检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
弹性网卡”。 在“弹性网卡”页面,选择“辅助弹性网卡”页签。 单击待修更改安全组的辅助弹性网卡的“私有IP地址”,进入辅助弹性网卡详情页。 在“关联安全组”页签下,单击“更改安全组”。 在“更改安全组”页面勾选需要关联的安全组。 单击“确定”,完成更改。 父主题: 辅助弹性网卡
ECS常用端口 添加安全组规则时,需要您指定通信所需的端口或者端口范围,然后安全组根据策略,决定允许或是拒绝相关流量转发至ECS实例。以通过SSH方式远程登录ECS为例,当安全组检测到SSH请求后,会检查发送请求的设备IP地址、登录所需的22端口是否已在安全组入方向中被放行,只有和安全组入方向
类型 说明 id String 安全组规则id 使用说明:查询安全组规则非必选 description String 安全组规则描述 security_group_id String 所属安全组id remote_group_id String 所属安全组的对端id direction
安全组(Openstack Neutron API) 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 查询安全组 GET /v2.0/security-groups vpc:securityGroups:get
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
安全组(API V3) 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 创建安全组 POST /v3/{project_id}/vpc/security-groups vpc:securityGroups:create
创建安全组、删除安全组、添加安全组规则、快速添加多条安全组规则、复制安全组规则、修改安全组规则、删除安全组规则、导入/导出安全组规则、查看弹性云服务器的安全组、变更弹性云服务器的安全组、云资源加入/移出安全组等。 用户可以在安全组中定义各种访问规则,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。
安全组规则(API V3) 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 创建安全组规则 POST /v3/{project_id}/vpc/security-group-rules vpc:secu
情页。 在“关联安全组”页签下,单击“更改安全组”。 在“更改安全组”页面勾选需要关联的安全组,单击“确定”,完成更改。 更多操作 您可以在弹性网卡详情页的“关联安全组”页签下,单击安全组所在行的“配置规则”按钮,对安全组规则进行配置。配置安全组规则请参见添加安全组规则。 父主题:
安全组规则icmp协议名称对应关系表 icmp type port_range_min port_range_max Any NULL NULL Echo 8 0 Echo reply 0 0 Fragment need DF set 3 4 Host redirect 5 1 Host
处理措施 检查ECS安全组是否已放通 解决方法请参考检查ECS安全组是否已放通。 检查网卡的“源/目的检查”开关是否关闭 解决方法请参考检查网卡的源/目的检查开关是否关闭。 检查VPC的自定义路由是否添加正确 解决方法请参考检查VPC的自定义路由是否添加正确。 检查ECS安全组是否已放通
网络ACL配置示例 网络ACL可以控制流入/流出子网的流量,当网络ACL和安全组同时存在时,流量先匹配网络ACL规则,然后匹配安全组规则。您可以灵活调整安全组的规则,并使用网络ACL作为子网的额外防护。以下为您提供了典型的网络ACL应用示例。 拒绝外部访问子网内实例的指定端口 拒绝外部指定IP地址访问子网内实例
那么IP地址组对应的安全组规则将会随之变更,无需修改每个安全组内的规则,降低了安全组管理的难度,提升效率。 方案架构 本示例中,用户根据不同的安全要求,将实例划分在三个安全组内,同时,这些实例均需要允许特定IP地址访问SSH(22)端口,为了方便维护,采用IP地址组方案。 创建一个IP地址组,并添加待授权的IP地址。
关闭ecs-X的网卡“源/目的检查”。 在ECS列表中,单击目标ECS的名称。 进入ECS详情页。 选择“弹性网卡”页签,并单击展开ECS的网卡详情区域,可以查看“源/目的检查”功能。 如图3所示,表示“源/目的检查”功能已关闭。 图3 关闭网卡的“源/目的检查”功能 在ecs-X中安装第三方防火墙。
25端口连接外部地址。例如,运行Telnet smtp.***.com 25,该命令执行失败。 问题原因 为了提升华为云IP地址发邮件的质量,基于安全考虑,TCP 25端口出方向默认被封禁,无法使用TCP 25端口连接外部地址。 如果没有在云上部署邮件服务的需求,该限制不会影响您的服务。
无法访问华为云ECS的某些端口时怎么办? 添加安全组规则时,需要您指定通信所需的端口或者端口范围,然后安全组根据规则,决定允许或是拒绝相关流量转发至ECS实例。 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访问
的第三方防火墙,对云上的业务进行灵活的安全控制。 本文以用户同区域的多VPC与本地IDC连通为例,介绍混合云使用第三方防火墙的应用场景。 方案优势 支持用户的第三方防火墙。 用户云上云下流量经过第三方防火墙。 支持用户自定义的更加灵活的安全策略。 典型拓扑 假设用户业务部署在VP
排查思路 检查弹性云服务器是否获取到IP:检查弹性云服务器是否获取到IP。 查看安全组是否放通:检查弹性云服务器所使用网卡所在安全组配置,期望进行通信的对端VPC的子网网段是否已放通。 查看网络ACL是否放通:检查网络ACL配置,对等连接涉及的子网是否已放通。 步骤一:检查弹性云服务器是否获取到IP
查询配额 功能介绍 查询单租户在VPC服务下的网络资源配额,包括vpc配额、子网配额、安全组配额、安全组规则配额、弹性公网IP配额,vpn配额等。 调试 您可以在API Explorer中调试该接口。 URI GET /v1/{project_id}/quotas 样例: GET
账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
