智能边缘云 IEC-约束与限制:边缘网络ACL

时间:2024-04-23 09:52:41

边缘网络ACL

  • 每个网络ACL都包含一组默认规则,如下所示:
    • 默认放通同一站点下同一子网内的流量。
    • 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。
    • 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。
    • 默认放通目的IP地址为169.254.169.254/32,TCP端口为80的metadata报文。用于获取元数据。
    • 默认放通公共服务预留网段资源的报文,例如目的网段为100.125.0.0/16的报文。
    • 除上述默认放通的流量外,其余出入子网的流量全部拒绝,如表1所示。该规则不能修改和删除。
      表1 网络ACL默认规则

      方向

      优先级

      动作

      协议

      源地址

      目的地址

      说明

      入方向

      *

      拒绝

      全部

      0.0.0.0/0

      0.0.0.0/0

      拒绝所有入站流量

      出方向

      *

      拒绝

      全部

      0.0.0.0/0

      0.0.0.0/0

      拒绝所有出站流量

  • 网络连通性:
    • 由于归属于不同虚拟私有云的多个子网网络不连通,则为同一个网络ACL下归属于不同的虚拟私有云的多个子网配置网络连通的访问规则是不生效的。
    • 由于归属于不同边缘站点的多个子网之间网络不连通,则为网络ACL配置跨站点多个子网连通的访问规则是不生效的。
  • 规则优先级:
    • 网络ACL规则的优先级使用“优先级”值来表示,优先级的值越小,优先级越高,最先应用。优先级的值为“*”的是默认规则,优先级最低。
    • 多个网络ACL规则冲突,优先级高的规则优先生效。如果某个规则需要优先或落后生效,可在对应规则(需要优先或落后于某个规则生效的规则)前面或后面插入此规则。
support.huaweicloud.com/productdesc-iec/iec_01_0500.html