检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
外网能访问服务器,但是服务器无法访问外网时,如何排查? 问题描述 外网能访问服务器,但是服务器无法访问外网,出不了我方的网关。 排查思路 您可以按照以下原因进行排查,如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 本地网络配置异常
级为1,A规则优先级为2。同样地,B规则需要优先级低于A,则向A规则后插入B规则即可。 当添加了拒绝特定IP地址访问的规则时,可以将允许所有IP访问的规则放至最后,拒绝特定IP地址访问的规则将生效。具体操作请参见添加网络ACL规则(自定义生效顺序)。 父主题: 安全类
示例二:配置云服务器的访问策略 操作场景 本章节指导用户通过调用API来为云服务器配置安全组。 前提条件 已创建弹性云服务器,具体请参见创建ECS。 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增加“X-Auth-Token”到业务接口请求消息头
基于ECS自建SNAT服务器实现多个ECS共享EIP访问公网 操作场景 当您在使用VPC的路由表功能时,需要在弹性云服务器上部署SNAT,使得VPC内其他没有绑定EIP的弹性云服务器可以通过它访问Internet。 该配置对VPC内所有子网生效。 前提条件 已拥有需要部署SNAT的弹性云服务器。
针对全部IPv6协议,允许安全组内的实例可访问外部任意IP和端口。 通过本地服务器远程登录云服务器 安全组默认拒绝所有来自外部的请求,如果您需要通过本地服务器远程登录安全组内的云服务器,那么需要根据您的云服务器操作系统类型,在安全组入方向添加对应的规则。 通过SSH远程登录Linux云服务器,需要放通SSH(22)端口,请参见表2。
整安全组的规则,并使用网络ACL作为子网的额外防护。以下为您提供了典型的网络ACL应用示例。 拒绝外部访问子网内实例的指定端口 拒绝外部指定IP地址访问子网内实例 允许外部访问子网内实例的指定端口 如果您的网络ACL规则配置完成后不生效,请您提交工单联系客服处理。 使用须知 在配置规则之前,请您先了解以下信息:
FTP服务开放的端口,用于上传和下载文件。配置示例请参见在本地服务器远程连接云服务器上传或者下载文件(FTP)。 22 SSH SSH端口,用于远程连接Linux弹性云服务器。配置示例请参见通过本地服务器远程登录云服务器。 登录方法请参见Linux弹性云服务器登录方式概述。 23 Telnet Tel
针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的SSH(22)端口,用于远程登录Linux云服务器。 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内云服务器的RDP(3389)端口,用于远程登录Windows云服务器。 TCP: 80
安全组规则策略,支持的策略如下: 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。 安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序。
安全组规则策略,支持的策略如下: 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。 安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略,更多信息请参见流量匹配安全组规则的顺序。
本地主机访问使用弹性云服务器搭建的网站出现间歇性中断怎么办? 问题现象 在云服务器上搭建网站后,部分客户通过本地网络访问网站时出现偶发性无法访问的情况。 解决思路 确认客户使用的本地网络。 若客户的本地网络是NAT网络(本地主机通过NAT功能使用公网IP地址访问弹性云服务器),可能会导致该问题。
才能从外部访问该弹性云服务器。 在安全组规则设置界面用户可根据实际情况选择TCP、UDP、ICMP或All类型。 当弹性云服务器需要提供通过公网可以访问的服务,并且明确访问该服务的对端IP地址时,建议将安全组规则的源地址设置为包含该IP地址的网段。 当弹性云服务器需要提供由公网
安全组支持设置允许和拒绝策略。 允许策略:对于匹配成功的流量,允许流入/流出实例。 拒绝策略:对于匹配成功的流量,拒绝流入/流出实例。 网络ACL支持设置允许和拒绝策略。 允许策略:对于匹配成功的流量,允许流入/流出子网。 拒绝策略:对于匹配成功的流量,拒绝流入/流出子网。 云防火墙支持设置允许和拒绝策略。
无法访问华为云ECS的某些端口时怎么办? 添加安全组规则时,需要您指定通信所需的端口或者端口范围,然后安全组根据规则,决定允许或是拒绝相关流量转发至ECS实例。 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访
谨慎操作。 ECS服务器的DHCP租约期结束后,DHCP服务器会重新向ECS服务器分配IP地址、更新DNS信息。 通过dhclient,获取修改后的DNS服务器地址。 登录云服务器。 ECS有多种登录方法,具体请参见登录弹性云服务器。 执行以下命令,查看当前云服务器的DNS配置地址。
义了允许和拒绝的访问操作,以此实现云资源权限访问控制。 管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予VPC所需的权限,组内用户自动继承用户组的所有权限。 IAM的详细介绍,请参见IAM功能介绍。 VPC所需的权限,请参见权限管理。 访问控制 安全组
02,ECS-01和ECS-02属于Subnet-X01,ECS-03属于Subnet-X02。三台ECS的网络通信需求如下: ECS-02和ECS-03网络互通 ECS-01和ECS-03网络隔离 为了实现以上网络通信需求,本示例的安全组和网络ACL配置如下: 三台ECS属于同
例的规则,因此您无法通过个人PC远程登录ECS-A。 当ECS-A需要通过EIP访问公网时,由于安全组Sg-A的出方向规则允许所有流量从实例流出,因此ECS-A可以访问公网。 图1 安全组架构图 您可以免费使用安全组资源,当前不收取任何费用。 安全组规则 安全组中包括入方向规则和
ECS有多个网卡时,为何无法通过域名访问公网网站及云中的内部域名? 拥有多个网卡的弹性云服务器,如果每个网卡对应的子网中的DNS服务器地址配置不一致时,通过该弹性云服务器将无法访问公网网站或云中的内部域名。 请确保虚拟私有云的多个子网中的DNS服务器地址配置一致。您可以通过以下步骤,修改虚拟私有云子网的DNS服务器。
如图2所示,VPC-X内有三个子网,其中子网Subnet-A和Subnet-B中的ECS均关联默认安全组,默认安全组仅确保安全组内实例互通,默认拒绝所有外部请求进入实例。ECS-A01、ECS-A02、ECS-B01和ECS-B02之间内网网络互通,但是无法接受来自NAT网关的流量。 如果您需要放通NAT网
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
