检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
进入安全组列表页面。 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。 进入安全组规则配置页面。 在入方向规则页签,单击“添加规则”,添加入方向规则。 单击“+”可以依次增加多条入方向规则。 图1 添加入方向规则 表1 入方向参数说明 参数 说明 取值样例 协议端口 网
基于公网NAT网关的用户网络,可以通过配置安全组和网络ACL实现访问限制。 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。 网络ACL是一
按步骤7进行配置。 在安全组详情页,单击“入方向规则”或“出方向规则”,分别根据弹性云服务器使用的端口添加入方向规则或出方向规则。 检查路由表是否配置指向私网NAT网关的路由 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。 在系统首页,选择“网络 > 虚拟私有云”。 在左侧导航栏选择“路由表”。
DNAT规则可以配置服务器访问指定网站吗? 不可以。NAT网关不具备访问控制功能,只能根据规则转送流量。如果需要设置限制访问的网站,您可以配置安全组和ACL规则进行限制。具体请参考安全组配置示例和网络ACL配置示例。 父主题: DNAT规则
在安全组详情页,单击“入方向规则”或“出方向规则”,分别根据弹性云服务器使用的端口添加入方向规则或出方向规则。入方向和出方向规则参数详情请参见添加安全组规则。 检查网络ACL是否放通子网流量 检查VPC的子网是否关联了网络ACL,如果关联了网络ACL,请检查“ 网络ACL”规则。 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。
包含“<”和“>”。 单击“确定”,完成添加。 步骤七:添加安全组规则 进入安全组列表页面。 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。 进入安全组规则配置页面。 在入方向规则页签,单击“添加规则”,添加入方向规则。 单击“+”可以依次增加多条入方向规则。 表5
哪些端口无法访问? 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访问,此时建议您将端口修改为其他非高危端口。 表1 高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025
0.0.0/24)。 图2 添加路由 在目的网段包含的服务器(私网地址为:10.0.0.62)中添加入方向安全组规则,用于将发到目的端的流量全部放通。 图3 添加入方向安全组规则 配置验证 配置完成,测试连通性。 登录业务VPC中的ECS(ECS-Test),ping对端IDC(目的网段)中的私网IP(10
未提及参数,保持默认或根据界面引导配置 创建安全组 选择“网络 > 虚拟私有云”,选择“访问控制 > 安全组”,单击“创建安全组”。 配置安全组信息,完成后单击“确定”。 名称:sg-监管 模板:通用Web服务器 未提及参数,保持默认或根据界面引导配置 在安全组列表页,单击操作列的“配置规则”,切换至“入方向规则”页签,删除当前的所有规则。
该指标用于统计SNAT入方向PPS。 单位:个 ≥0个 公网NAT网关 1分钟 outbound_pps 出方向PPS 该指标用于统计SNAT出方向PPS。 单位:个 ≥0个 公网NAT网关 1分钟 inbound_traffic 入方向流量 该指标用于统计SNAT入方向流量。 单位:字节
当同一个弹性云服务器同时设置了DNAT和弹性公网IP时,入云方向的弹性公网IP取决于客户端用户的自主选择(DNAT规则绑定的弹性公网IP或ECS直接绑定的弹性公网IP),而出云方向优先使用弹性云服务器直接绑定的弹性公网IP,所以如果入云和出云使用的弹性公网IP不一致,流量会不通。
2000000 10000 超大型 1000000 20Gbit/s 2000000 10000 表格中所列的“每秒报文数(PPS)”是指入方向和出方向的PPS总和。 为避免因连接数超过公网NAT网关规格最大值,从而影响业务的情况,建议在云监控中设置公网NAT网关监控指标,并为SNAT连接数合理设置告警。
配置DNAT规则后,需在目标云主机实例中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 根据界面提示,配置添加DNAT规则参数,详情请参见表1。 表1 DNAT规则参数说明 参数 说明 本端网络 端口类型 分为具体端口和所有端口两种类型。 具体端口:属于端
DNAT规则信息描述。最大支持255个字符,且不能包含“<”和“>”。 配置完成后,单击“确定”,完成“DNAT规则”创建。 配置DNAT规则后,需在对应的云主机中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 父主题: 使用DNAT为云主机面向公网提供服务
3”。 安全组:Sys-FullAccess。本实践选择一个全部放通的安全组作为测试安全组,后期可以根据业务情况重新绑定业务所需的安全组,提升业务安全性。 弹性公网IP:暂不购买 未提及参数,保持默认或根据界面引导配置 配置完成后单击“下一步:高级配置”。 设置云服务器名称和密码等信息。
华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户
不能包含“<”和“>”。 配置完成后,单击“确定”,完成“DNAT规则”创建。 在DNAT规则列表中查看详情,若“状态”为“运行中”,表示创建成功。 配置DNAT规则后,需在对应的云主机中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 父主题:
网IP:172.18.0.100,绑定EIP。 图3 添加DNAT规则 SNAT规则和DNAT规则一般面向不同的业务,如果使用相同的EIP,会面临业务相互抢占问题,请尽量避免。SNAT规则不能和全端口的DNAT规则共用EIP。 配置验证 配置完成,测试连通性。 从IDC的服务器ping外网地址如:114
DNAT规则信息描述。最大支持255个字符,且不能包含“<”和“>”。 配置完成后,单击“确定”,可在DNAT规则列表中查看详情,若“状态”为“运行中”,表示创建成功。 配置DNAT规则后,需在对应的云主机中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 父主题: 管理DNAT规则
DNAT规则信息描述。最大支持255个字符,且不能包含“<”和“>”。 配置完成后,单击“确定”,完成“DNAT规则”创建。 配置DNAT规则后,需在对应的云服务器中放通对应的安全组规则,否则DNAT规则不能生效。具体操作步骤,请参见添加安全组规则。 步骤五:验证是否成功添加DNAT规则 在
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
