检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
示例一:创建云服务器所需要的VPC和子网 操作场景 本章节指导用户通过调用API来创建云服务器所需要的VPC和子网。 前提条件 您需要规划VPC所在的区域信息,并根据区域确定调用API的Endpoint,详细信息请参见终端节点(Endpoint)。 当您使用Token认证方式完成
如果没有在云上部署邮件服务的需求,该限制不会影响您的服务。 目前仅华北-北京一的TCP 25端口出方向默认被封禁,其他区域TCP 25端口不会封禁。 解决方案 如果您需要使用华为云上的云服务器对外部发送邮件,建议您使用云速邮箱。 建议您使用第三方邮件服务商支持的465端口。 父主题:
由入方向流量建立的连接,已建立的长连接将会断开。所有入方向流量立即重新建立连接,并匹配新的安全组入方向规则。 由出方向流量建立的连接,已建立的长连接不会断开,依旧遵循原有安全组规则。出方向流量新建立的连接,将会匹配新的安全组出方向规则。 对于已建立的长连接,流量断开后,不会立即建立新的连接,需
组会拦截实例互访的流量。 比如,ECS-A01属于安全组Sg-A,RDS-B01属于安全组Sg-B,您需要执行1.放通远程登录实例的流量和2.放通对等连接两端实例内网互通的流量。 在安全组中添加表4中的规则,放通远程登录安全组内实例的流量。 表4 安全组规则(远程登录) 方向 策略
图1所示,具体说明如下: 源端云服务器主网卡和扩展网卡位于同一个VPC内的不同子网。 源端云服务器和目的端云服务器位于同一个VPC内的不同子网,因此网络互通,即配置策略路由前,源端云服务器的主网卡可以和目的端云服务器正常通信。 为源端云服务器双网卡配置策略路由后,主网卡和扩展网卡
安全组Sg-A的入方向存在一条放通ICMP端口的自定义规则,因此可以通过个人PC (计算机)ping通ECS-A。但是安全组内未包含允许SSH流量进入实例的规则,因此您无法通过个人PC远程登录ECS-A。 当ECS-A需要通过EIP访问公网时,由于安全组Sg-A的出方向规则允许所有流量从实例流出,因此ECS-A可以访问公网。
通用Web服务器 入方向规则 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的SSH(22)端口,用于远程登录Linux实例。 外部远程登录安全组内实例(如ECS) 外部使用ping命令验证安全组内实例的网络连通性
获取子网网段和网关地址 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。 在服务列表,选择“计算 > 弹性云服务器”。 在弹性云服务器列表中,选择目标弹性云服务器,并单击名称对应的超链接。 进入弹性云服务器“基本信息”页签。 在云服务器信息区域,单击虚拟私有云对应的超链接。 进入“虚拟私有云”页面。
查看EIP是否创建并绑定弹性云服务器 查看EIP是否绑定弹性云服务器主网卡 查看是否放通针对连接的安全组 查看弹性云服务器子网是否设置拦截 步骤一:查看弹性云服务器运行是否正常 检查您的弹性云服务器是否正常运行。 弹性云服务器运行状态如果不是运行状态,请尝试启动/重启弹性云服务器。 图3 检查弹性云服务器状态
同一个VPC内的子网网络互通,如果您的业务ECS和防火墙所在的ECS网络不通,可能是因为这些ECS位于不同的安全组导致的。 如果ECS位于不同的安全组内,需要您在这些ECS关联的安全组内添加对端安全组的规则,放通这些安全组的网络。 具体操作请参见添加安全组规则。 检查网卡的“源/目的检查”开关是否关闭 请检查防
同时拥有自定义路由和EIP的ECS访问外网的优先级是什么? 弹性公网IP的优先级高于VPC路由表中的自定义路由。示例如下: 假如VPC路由表中存在一条自定义路由,目的地址为默认路由(0.0.0.0/0),下一跳为NAT网关。 如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由,
了允许和拒绝的访问操作,以此实现云资源权限访问控制。 管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予VPC所需的权限,组内用户自动继承用户组的所有权限。 IAM的详细介绍,请参见IAM功能介绍。 VPC所需的权限,请参见权限管理。 访问控制 安全组
示例四:配置云服务器高可用的IPv6虚拟IP功能 操作场景 虚拟IP主要用在弹性云服务器的主备切换,达到高可用性的目的。当主服务器发生故障无法对外提供服务时,动态将虚拟IP切换到备服务器,继续对外提供服务。 本章节指导用户通过调用一系列IPv6虚拟IP相关API,使应用具备高可用性。
安全组规则方向设置错误,例如将需要在入方向添加的规则添加到出方向规则下。 安全组中包括入方向规则和出方向规则,用来控制安全组内实例的入方向和出方向的网络流量。 入方向规则控制外部请求访问安全组内的实例,控制的是流入实例的流量。 出方向规则控制安全组内实例访问外部的请求,控制的是从实例流出的流量。 安全组规则协议类型未选择正确。
分别放通实例互访的流量,则对等连接创建成功后,安全组会拦截实例互访的流量。比如,ECS-A01属于安全组Sg-A,RDS-B01属于安全组Sg-B,您需要执行以下操作,同时放通远程登录实例的流量和对等连接两端实例内网互通的流量。 在安全组中添加表5中的规则,放通远程登录安全组内实例的流量。
处理措施 弹性云服务器的网卡未正确配置虚拟IP 解决方法请参考弹性云服务器的网卡未正确配置虚拟IP。 弹性云服务器内部网卡未正确配置虚拟IP 解决方法请参考弹性云服务器内部网卡未正确配置虚拟IP。 安全组或网络ACL对网卡流量进行了拦截 解决方法请参考安全组或网络ACL对网卡流量进行了拦截。
区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。 IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址
配置了IPv6双栈,为什么无法访问IPv6网站? 问题现象 用户的云服务器已配置了IPv6双栈,但是无法访问IPv6网站。 解决思路 查看IPv6双栈配置是否正确,网卡是否获取到IPv6地址。 查看是否已将IPv6双栈网卡添加到共享带宽。 当云服务器拥有多张网卡时,查看在云服务器内部,是否为这些网卡配置策略路由。
允许外部访问子网内实例的指定端口 本示例中,在子网内的实例上搭建了可供外部访问的网站,实例作为Web服务器,需要放通入方向的HTTP(80)和HTTPS(443)端口。当子网关联了网络ACL时,需要同时在网络ACL和安全组添加对应的规则。 在网络ACL中,添加如表4所示的规则。
默认安全组仅确保安全组内实例互通,默认拒绝所有外部请求进入实例,如果您需要登录默认安全组关联的实例,请参见通过本地服务器远程登录云服务器添加安全组规则放通指定端口。 如果实际业务对不同用途实例的安全要求存在差异,那么建议您创建自定义安全组,并将实例按照用途加入到不同的安全组内。 您可以免费使用安全组资源,当前不收取任何费用。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
