检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ECS有多个网卡时,为何无法通过域名访问公网网站及云中的内部域名? 拥有多个网卡的弹性云服务器,如果每个网卡对应的子网中的DNS服务器地址配置不一致时,通过该弹性云服务器将无法访问公网网站或云中的内部域名。 请确保虚拟私有云的多个子网中的DNS服务器地址配置一致。您可以通过以下步骤,修改虚拟私有云子网的DNS服务器。
外网能访问服务器,但是服务器无法访问外网时,如何排查? 问题描述 外网能访问服务器,但是服务器无法访问外网,出不了我方的网关。 排查思路 您可以按照以下原因进行排查,如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 本地网络配置异常
TCP 25端口出方向无法访问时怎么办? 问题描述 无法使用TCP 25端口连接外部地址。例如,运行Telnet smtp.***.com 25,该命令执行失败。 问题原因 为了提升华为云IP地址发邮件的质量,基于安全考虑,TCP 25端口出方向默认被封禁,无法使用TCP 25端口连接外部地址。
无法访问华为云ECS的某些端口时怎么办? 添加安全组规则时,需要您指定通信所需的端口或者端口范围,然后安全组根据规则,决定允许或是拒绝相关流量转发至ECS实例。 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访
址或者子网网段。 云服务器提供数据库访问服务 安全组默认拒绝所有来自外部的请求,如果您在云服器上部署了数据库服务,允许其他实例通过内网访问数据库服务,则您需要在部署数据库服务器所在的安全组内,添加入方向规则,放通对应的端口,实现其他实例通过内网获取数据库数据的请求。常见的数据库类型及其对应的端口如下:
CS上的资源。 内网带宽 内网带宽是指同一地域同一专有网络内的云服务器ECS实例之间传输的内网带宽流量。云服务器ECS与云数据库、负载均衡以及对象存储之间也可以使用内网相互连接。内网带宽大小跟实例规格有关。 详细请参见弹性云服务器实例类型。 图1 公网带宽和内网带宽 父主题: 带宽类
流量需要经过云防火墙CFW-B清洗,最终确保通过DC-A送至IDC的流量安全。 图1 VPC访问控制防护示意图 VPC访问控制策略的区别说明 表1为您提供了不同VPC访问控制策略的区别,您可以根据业务需求按需选择。 表1 不同VPC访问控制策略的区别 对比项 安全组 网络ACL 云防火墙
配置了IPv6双栈,为什么无法访问IPv6网站? 问题现象 用户的云服务器已配置了IPv6双栈,但是无法访问IPv6网站。 解决思路 查看IPv6双栈配置是否正确,网卡是否获取到IPv6地址。 查看是否已将IPv6双栈网卡添加到共享带宽。 当云服务器拥有多张网卡时,查看在云服务器内部,是否为这些网卡配置策略路由。
Y01的网络,通过Subnet-Y01内的实例远程登录Subnet-X02内的实例。 Fw-A的规则说明: 入方向自定义规则,允许外部任意IP地址,通过TCP (HTTP)协议访问Subnet-X01内实例的80端口。如果流量未匹配上自定义规则,则匹配默认规则,无法流入子网。 网
修改子网内的域名后,如何立即生效? 您可以在新创建子网,通过控制台中的“域名”参数,设置DNS域名后缀,访问某个域名时,只需要输入域名前缀,子网内的云服务器会自动匹配设置的域名后缀。子网创建完成后,“域名”参数支持修改,修改完成后的生效策略如表1所示。 表1 不同云服务器生效策略
同一个子网下的弹性云服务器只能通过内网IP地址单向通信怎么办? 问题现象 ecs01和ecs02是同一个VPC内同一个子网中的两个弹性云服务器,IP地址分别为192.168.1.141和192.168.1.40 ecs01可以通过内网IP地址ping通ecs02,但是ecs02无法通过内网IP地址ping通ecs01。
访问控制 VPC访问控制概述 安全组 网络ACL
身份认证与访问控制 身份认证 统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助用户安全地控制云服务和资源的访问权限。 虚拟私有云支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的,IAM权
添加定义规则01,允许任意IP地址通过HTTP协议,访问子网内实例的80端口。 添加定义规则02,允许任意IP地址通过HTTPS协议,访问子网内实例的443端口。 其中目的地址10.8.0.0/24为需要防护的子网网段。 表4 网络ACL规则(允许外部访问子网内实例的指定端口) 方向 生效顺序
Address)是从VPC子网网段中划分的一个内网IP地址,是一种可以独立申请和删除的内网IP地址,适用于以下场景: 将一个或者多个虚拟IP同时绑定至一个云服务器,可以通过任意一个IP地址(私有IP/虚拟IP)访问云服务器。通常当单个云服务器内同时部署了多种业务,此时可以通过不同的虚拟IP访问各个业务。 将一
库等,此安全组无法删除。请您将实例从安全组中移出后,重新尝试删除安全组,具体操作请参见在安全组中添加或移出实例。 查看安全组关联的实例,具体操作请参见如何查看安全组关联了哪些实例?。 当安全组作为“源地址”或者“目的地址”,被添加在其他安全组的规则中时,此安全组无法删除。 需要删
示例二:配置云服务器的访问策略 操作场景 本章节指导用户通过调用API来为云服务器配置安全组。 前提条件 已创建弹性云服务器,具体请参见创建ECS。 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增加“X-Auth-Token”到业务接口请求消息头
者流出实例。 在入方向中,表1中的入方向规则,确保安全组内实例的内网网络互通,不建议您删除该安全组规则。 在出方向中,表1中的出方向规则,允许所有流量从安全组内实例流出。如果您删除了该规则,则安全组内的实例无法访问外部,请您谨慎操作。 表1 安全组规则说明 方向 策略 类型 协议端口
当弹性云服务器需要提供由公网可以访问的服务,并且不明确访问该服务的对端IP地址时,建议将安全组规则的源地址设置成默认网段0.0.0.0/0,再通过配置端口提高网络安全性。 源地址设置成默认网段0.0.0.0/0,表示允许所有IP地址访问安全组内的弹性云服务器。 建议将不同公网访问策略的弹性云服务器划分到不同的安全组。
A规则优先级为2。同样地,B规则需要优先级低于A,则向A规则后插入B规则即可。 当添加了拒绝特定IP地址访问的规则时,可以将允许所有IP访问的规则放至最后,拒绝特定IP地址访问的规则将生效。具体操作请参见添加网络ACL规则(自定义生效顺序)。 父主题: 安全类