP章节，优选BGP相关描述优化更新。 流日志功能正式商用。 2022-06-15 第五十五次正式发布。文档内容更新为： 将虚拟私有云文档中的二层连接网关内容下线，关于二层连接网关的最新文档请参见企业交换机。 2022-06-10 第五十四次正式发布。文档内容更新为： 在路由表和路由中，增加路由下一跳为 云防火墙 的说明。 虚拟私有云提供新版控制台，主要修改以下章节： 创建虚拟私有云和子网 为虚拟私有云创建新的子网 创建弹性网卡 创建辅助弹性网卡 创建相同账户下的对等连接 申请虚拟IP地址 在创建相同账户下的对等连接和创建不同账户下的对等连接章节，修改对等连接路由添加指导。 2022-05-15 第五十三次正式发布。文档内容更新为： 在路由表和路由中，增加不同类型路由支持默认路由表和自定义路由表的说明。 在复制路由中，增加不同类型路由是否支持复制的约束与限制。 2021-12-28 第五十二次正式发布。文档内容更新为： 在管理IPv4/IPv6双栈网络中，增加IPv6网络的应用场景。 增加查看虚拟私有云拓扑图章节。 2021-11-01 第五十一次正式发布。文档内容更新为： 新增“优选BGP线路”， 在为弹性云服务器申请和绑定弹性公网IP中，修改参数“线路”的描述。 在申请共享带宽、添加弹性公网IP到共享带宽中，增加参数“线路”以及相关约束与限制说明。 2021-10-18 第五十次正式发布。文档内容更新为： 新增“辅助弹性网卡”章节。 2021-05-20 第四十九次正式发布。文档内容更新为： 常见问题新增“为什么VPC已删除，还存在持续计费情况？”。 2021-03-05 第四十八次正式发布。文档内容更新为： 产品介绍新增“网络服务概述”。 常见问题新增“配置了IPv6双栈，为什么无法访问IPv6网站？”。 2020-12-17 第四十七次正式发布。文档内容更新为： 在“约束与限制”章节，增加各功能限制说明。 对等连接补充图示。 2020-11-03 第四十六次正式发布。文档内容更新为： 调整“虚拟私有云和子网章节”结构。 新增“为虚拟私有云添加扩展网段”和“删除虚拟私有云扩展网段”章节。 在“网络ACL”章节，新增“拒绝某IP地址的访问”。 删除常见问题：弹性云服务器关机再开机后，其绑定的弹性公网IP是否会改变？ 2020-10-23 第四十五次正式发布。文档内容更新为： 新增“弹性网卡”章节。 优化“安全组”章节。 2020-09-07 第四十四次正式发布。文档内容更新为： 常见问题新增“为什么配置的安全组规则不生效？”。 常见问题删除“VPC对等连接出现问题时，如何排查？”。 常见问题修改“为什么对等连接创建完成后不能互通？”。 常见问题修改“弹性云服务器的网卡绑定虚拟IP地址后，该虚拟IP地址无法ping通时，如何排查？”。 2020-07-23 第四十三次正式发布。文档内容更新为： 新增“IP地址组”章节，同时在安全组对应章节新增“IP地址组”字段。 2020-06-09 第四十二次正式发布。文档内容更新为： 常见问题新增：“配置双网卡后ping不通？”。 2020-05-20 第四十一次正式发布。文档内容更新为： 常见问题新增：“外网能访问服务器，但是服务器无法访问外网时，如何排查？”。 常见问题新增：“哪些设备可以与华为云二层连接网关做对接？” 常见问题新增：“二层连接配置完成后状态一直显示未连接？”。 常见问题新增：“二层连接状态显示已连接，但云上与云下的主机网络仍不通？”。 修改常见问题“子网被相关资源占用时，会导致无法删除子网，如何排查相关资源？”。 新增“克隆安全组”章节。 2020-04-15 第四十次正式发布。文档内容更新为： 常见问题新增“弹性公网IP是否支持跨区域绑定？”。 常见问题新增“如何查询弹性公网IP归属地？”。 常见问题新增“弹性公网IP是否支持转移给其他账号？”。 常见问题新增“购买弹性公网IP时，是否可以指定IP地址？”。 常见问题新增“购买弹性公网IP后，弹性公网IP是否会变化？”。 常见问题新增“怎样切换内网DNS？”。 2020-03-30 第三十九次正式发布。文档内容更新为： 新增“二层连接网关（公测）”章节。 在“安全组简介”及“网络ACL简介”章节补充基本信息。 修改常见问题“变更安全组规则和网络ACL规则时，是否对原有流量实时生效？”。 产品介绍新增“计费说明”章节。 常见问题新增“计费类”。 2020-03-20 第三十八次正式发布。文档内容更新为： 常见问题新增“用户在弹性云服务器内手工配置的IPv6地址为什么无法通信？” 常见问题删除“安全组中多个安全组规则冲突时，安全组规则优先级哪个更高？” 2020-02-18 第三十七次正式发布。文档内容更新为： 常见问题新增“弹性公网IP如何计费？”。 优化常见问题“一个弹性公网IP可以给几个弹性云服务器使用？”。 2020-02-10 第三十六次正式发布。文档内容更新为： 修改“权限管理”章节，VPC系统权限名称变更。 2020-01-20 第三十五次正式发布。文档内容更新为： 修改“权限管理”章节内容。 2019-12-23 第三十四次正式发布。文档内容更新为： 根据界面“子网”“路由表”入口及功能变化刷新文档。 在常见问题新增“弹性云服务器是否支持切换虚拟私有云？”。 2019-12-03 第三十三次正式发布。文档内容更新为： 优化“产品介绍”描述与图示。 根据 统一身份认证 服务界面，刷新“权限管理”章节。 2019-11-20 第三十二次正式发布。文档内容更新为： 在常见问题新增“弹性公网IP的分配策略是什么？”章节。 在常见问题新增“静态BGP与全动态BGP有何区别？”章节。 在常见问题新增“什么是增强型95计费？”章节。 2019-10-30 第三十一次正式发布。文档内容更新为： 新增附录章节“NAT64 TOA插件配置”。 2019-10-15 第三十次正式发布。文档内容更新为： 新增“VPC流日志（公测）”章节。 根据安全组添加规则界面，刷新文档截图。 在常见问题新增“为什么网络ACL添加了拒绝特定IP地址访问的规则，但仍可以访问？”章节。 2019-10-09 第二十九次正式发布。文档内容更新为： 在常见问题新增“弹性公网IP是否支持变更绑定的弹性云服务器？”章节。 在常见问题新增“弹性云服务器关机再开机后，其绑定的弹性公网IP是否会改变？”章节。 2019-09-26 第二十八次正式发布。文档内容更新为： 优化“VPC对等连接”章节。 2019-09-12 第二十七次正式发布。文档内容更新为： 删除“删除VPN”章节。 在常见问题新增“带宽与上传下载速率是什么关系？”章节。 常见问题“删除安全组有何约束？”补充内容。 2019-08-15 第二十六次正式发布。文档内容更新为： 在“安全组配置示例”章节，新增“允许外部访问指定端口”示例。 常见问题中新增“如何切换计费方式中的“按带宽计费”和“按流量计费”？”章节。 常见问题中新增“带宽加油包是否支持在有效期内叠加？”章节。 2019-07-30 第二十五次正式发布。文档内容更新为： 新增“带宽加油包”章节。 2019-05-31 第二十四次正式发布。文档内容更新为： 产品介绍中新增“权限管理”章节。 产品介绍中新增“区域和可用区”章节。 快速入门中新增“搭建IPv4网络”和“搭建IPv6网络（公测）”。 用户指南中新增“权限管理”章节。 2018-12-30 第二十三次正式发布。文档内容更新为： 匹配管理控制台左侧导航菜单变更，修改了安全组、网络ACL、弹性公网IP、共享带宽等的入口描述。 新增“网络ACL简介”章节。 新增“网络ACL配置示例”章节。 2018-11-30 第二十二次正式发布。文档内容更新为： 根据网络ACL界面优化同步更新对应文档。 新增批量删除规则、批量解除关联子网。 修改参数“Any”为“全部”，“动作”为“策略”等。 修改FAQ“弹性云服务器IP获取不到时，如何排查”。 2018-09-30 第二十一次正式发布。文档内容更新为： 新增常见问题“云主机弹性云服务器的主网卡和扩展网卡在使用上有什么区别？”。 新增常见问题“修改弹性云服务器的时间后，IP地址丢失，怎么办？”。 新增“IPv4/IPv6双栈网络（公测）”章节。 新增“共享流量包”章节。 修改常见问题“如何切换计费模式中的“按需”和“包年包月”？”。 在“创建虚拟私有云基本信息及默认子网”章节新增批创子网描述。 在“添加网络ACL规则”章节新增批量添加规则描述、新增规则的“描述”参数。 新增“配置SNAT服务器”章节。 2018-08-30 第二十次正式发布。文档内容更新为： 新增“IPv6弹性公网IP（公测）”章节。 在“创建虚拟私有云基本信息及默认子网”和“创建安全组”章节新增“企业项目”参数。 2018-07-30 第十九次正式发布。文档内容更新为： 安全组修改： 修改“复制安全组规则”章节。 新增“修改安全组规则”章节。 修改“删除安全组规则”章节。 新增“导入/导出安全组规则”章节。 新增“实例加入/移出安全组”章节。 自定义路由修改： 新增“简介”章节。 新增“VPC内自定义路由示例”章节。 新增“VPC外自定义路由示例”章节。 在“为虚拟私有云创建新的子网”章节新增系统保留地址的说明。 删除“SNAT”和“配置SNAT服务器”章节，新增“NAT网关”章节。 2018-06-30 第十八次正式发布。文档内容更新为： 共享带宽新增增强型95计费方式。 优化产品介绍章节。 优化安全组章节。 新增“VPC网络规划”。 常见问题增加分类。 新增“无法访问公有云某些端口时怎么办？”。 新增“TCP 25端口出方向无法访问时怎么办？”。 修改“添加安全组规则”章节。 修改“快速添加多条安全组规则”章节。 新增“修改安全组规则”章节。 2018-05-30 第十七次正式发布。文档内容更新为： 新增“企业项目”参数。 新增“克隆安全组规则”功能。 新增安全组规则的“描述”参数。 统一购买、创建、申请的界面用语。 2018-05-23 第十六次正式发布。文档内容更新为： 新增“修改弹性公网IP的带宽”章节，删除原“查询和修改带宽”章节。 修改“如何通过扩展网卡绑定的弹性公网IP访问公网？”。 修改“EIP连接出现问题时，如何排查？”。 2018-05-11 第十五次正式发布。文档内容更新为： 新增共享带宽相关描述。 在申请弹性公网IP章节，将购买时长和数量合并，修改为购买量。 新增 云监控 和 云审计 内容。 修改常见问题：如何使用共享带宽。 修改常见问题：带宽的限速范围是多少。 2018-04-28 第十四次正式发布。文档内容更新为： 新增导出虚拟私有云列表。 修改弹性IP为弹性公网IP。 新增常见问题：如何通过扩展网卡绑定的弹性公网IP访问公网。 2018-03-30 第十三次正式发布。文档内容更新为： 新增Cloud-init连接出现问题时，如何排查。 新增EIP连接出现问题时，如何排查。 新增IB网络出现问题时，如何排查。 新增VPC对等连接出现问题时，如何排查。 新增二三层通信出现问题时，如何排查。 新增裸机网络出现问题时，如何排查。 新增VPC虚拟IP无法访问时，如何排查。 新增弹性云服务器IP获取不到时，如何排查。 新增VPN及专线网络连接出现问题时，如何排查。 2018-02-28 第十二次正式发布。文档内容更新为： 新增如何切换弹性IP计费模式中的“按需”和“包年包月”。 新增如何为配置了多网卡的弹性 云服务器配置 策略路由。 新增本地主机访问使用弹性云服器搭建的网站出现间歇性中断怎么办。 新增同一个子网下的弹性云服务器只能通过内网IP地址单向通信怎么办。 新增同一个VPC内的两台弹性云服务器无法互通或者出现丢包等现象时，如何排查。 新增弹性云服务器的网卡绑定虚拟IP地址后，该虚拟IP地址无法ping通时，如何排查。 2018-01-30 第十一次正式发布。文档内容更新为： 新增批量解绑和释放弹性IP地址功能。 创建安全组时，描述信息不超过64位。 2017-11-30 第十次正式发布。文档更新内容为： 创建子网无需配置可用区。 2017-10-30 第九次正式发布。文档内容更新为： 按照管理控制台最新的UI风格刷新手册截图。 “防火墙”名称修改为“网络ACL”。 新增快速添加安全组规则的功能。 新增弹性云服务器的安全组配置案例。 2017-09-30 第八次正式发布。文档内容更新为： 新增虚拟私有云和子网的标签特性。 2017-08-20 第七次正式发布。文档内容更新为： 根据界面优化更新“虚拟私有云和子网”和“自定义路由”章节操作步骤。 根据界面优化更新申请VPC、VPN、弹性IP地址操作步骤。 2017-07-30 第六次正式发布。文档内容更新为： 路由表支持100条自定义路由。 2017-07-20 第五次正式发布。文档内容更新为： 新增以下特性： 对等连接 网络ACL 自定义路由 2017-04-28 第四次正式发布。文档内容更新为： 修改子网信息网络信息时，可以增加多个DNS服务器地址。 2016-10-19 第三次正式发布。文档内容更新如下： VPN帮助中心URL改动，更新帮助中心URL。 2016-07-15 第二次正式发布。文档内容更新如下： 修改VPN的认证算法支持SHA2。 流量计费功能性能优化，同时支持自动切换流量计费数据库。 2016-03-14 第一次正式发布。

监控安全风险 云监控服务 为用户的云上资源提供了立体化监控平台。通过云监控您可以全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 DLI 服务提供基于云监控服务 CES 的资源监控能力 DLI已对接云监控服务，提供基于云监控服务的资源监控能力，帮助用户监控账号下的DLI队列，执行自动实时监控、告警和通知操作。用户可以实时掌握队列中的运行作业网络流入速率、网络流出速率、CPU使用率、内存使用率、磁盘利用率、失败作业率、等待作业数等信息。还可以通过云监控服务提供的管理控制台或API接口来检索 数据湖探索 服务产生的监控指标和告警信息。 关于DLI支持的监控指标请参见 数据湖 探索监控指标说明及查看指导。 父主题： 安全

Python示例代码 以下示例说明了如何使用Python编程的方式创建云服务登录地址FederationProxyUrl，该示例基于华为云开发者 Python 软件开发工具包 （Python SDK）开发。 from huaweicloudsdkcore.auth.credentials import GlobalCredentials from huaweicloudsdkcore.http.http_config import HttpConfig from huaweicloudsdkiam.v3 import * import urllib # 使用全局域名获取自定义代理登录票据 endpoint = "https://iam.myhuaweicloud.com" # 配置客户端属性 config = HttpConfig.get_default_config() config.ignore_ssl_verification = True config.proxy_protocol = "https" config.proxy_host = "proxy.huawei.com" config.proxy_port = 8080 credentials = GlobalCredentials(ak, sk, domain_id) # 使用 IAM userB的domainID/ak/sk,初始化指定IAM客户端 {Service}Client,用户B的创建方式见“创建IAM用户”章节 client = IamClient().new_builder(IamClient) \ .with_http_config(config) \ .with_credentials(credentials) \ .with_endpoint(endpoint) \ .build() # CreateTemporaryAccessKeyByAgency # 调用通过委托获取临时访问密钥和securitytoken接口获取具有临时身份的访问密钥和securityToken # 访问密钥和securitytoken的默认有效期为900秒，即15分钟，取值范围为15分钟-24小时，这里设置有效期为3600秒，即一小时。 # 注意： 下一步获取自定义代理登录票据logintoken时，如果您设置了有效期，则有效期不能大于这里获取的securitytoken的剩余有效时间。 # 通过委托获取securitytoken时，请求体中必须填写session_user.name参数。 assume_role_session_user = AssumeroleSessionuser(name="ExternalUser") identity_assume_role = IdentityAssumerole(agency_name="testagency", domain_id="0525e2c87exxxxxxx", session_user=assume_role_session_user, duration_seconds=3600) identity_methods = ["assume_role"] body = CreateTemporaryAccessKeyByAgencyRequestBody( AgencyAuth(AgencyAuthIdentity(methods=identity_methods, assume_role=identity_assume_role))) request = CreateTemporaryAccessKeyByAgencyRequest(body) create_temporary_access_key_by_agency_response = client.create_temporary_access_key_by_agency(request) credential = create_temporary_access_key_by_agency_response.credential # CreateLoginToken # 获取自定义代理登录票据logintoken。 # 自定义代理登录票据logintoken的有效期默认为600秒，即10分钟，取值范围为10分钟-12小时，这里设置为1800秒，即半小时。 # 注意：自定义代理登录票据logintoken的有效期不能大于上一步获取的securitytoken的剩余有效时间。 login_token_security_token = LoginTokenSecurityToken(access=credential.access, secret=credential.secret, id=credential.securitytoken, duration_seconds=1800) body = CreateLoginTokenRequestBody(LoginTokenAuth(login_token_security_token)) request = CreateLoginTokenRequest(body) create_login_token_response = client.create_login_token(request) login_token = create_login_token_response.x_subject_login_token # 获取自定义代理登录票据URL auth_URL = "https://auth.huaweicloud.com/authui/federation/login" # 企业管理系统登录地址 enterprise_system_login_URL = "https://example.com/" # 需要访问的华为云服务地址 target_console_URL = "https://console.huaweicloud.com/iam/?region=cn-north-4" # 创建云服务登录地址FederationProxyUrl，作为Location返回给浏览器。 FederationProxyUrl = auth_URL + "?idp_login_url=" + urllib.parse.quote( enterprise_system_login_URL) + "&service=" + urllib.parse.quote( target_console_URL) + "&logintoken=" + urllib.parse.quote(login_token) print(FederationProxyUrl)

Java示例代码 以下示例说明了如何使用java编程的方式创建云服务登录地址FederationProxyUrl，该示例基于华为云 Java 软件开发工具包（Java SDK）开发。 import java.net.*; import java.util.Collections; import com.huaweicloud.sdk.core.auth.GlobalCredentials; import com.huaweicloud.sdk.core.exception.ClientRequestException; import com.huaweicloud.sdk.core.exception.ServerResponseException; import com.huaweicloud.sdk.core.http.HttpConfig; import com.huaweicloud.sdk.iam.v3.IamClient; import com.huaweicloud.sdk.iam.v3.model.*; // 使用全局域名获取自定义代理登录票据 String endpoint = "https://iam.myhuaweicloud.com"; // 配置客户端属性 HttpConfig config = HttpConfig.getDefaultHttpConfig() .withIgnoreSSLVerification(true) .withProxyHost("proxy.huawei.com") .withProxyPort(8080); // 使用IAM userB的domainID/ak/sk,初始化指定IAM客户端 {Service}Client,用户B的创建方式见“创建IAM用户”章节 IamClient iamClient = IamClient.newBuilder().withCredential(new GlobalCredentials() .withDomainId("domainId") .withAk("ak") .withSk("sk")) .withEndpoint(endpoint) .withHttpConfig(config) .build(); /*CreateTemporaryAccessKeyByAgency 调用通过委托获取临时访问密钥和securitytoken接口获取具有临时身份的访问密钥和securityToken。 访问密钥和securitytoken的默认有效期为900秒，即15分钟，取值范围为15分钟-24小时，这里设置有效期为3600秒，即一小时。 注意： 下一步获取自定义代理登录票据logintoken时，如果您设置了有效期，则有效期不能大于这里获取的securitytoken的剩余有效时间。 */ IdentityAssumerole identityAssumerole = new IdentityAssumerole(). withAgencyName("testagency").withDomainId("0525e2c87exxxxxxx").withSessionUser(new AssumeroleSessionuser().withName("ExternalUser")).withDurationSeconds(3600); AgencyAuth agencyAuth = new AgencyAuth().withIdentity(new AgencyAuthIdentity().withAssumeRole(identityAssumerole). withMethods(Collections.singletonList(AgencyAuthIdentity.MethodsEnum.fromValue("assume_role")))); CreateTemporaryAccessKeyByAgencyRequestBody createTemporaryAccessKeyByAgencyRequestBody = new CreateTemporaryAccessKeyByAgencyRequestBody().withAuth(agencyAuth); CreateTemporaryAccessKeyByAgencyResponse createTemporaryAccessKeyByAgencyResponse = iamClient.createTemporaryAccessKeyByAgency(new CreateTemporaryAccessKeyByAgencyRequest().withBody(createTemporaryAccessKeyByAgencyRequestBody)); Credential credential = createTemporaryAccessKeyByAgencyResponse.getCredential(); /*CreateLoginToken 获取自定义代理登录票据logintoken。 logintoken是系统颁发给自定义代理用户的登录票据，承载用户的身份、session等信息。 调用自定义代理URL登录云服务控制台时，可以使用本接口获取的logintoken进行认证。 自定义代理登录票据logintoken的有效期默认为600秒，即10分钟，取值范围为10分钟-12小时，这里设置为1800秒，即半小时。 注意：自定义代理登录票据logintoken的有效期不能大于上一步获取的securitytoken的剩余有效时间。 通过委托获取securitytoken时，请求体中必须填写session_user.name参数。 */ CreateLoginTokenRequestBody createLoginTokenRequestBody = new CreateLoginTokenRequestBody(). withAuth(new LoginTokenAuth().withSecuritytoken(new LoginTokenSecurityToken(). withAccess(credential.getAccess()). withId(credential.getSecuritytoken()). withSecret(credential.getSecret()).withDurationSeconds(1800))); CreateLoginTokenResponse createLoginTokenResponse = iamClient.createLoginToken(new CreateLoginTokenRequest().withBody(createLoginTokenRequestBody)); String loginToken = createLoginTokenResponse.getXSubjectLoginToken(); //自定义代理登录地址 String authURL = "https://auth.huaweicloud.com/authui/federation/login"; //企业管理系统登录地址 String enterpriseSystemLoginURL = "https://example.com/"; //需要访问的华为云服务地址 String targetConsoleURL = "https://console.huaweicloud.com/iam/?region=cn-north-4"; //创建云服务登录地址FederationProxyUrl，作为Location返回给浏览器 String FederationProxyUrl = authURL + "?idp_login_url=" + URLEncoder.encode(enterpriseSystemLoginURL, "UTF-8") + "&service=" + URLEncoder.encode(targetConsoleURL, "UTF-8") + "&logintoken=" +URLEncoder.encode(loginToken, "UTF-8");