检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
对于云上和云下互通的组网,检查对等连接路由是否和云专线、VPN路由的目的地址重叠。 查看对等连接两端的VPC下是否有VPN/云专线资源,排查路由规则的下一跳目的地址是否有重叠。 如果路由目的地址重叠,该对等连接不生效,请重新规划网络连接方案。
示例如下: 假如VPC路由表中存在一条自定义路由,目的地址为默认路由(0.0.0.0/0),下一跳为NAT网关。
SNAT服务器与NAT网关服务差异 NAT网关(NAT Gateway)能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器等)或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器,提供网络地址转换服务,使多个云主机可以共享弹性IP弹性公网IP访问Internet或使云主机提供互联网服务
用户可以通过与子网关联的出方向/入方向规则控制出入子网的数据流。 详情请参见网络ACL。 父主题: 安全
取值范围: ecs:弹性云服务器 eni:网卡 vip:虚拟IP nat:NAT网关 peering:对等连接 vpn:虚拟专用网络 dc:云专线 cc:云连接 egw:VPC终端节点 er:企业路由器 subeni:辅助弹性网卡 local:保留网段,用户下发路由的目的网段不能和
图1 通过EIP连通VPC和公网 NAT网关(SNAT) 使用公网NAT网关,并配置SNAT规则,可实现VPC内的多个ECS共享一个或多个EIP主动访问公网。
网络ACL存在限制 检查服务器所在子网关联的网络ACL出方向规则,确认是否存在限制。 网络ACL默认拒绝所有出站流量,需要放通服务器子网所在网关联的网络ACL出方向限制,即添加出方向规则时,选择“策略”为“允许”。
网络ACL对整个子网进行防护,将子网关联至网络ACL,则子网内的所有实例都会受到网络ACL保护。相比安全组,网络ACL的防护范围更大。
您需要将子网关联至网络ACL,并且当网络ACL状态为“已开启”时,网络ACL规则会对出入子网的流量生效,具体操作请参见将子网关联至网络ACL。 父主题: 管理网络ACL
约束与限制 子网通常由于被自定义路由、虚拟IP或者其他服务资源(ECS、ELB、NAT网关)占用而导致无法删除,需要您根据控制台的提示信息删除占用子网的资源,然后删除子网。 操作步骤 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。
取值范围: ecs:弹性云服务器 eni:网卡 vip:虚拟IP nat:NAT网关 peering:对等连接 vpn:虚拟专用网络 dc:云专线 cc:云连接 egw:VPC终端节点 er:企业路由器 subeni:辅助弹性网卡 local:保留网段,用户下发路由的目的网段不能和
您可以为子网关联网络ACL,并添加对应入方向规则,如表2所示,其中目的地址10.0.0.0/24为需要防护的子网网段。 网络ACL默认规则拒绝任何流量流入子网,因此需要先添加自定义规则02,放通入方向流量。 添加自定义规则01,拒绝所有外部请求访问子网内实例的TCP 445端口。
用户IDC数据中心和华为云通过云专线(DC)或虚拟专用网络(VPN)通信成功,在华为云的内网上使用第三方虚拟化防火墙,使得云上云下的业务流量经过自定义的第三方防火墙,对云上的业务进行灵活的安全控制。
网络ACL:您可以根据实际情况选择是否为子网关联网络ACL,当子网关联了网络ACL,不同网络ACL的网络默认隔离。那么如果同一个VPC的子网关联不同的网络ACL,并且未添加放通规则时,网络默认不通。
云连接实例 云连接中心网络 虚拟专用网络(VPN) 云专线(DC) 您可以直接将不同区域的VPC接入云连接实例,不论VPC属于同一个账号还是不同账号,都可以接入云连接中实现内网通信。详情请参见跨区域VPC互通。
约束:更新时allocation_pool范围不能包含网关和广播地址的所有IP。
使用说明:必须为网关口的id。 说明: 网关口是device_owner为"network:router_interface_distributed"的端口,它的id的获取方式是: 通过虚拟私有云服务的API接口查询,具体操作可参考查询端口列表。
VPN及专线网络连接出现问题时,如何排查? 外网能访问服务器,但是服务器无法访问外网时,如何排查? 配置了IPv6双栈,为什么无法访问IPv6网站? 弹性云服务器防火墙配置完成后,为什么网络不通?
通过第三方防火墙实现VPC和云下数据中心互访流量清洗 操作场景 用户IDC数据中心和华为云通过云专线(DC)或虚拟专用网络(VPN)通信成功,在华为云的内网上使用第三方虚拟化防火墙,使得云上云下的业务流量经过自定义的第三方防火墙,对云上的业务进行灵活的安全控制。
不同网络ACL之间网络隔离,如果两个子网关联了不同的网络ACL,则需要添加规则放通不同的网络ACL。 不同安全组之间网络隔离,实例都必须关联安全组,如果两个实例关联了不同的安全组,则需要添加规则放通不同的安全组。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
