检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
假如VPC路由表中存在一条自定义路由,目的地址为默认路由(0.0.0.0/0),下一跳为NAT网关。 如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由,并且优先级高于VPC路由表中的自定义路由,此时会导致流量转发至EIP出公网,无法抵达NAT网关。 父主题: 网络连接类
络环境。 构建高安全的云上网络 虚拟私有云VPC是云上的私有网络,您可以将应用程序部署在VPC内的实例上,同时,通过配置安全组和网络ACL策略,可以保障VPC内部署的实例安全运行。 安全组对实例进行防护,将实例加入安全组内后,该实例将会受到安全组的保护。 网络ACL对整个子网进行
除了VPC提供的安全策略,通常情况下您还可以配置实例的防火墙,进一步提升实例的安全。不同安全策略配合使用的工作原理图如图1所示。 图1 VPC安全策略 基于以上情况,如果您的安全组规则配置完未生效,除了安全组本身参数的配置可能有误,还有可能是不同的安全策略之间存在冲突,具体请您参考以下指导处理。
为ECS的扩展网卡绑定EIP并实现公网通信 操作场景 本示例如图1所示,ECS有两个网卡,包括主网卡和扩展网卡。您可以参考以下操作,为扩展网卡绑定EIP,并配置策略路由,确保ECS可以通过扩展网卡绑定的EIP访问公网。 图1 通过ECS扩展网卡访问公网的组网示意图 本文操作以Linux系统的ECS为例,供您参考。
扩展网卡无法和外部正常通信,此时您需要在云服务器内部为这些网卡配置策略路由,才可以确保多张网卡均可以和外部正常通信。 如果您的云服务器是Linux云服务器,具体操作指导请参考为多网卡Linux云服务器配置策略路由 (IPv4/IPv6)。 如果您的云服务器是Windows云服务
安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当实例加入该安全组后,即受到这些访问规则的保护。 安全组中包括入方向规则和出方向规则,您可以针对每条入方向规则指定来
GaussDB 云数据库 RDS 文档数据库服务 DDS 云数据库 GaussDB NoSQL 分布式数据库中间件 DDM 应用服务 分布式缓存服务 DCS: Redis实例 Memcached实例 分布式消息服务 DMS: Kafka实例 RabbitMQ实例 EI企业智能 MapReduce服务
查询特定网络ACL规则 创建网络ACL规则 更新网络ACL规则 删除网络ACL规则 查询所有网络ACL策略 查询特定网络ACL策略详情 创建网络ACL策略 更新网络ACL策略 删除网络ACL策略 插入网络ACL规则 移除网络ACL规则 查询所有网络ACL组 查询特定网络ACL组详情 创建网络ACL组
审计与日志 审计 云审计服务,是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后,CTS可记录VPC的操作事件用于审计。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。
带宽中,ECS-A和ECS-B可以通过IPv6地址连通公网。 约束与限制 当前IPv4/IPv6双栈网络暂不收费,后续定价会根据运营商收费策略的变化进行调整。 云耀云服务器L实例、旧版云耀云服务器不支持IPv6网络。 IPv6功能目前仅在部分区域公测,具体公测区域请参见功能总览中
细粒度策略以API接口为粒度进行权限拆分,虚拟私有云(VPC)支持的API授权项请参见策略及授权项说明。 如表1所示,包括了VPC的所有系统权限。 表1 VPC系统权限 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您
1 策略 安全组规则策略,支持的策略如下: 如果“策略”设置为允许,表示允许安全组内的云服务器访问目的地址的指定端口。 如果“策略”设置为拒绝,表示拒绝安全组内的云服务器访问目的地址的指定端口。 安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许
1 策略 安全组规则策略,支持的策略如下: 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。 安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序。
和安全组策略,无需重新配置关联关系,将故障实例上的业务流量快速迁移到备用实例,实现服务快速恢复。 业务分离管理 可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡,特定网卡分别承载云服务器实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略,弹性网
vpc:firewallRules:delete √ × 查询所有网络ACL策略 GET /v2.0/fwaas/firewall_policies vpc:firewallPolicies:get √ × 查询特定网络ACL策略 GET /v2.0/fwaas/firewall_polici
和安全组策略,无需重新配置关联关系,将故障实例上的业务流量快速迁移到备用实例,实现服务快速恢复。 业务分离管理 可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡,特定网卡分别承载云服务器实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略,弹性网
则B的流量匹配条件相同,但优先级和流量采集策略不同。规则A的优先级为1,策略为不采集。规则B的优先级为2,策略为采集。当镜像源入方向的某个报文同时符合规则A和规则B的流量匹配条件时,此时根据规则优先级,该报文优先匹规则A,并执行不采集策略,即不镜像该报文,结束后,该报文不会继续匹配规则B。
取值样例 类型 规则支持的IP地址类型,如下: IPv4 IPv6 IPv4 策略 网络ACL规则策略,支持的策略如下: 如果“策略”设置为允许,表示允许成功匹配规则的流量流入或者流出子网。 如果“策略”设置为拒绝,表示拒绝成功匹配规则的流量流入或者流出子网。 允许 协议 网络A
权限,并结合实际需求进行选择,VPC支持的系统权限,请参见:权限管理。 若您需要对除VPC之外的其他服务授权,IAM支持服务的所有策略请参见权限策略。 示例流程 图1 给用户授权VPC权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予VPC只读权限“VPCReadOnlyAccess”。
通过SSH远程登录Linux云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 22 IP地址:0.0.0.0/0 表3 通过RDP远程登录Windows云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
