华为云用户手册

安全组配置错误 当安全组规则配置有误时，无法按照规划的安全组规则对云服务器进行保护。您可以按照以下几点原因对安全组配置进行检查： 安全组规则方向设置错误，例如将需要在入方向添加的规则添加到出方向规则下。 安全组规则协议类型未选择正确。 对应端口为高危端口，在部分地区部分运营商无法访问，建议您修改敏感端口为其他非高危端口来承载业务。 对应端口未开通。您可以根据以下步骤检查对应端口在服务器中是否被正常监听。 假设您在某台ECS上部署了网站，希望用户能通过HTTP(80)端口访问到您的网站，则您需要先在ECS所在安全组的入方向中，添加表2中的规则，放通HTTP(80)端口。 表2 安全组规则示例 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 云服务器属于不同的VPC。安全组需在网络互通的情况下生效。若云服务器属于不同VPC，但同属于一个安全组，此时云服务器不能互通。您可以使用对等连接等产品建立VPC连接互通，安全组才能对不同VPC内云服务器的流量进行访问控制。VPC连接请参见应用场景。 您可以参考添加安全组规则或修改安全组规则选择正确的方向或协议类型、放通需要开放的端口。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 安全组配置错误 解决方法请参考安全组配置错误。 网络ACL规则与安全组规则冲突 解决方法请参考网络ACL规则与安全组规则冲突。 云服务器防火墙限制 解决方法请参考云服务器防火墙限制。

一个账户可以创建多少个对等连接？ 通过对等连接连通同一个区域VPC时，您可以登录控制台查询配额详情，具体请参见怎样查看我的配额？。 相同账户的VPC对等连接：在一个区域内，您可以创建VPC对等连接数量，以实际配额为准。 不同账户的VPC对等连接：在一个区域内，已接受的VPC对等连接会占用双方账户内的配额。处于待接受状态的VPC对等连接占用发起方的配额，不占用接受方的配额。 您可以在配额范围内创建多个账户下的VPC对等连接，比如账号A和账号B的VPC对等连接，账号A和账号C的VPC对等连接，账号A和账号D的VPC对等连接等，不受账号数量限制。 父主题： 对等连接类

独享带宽与共享带宽有何区别？ 独享带宽：只针对一个弹性公网IP进行限速，该弹性公网IP只能被一个云资源（弹性云服务器、NAT网关、弹性负载均衡等）使用。 共享带宽：可以针对多个弹性公网IP进行集中限速，带宽可以添加多个按需计费的弹性公网IP。弹性公网IP添加和移出共享带宽对业务不产生影响。 独享带宽与共享带宽不支持直接互相转换，但针对按需计费的弹性公网IP，您可以购买一个共享带宽，进行如下操作： 将弹性公网IP添加到共享带宽，则弹性公网IP使用共享带宽。 将弹性公网IP移出共享带宽，则弹性公网IP使用独享带宽。 父主题： 带宽类

约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 您可以通过对等连接连通位于华为云中国站和国际站相同区域的VPC，比如VPC-A位于中国站的“中国-香港”区域，VPC-B位于国际站的“中国-香港”区域，可以通过对等连接连通VPC-A和VPC-B。 若要实现不同区域VPC之间互通，您可以使用云连接，详细内容请参见跨区域VPC互通。 若您仅需要不同区域的几台ECS之间互通，您可以为ECS申请和绑定弹性公网IP，通过EIP实现ECS外网互通。此场景适用于ECS数量较少的情况。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 针对该情况，以下不同情况下的组网配置示例，请您参考对等连接使用示例。 创建不同账户下的对等连接时： 创建不同账户下的VPC对等连接时，如果在账号A下发起创建对等连接请求，需要账号B接受该请求才可以，如果账号B拒绝，则该对等连接创建失败。 为了确保网络安全，请您不要接受来自未知账号的对等连接申请。

步骤四：验证网络互通情况 对等连接路由添加完成后，执行以下操作，验证本端VPC和对端VPC的通信情况。 登录本端VPC内的弹性云服务器，本示例中为ECS-A01。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 执行以下命令，验证ECS-A01和的RDS-B01是否可以通信。 ping 对端服务器的IP地址 命令示例： ping 172.17.0.21 回显类似如下信息，表示ECS-A01与RDS-B01可以通过通信，VPC-A和VPC-B之间的对等连接创建成功。 [root@ecs-A02 ~]# ping 172.17.0.21 PING 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.0.21: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.0.21: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.0.21: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.0.21 ping statistics --- 本示例中ECS-A01和RDS-B01位于同一个安全组内，因此只要VPC-A和VPC-B之间的对等连接创建成功后，就可以实现网络互通。如果您需要连通的实例位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则，具体方法请参见实现不同安全组的实例内网网络互通。 对于更多对等连接网络不通的问题，处理方法请参见为什么对等连接创建完成后不能互通？。

操作场景 不同VPC之间网络不通，您可以通过对等连接连通同一个区域下的VPC。本章节指导用户创建不同账户下的VPC对等连接，即连通的两个VPC位于不同账户下。 本文档以在账户A下的VPC-A和账户B的VPC-B之间创建对等连接为例，实现业务服务器ECS-A01和数据库服务器RDS-B01之间的通信。 创建步骤如下： 步骤一：创建VPC对等连接 步骤二：对端账户接受VPC对等连接 步骤三：添加VPC对等连接路由 步骤四：验证网络互通情况 图1 不同账户下的对等连接组网示例 当前VPC对等连接暂不收取您的任何费用。

流量匹配安全组规则的顺序 一个实例可以关联多个安全组，并且一个安全组内可以包含多个安全组规则。安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略匹配，拒绝策略高于允许策略。如图2所示，以入方向的流量为例，实例的网络流量将按照以下原则匹配安全组规则，入方向和出方向的流量匹配顺序相同。 首先，流量按照安全组的顺序进行匹配。您可以自行调整安全组顺序，安全组序号越小，表示优先级越高。 比如，安全组A的序号为1，安全组B的序号为2，安全组A的优先级高于安全组B，流量优先匹配安全组A内的入方向规则。 其次，流量按照安全组规则的优先级和策略进行匹配。 先按照安全组规则优先级匹配，优先级的数字越小，优先级越高。 比如安全组规则A的优先级为1，安全组规则B的优先级为2，安全组规则A的优先级高于安全组规则B，流量优先匹配安全组规则A。 安全组规则优先级相同的情况下，再按照策略匹配，拒绝策略高于允许策略。 流量按照协议端口和源地址，遍历了所有安全组内的入方向规则。 如果成功匹配某个规则，则执行以下操作： 如果规则的策略是允许，则允许该流量访问安全组内实例。 如果规则的策略是拒绝，则拒绝该流量访问安全组内实例。 如果未匹配上任何规则，则拒绝该流量访问安全组内的实例。 图2 安全组匹配顺序

安全组应用示例 您可以在安全组内放通指定IP地址，允许指定IP地址访问安全组内实例，或者在某个安全组内放通另外一个安全组，实现不同安全组内的实例内网互通。通过安全组规则，您可以灵活控制组网内流量的走向，以确保您的网络安全，以下为您提供了典型组网的安全组配置示例。 控制指定IP地址/安全组访问：如图3所示，在VPC-X中有两个子网Subnet-A和Subnet-B，Subnet-A中的ECS承载同一类业务，需要相同的网络连接请求，因此均关联至安全组Sg-A。同理，Subnet-B中的ECS均关联至另外一个安全组Sg-B。 安全组Sg-A入方向规则A01允许从指定IP地址 (172.16.0.0/24)访问安全组内实例的SSH(22)端口，用于远程登录安全组内的Linux云服务器。 安全组Sg-A入方向规则A02允许安全组内的实例可使用任何协议和端口互相通信，即子网Subnet-A内的ECS网络互通。 安全组Sg-B入方向规则B01允许Sg-A内的实例访问Sg-B内实例的SSH(22)端口，即通过子网Subnet-A的ECS可远程登录Subnet-B内的ECS。 安全组Sg-B入方向规则B02允许安全组内的实例可使用任何协议和端口互相通信，即子网Subnet-B内的ECS网络互通。 两个安全组的出方向规则允许所有流量从安全组内实例流出。 图3 安全组应用示例（控制指定IP地址/安全组访问） 控制虚拟IP访问：如果您通过中间网络实例在不同子网的实例之间转发流量，比如图4中，子网Subnet-A的ECS通过虚拟IP和子网Subnet-B的ECS互相通信。由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。 在VPC-X中有两个子网Subnet-A和Subnet-B，Subnet-A中的ECS关联至安全组Sg-A，Subnet-B中的ECS关联至安全组Sg-B。通过虚拟IP将Subnet-A中的ECS搭建成Keepalived高可用集群，后端服务器ECS-A01和ECS-A02形成主备模式，对外使用虚拟IP进行通信。 安全组Sg-A入方向规则A01允许Sg-B内的实例使用任何协议和端口访问Sg-A内的实例。 安全组Sg-B入方向规则说明如下： 规则B02：允许Sg-A内的实例使用私有IP地址访问Sg-B内实例，但是当前组网下，Sg-A内的实例和Sg-B内的实例通信需要经过虚拟IP，此时虚拟IP的流量无法流入Sg-B内的实例，该规则不适用于当前组网。 规则B01：允许虚拟IP(192.168.0.21)使用任何协议和端口访问Sg-B内的实例。当前组网中，您还可以将源地址设置成子网Subnet-A的网段192.168.0.0/24。 图4 安全组应用示例（控制虚拟IP访问） 控制公网/ELB/数据库访问：如图5所示，在VPC-X中，通过弹性负载均衡ELB和弹性公网IP等服务搭建了一个Web网站，可以面向公网提供服务。为了提升可靠性，每个可用区内都有一套用作Web服务器的ECS和对应的RDS MySQL数据库服务器，其中ELB、Web服务器以及数据库服务器分别属于不同的安全组。您需要参考以下配置，在对应的安全组中放通HTTP(80)、HTTPS(443)以及MySQL(3306)端口。 在ELB的安全组Sg-C中，规则C01和C02允许来自公网的HTTP/HTTPS流量访问ELB实例的80和443端口，源地址为0.0.0.0/0 (任意IP地址)。 在Web服务器的安全组Sg-A中，规则A01和A02允许来自ELB实例的HTTP/HTTPS流量访问Web服务器的80和443端口，源地址为ELB实例的安全组Sg-C。 在数据库服务器的安全组Sg-B中，规则B01允许Web服务器访问数据库，源地址为Web服务器的安全组Sg-A。 图5 安全组应用示例（控制公网/ELB/数据库访问） 更多安全组规则配置示例，请参见安全组配置示例。

安全组的限制 为了确保良好的网络性能体验，建议一个实例最多关联5个安全组。 建议一个安全组关联的实例数量不应超过6000个，否则会引起安全组性能下降。 在一个安全组中，对于入方向规则来说，源地址是安全组的规则数量+源地址是IP地址组的规则数量+端口是不连续端口号的规则数量 ≤ 128条，否则超过数量的安全组规则将不生效。出方向的限制和入方向一致。 源地址是安全组时，包括本安全组和其他安全组。 不连续端口号取值示例为22,25,27。 如果您添加安全组规则时，使用IP地址组或者不连续端口，那么该安全组规则对不同规格云服务器的生效情况存在差异，为了避免您的安全组规则不生效，请您查看表3了解详情。 表3 安全组规则限制 安全组规则 云服务器类型 添加安全组规则时，“源地址”和“目的地址”可选择“IP地址组” 不支持的X86云服务器规格如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） 磁盘增强型（ D1型） GPU加速型（G1型、G2型） 超大内存型（E1型、E2型、ET2型） 添加安全组规则时，“协议端口”可配置为不连续端口号 不支持的X86云服务器规格如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） 磁盘增强型（ D1型） GPU加速型（G1型、G2型） 超大内存型（E1型、E2型、ET2型） 所有鲲鹏云服务器规格不支持配置不连续端口。 如果您在鲲鹏云服务器中添加安全组规则时，使用了不连续端口号，那么除了该条规则不会生效，该规则后的其他规则也不会生效。比如： 您先配置了安全组规则A（不连续端口号22,24），再配置了下一条安全组规则B（独立端口号9096），则安全组规则A和B均不会生效。 X86云服务器规格详情，请参见规格清单（X86）。 鲲鹏云服务器规格详情，请参见规格清单（鲲鹏）。

安全组配置流程 图6 安全组配置流程 表2 安全组配置流程说明 序号 步骤 说明 操作指导 1 创建安全组 创建安全组规则时候，您可以使用系统提供的模板，支持“通用Web服务器”和“开放全部端口”等模板。模板中会预置部分安全组规则，详细信息请参见安全组模板说明。 创建安全组 2 配置安全组规则 安全组创建完成后，如果模板里面的规则不能满足业务要求，您还可以在安全组中添加新的安全组规则，或者修改已有的安全组规则。 添加安全组规则 快速添加多条安全组规则 3 在安全组中添加实例 创建实例的时候，会自动将实例加入一个安全组内，实例将会受到安全组的保护。 如果一个安全组无法满足您的要求，您可以将实例加入多个安全组。 在安全组中添加或移出实例

实践建议 请您遵循白名单原则配置安全组规则，即安全组内实例默认拒绝所有外部的访问请求，通过添加允许规则放通指定的网络流量。 添加安全组规则时，请遵循最小授权原则。例如，放通22端口用于远程登录云服务器时，建议仅允许指定的IP地址登录，谨慎使用0.0.0.0/0（所有IP地址）。 请您尽量保持单个安全组内规则的简洁，通过不同的安全组来管理不同用途的实例。如果您使用一个安全组管理您的所有业务实例，可能会导致单个安全组内的规则过于冗余复杂，增加维护管理成本。 您可以将实例按照用途加入到不同的安全组内。例如，当您具有面向公网提供网站访问的业务时，建议您将运行公网业务的Web服务器加入到同一个安全组，此时仅需要放通对外部提供服务的特定端口，例如80、443等，默认拒绝外部其他的访问请求。同时，请避免在运行公网业务的Web服务器上运行内部业务，例如MySQL、Redis等，建议您将内部业务部署在不需要连通公网的服务器上，并将这些服务器关联至其他安全组内。 对于安全策略相同的多个IP地址，您可以将其添加到一个IP地址组内统一管理，并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时，您只需要在IP地址组内修改IP地址，那么IP地址组对应的安全组规则将会随之变更，无需逐次修改安全组内的规则，降低了安全组管理的难度，提升效率。具体方法，请参见使用IP地址组提升安全组规则管理效率。 请您尽量避免直接修改已运行业务的安全组规则。如果您需要修改使用中的安全组规则，建议您先克隆一个测试安全组，然后在测试安全组上进行调试，确保测试安全组内实例网络正常后，再修改使用中的安全组规则，减少对业务的影响。具体方法，请参见克隆安全组。 您在安全组内新添加实例，或者修改安全组的规则后，此时不需要重启实例，安全组规则会自动生效。 如果您的安全组规则配置完未生效，请参考为什么配置的安全组规则不生效？。

安全组规则 安全组中包括入方向规则和出方向规则，用来控制安全组内实例的入方向和出方向的网络流量。 入方向规则：控制外部请求访问安全组内的实例，即流量流入实例。 出方向规则：控制安全组内实例访问外部的请求，即流量从实例流出。 安全组规则由协议端口、源地址/目的地址等组成，关键信息说明如下： 策略：支持允许或拒绝。当流量的协议、端口、源地址/目的地址成功匹配某个安全组规则后，会对流量执行规则对应的策略，允许或拒绝流量。 优先级：优先级可选范围为1-100，数字越小，规则优先级级别越高。安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略，更多信息请参见流量匹配安全组规则的顺序。 类型：支持设置IPv4和IPv6协议的规则。 协议端口：包括网络协议类型和端口范围。 网络协议：匹配流量的协议类型，支持TCP、UDP、ICMP和GRE协议。 端口范围：匹配流量的目的端口，取值范围为：1～65535。 源地址或目的地址：在入方向中，匹配流量的源地址。在出方向中，匹配流量的目的地址。 您可以使用IP地址、安全组、IP地址组作为源地址或者目的地址。 IP地址：某个固定的IP地址或者网段，支持IPv4和IPv6地址。比如：192.168.10.10/32（IPv4地址）、192.168.1.0/24（IPv4网段）、2407:c080:802:469::/64（IPv6网段） 安全组：目标安全组和当前安全组位于同一区域，表示流量匹配目标安全组内所有实例的私有IP地址。比如：当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组：IP地址组是一个或者多个IP地址的集合，对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。

安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 您在创建实例时（比如云服务器），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以根据业务需求创建自定义安全组并关联至实例。一个实例可以关联多个安全组，多个安全组按照优先级顺序依次匹配流量。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。以图1为例，在区域A内，某客户有一个虚拟私有云VPC-A和子网Subnet-A，在子网Subnet-A中创建一个云服务器ECS-A，并为ECS-A关联一个安全组Sg-A来保护ECS-A的网络安全。 安全组Sg-A的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECS-A。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECS-A。 当ECS-A需要通过EIP访问公网时，由于安全组Sg-A的出方向规则允许所有流量从实例流出，因此ECS-A可以访问公网。 图1 安全组架构图 您可以免费使用安全组资源，当前不收取任何费用。

安全组及规则的工作原理 安全组是有状态的。如果您从实例发送一个出站请求，且该安全组的出方向规则是放通的话，那么无论其入方向规则如何，都将允许该出站请求的响应流量流入。同理，如果该安全组的入方向规则是放通的，那无论出方向规则如何，都将允许入站请求的响应流量可以流出。 安全组使用连接跟踪来标识进出实例的流量信息，入方向安全组的规则变更，对原有流量立即生效。出方向安全组规则的变更，不影响已建立的长连接，只对新建立的连接生效。 当您在安全组内增加、删除、更新规则，或者在安全组内添加、移出实例时，系统会自动清除该安全组内所有实例入方向的连接，详细说明如下： 由入方向流量建立的连接，已建立的长连接将会断开。所有入方向流量立即重新建立连接，并匹配新的安全组入方向规则。 由出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有安全组规则。出方向流量新建立的连接，将会匹配新的安全组出方向规则。 对于已建立的长连接，流量断开后，不会立即建立新的连接，需要超过连接跟踪的老化时间后，才会新建立连接并匹配新的规则。比如，对于已建立的ICMP协议长连接，当流量中断后，需要超过老化时间30s后，将会新建立连接并匹配新的规则，详细说明如下： 不同协议的连接跟踪老化时间不同，比如已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了报文，另一个方向没有收到报文，则连接老化时间是30s。 TCP协议处于不同状态下的连接老化时间也不相同，比如TCP连接处于ESTABLISHED（连接已建立）状态时，老化时间是600s，处于FIN-WAIT（连接即将关闭）状态时，老化时间是30s。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，当请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。因此，默认情况下您一般不用在入方向配置策略为“拒绝”的规则。 表1中的入方向规则，确保安全组内实例内网网络互通，不建议您删除或者修改该安全组规则。 在出方向中，表1中的出方向规则允许所有流量从安全组内实例流出，即实例可访问外部任意IP和端口。如果您删除了该规则，则安全组内的实例无法访问外部，请您谨慎操作。 表1 安全组规则说明 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0

如何规划VPC？ VPC具有区域属性，默认情况下，不同VPC之间网络不通，同一个VPC内的不同子网之间网络互通。 一个VPC 当各业务之间没有网络隔离需求时，您可以只使用一个VPC。 多个VPC 当您在当前区域下部署多套业务，且希望不同业务之间网络隔离，则您可以在当前区域内，为每个业务建立对应的VPC。 如果需要连通相同账户内或者不同账户内，不同VPC之间的网络，您可以根据VPC的区域，选择以下方式： 相同区域内：可以通过对等连接实现。 不同区域内：可以通过云连接来实现。 一个用户在单个区域可创建的虚拟私有云数量默认为5个，如果您需要提升配额，请参见如何申请扩大配额？ 您可以在特定的私有IP网段范围内，选择VPC的网段。VPC网段的选择需要考虑以下两点： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当前VPC与其他VPC、云下数据中心连通时，要避免IP地址冲突。 VPC支持的网段范围如表1所示。 表1 VPC网段 VPC网段 IP地址范围 最大IP地址数 10.0.0.0/8~24 10.0.0.0-10.255.255.255 2^24-2=16777214 172.16.0.0/12~24 172.16.0.0-172.31.255.255 2^20-2=1048574 192.168.0.0/16~24 192.168.0.0-192.168.255.255 2^16-2=65534 表1中介绍的IPv4网段是VPC的主网段，当VPC创建完成后，主网段不支持修改，若主网段不够分配，您可以为虚拟私有云添加IPv4扩展网段。

如何规划子网？ 子网是虚拟私有云内的IP地址集，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。 默认情况下，同一个VPC中，不同子网内的所有实例网络互通。同一个VPC内的子网可以位于不同可用区，不影响通信。比如VPC-A内有子网A01（可用区A）和子网A02（可用区B），子网A01和子网A02的网络默认互通。 子网创建成功后，不支持修改网段，请提前合理规划好子网网段。同一个虚拟私有云内的子网网段不可重复。 创建VPC的时候会创建默认子网，VPC创建完成后，如果您需要创建新的子网，请参见为虚拟私有云创建新的子网。 子网的网段必须在VPC网段范围内，子网网段的掩码长度范围是：所在VPC掩码~29，比如VPC网段为10.0.0.0/16，VPC的掩码为16，则子网的掩码可在16~29范围内选择。 比如VPC-A的网段为10.0.0.0/16，则您可以规划子网A01的网段为10.0.0.0/24，子网A02的网段为10.0.1.0/24，子网A03的网段为10.0.2.0/24。 一个用户在单个区域可创建的虚拟私有云子网数量默认为100个，如果您需要提升配额，请参见如何申请扩大配额？ 当您规划VPC子网时，可以参考以下原则： 同一个VPC内的业务，您可以根据业务模块划分子网，比如在VPC-A内，子网A01用于Web层，子网A02用于管理层，子网A03用于数据层。根据业务划分子网模块，有利于结合网络ACL进行网络防护。 如果您要通过VPN/云专线连通云上VPC和线下IDC的网络，则VPC子网网段和IDC内的网段不能重叠，您在新建VPC及子网的时候务必避开IDC内的网段。

如何连接本地IDC？ 当您有VPC与本地IDC互通的需求时，需要确保VPC的网段和要互通的IDC内网段都不冲突。 如图1所示，比如您在A区域有一个VPC1，B区域有两个VPC，分别为VPC2和VPC3。VPC1需要连接用户A区域IDC，通过VPN走Internet互连。VPC2需要连接用户B区域IDC，通过云专线连接。同时在B区域的VPC3与VPC2通过对等连接建立连接。 图1 IDC连接 此例中，各VPC网段划分需要注意以下几点： VPC1的网段（CIDR）不能与区域A IDC的网段有重叠。 VPC2的网段（CIDR）不能与区域B IDC的网段有重叠。 VPC3和VPC2的网段也不能有重叠。

如何规划路由策略？ 用户创建VPC时，系统会自动为其生成一个默认路由表，创建子网后，子网会自动关联默认路由表。路由表由一系列路由规则组成，用于控制VPC内子网的出流量走向。默认路由表可以确保VPC内子网之间网络互通。 您可以直接使用默认路由表，也可以为具有相同路由规则的子网创建一个自定义路由表，并关联至子网。自定义路由表仅影响子网的出流量走向，入流量仍然匹配默认路由表。 您可以在默认路由表和自定义路由表中添加路由，目的地址、下一跳类型、下一跳地址等信息，来决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统自动添加且无法修改或删除的路由，表示VPC内实例互通。 自定义路由：可以修改和删除的路由。自定义路由的目地地址不能与系统路由的目地地址重叠。 您无法在VPC路由表中添加目的地址相同的两条路由，即使路由的下一跳类型不同也不行。因此不论路由的下一跳是何种类型，路由的优先级均取决于目的地址，遵循最长匹配原则，即优先选择匹配度更高的目的地址进行路由转发。

如何连接Internet？ 少量弹性云服务器通过弹性公网IP连接Internet 当您仅有少量弹性云服务器访问Internet时，您可将弹性公网IP（EIP）绑定到弹性云服务器上，弹性云服务器即可连接公网。您还可以通过动态解绑它，再绑定到NAT网关、弹性负载均衡上，使这些云产品连接公网，管理非常简单。不同弹性公网IP还可以共享带宽，减少您的带宽成本。 更多弹性公网IP（EIP）信息，请参见弹性公网IP简介。 大量弹性云服务器通过NAT网关连接Internet 当您有大量弹性云服务器需要访问Internet时，单纯使用弹性公网IP管理成本过高，公有云NAT网关来帮您，它提供SNAT和DNAT两种功能。SNAT可轻松实现同一VPC内的多个弹性云服务器共享一个或多个弹性公网IP主动访问公网，有效降低管理成本，减少了弹性云服务器的弹性公网IP直接暴露的风险。DNAT功能还可以实现端口级别的转发，将弹性公网IP的端口映射到不同弹性云服务器的端口上，使VPC内多个弹性云服务器共享同一弹性公网IP和带宽面向互联网提供服务。 更多NAT网关信息，请参见《NAT网关用户指南》。 海量高并发场景通过弹性负载均衡连接Internet 对于电商等高并发访问的场景，您可以通过弹性负载均衡（ELB）将访问流量均衡分发到多台弹性云服务器上，支撑海量用户访问。弹性负载均衡采用集群化部署，支持多可用区的同城双活容灾。同时，无缝集成了弹性伸缩，能够根据业务流量自动扩容，保证业务稳定可靠。 更多弹性负载均衡信息，请参见《弹性负载均衡用户指南》。

操作场景 VPC支持同区域或者跨区域克隆安全组，方便您将相同的安全组规则快速应用到不同区域的弹性云服务器上。 当您遇到如下场景时，推荐您使用克隆安全组功能。 假设您已经在区域A创建了一个安全组sg-A，此时您需要为区域B内的弹性云服务器使用与sg-A完全相同的规则，您可以直接将sg-A克隆到区域B，而不需要在区域B重新创建安全组。 如果您的业务需要执行新的安全组规则，您可以克隆原有的安全组作为备份。 如果您需要修改当前业务使用的安全组规则，建议您可以克隆一个测试安全组，在测试环境调测成功后，再修改运行的业务安全组。

约束与限制 您可以在同一个区域内，或者跨区域克隆安全组。 同一个区域内克隆安全组时，可以克隆安全组内的全部规则。 跨区域克隆安全组时，仅支持克隆源/目的地址是IP地址或者本安全组的规则，不支持克隆源/目的地址是其他安全组和IP地址组的规则。 克隆安全组功能是克隆安全组及安全组规则，不支持克隆此安全组关联的实例。 克隆安全组支持在同一个账号内使用，如果您需要跨账号快速创建安全组，则推荐您使用导入/导出安全组规则功能，具体请参见导入和导出安全组规则。

约束与限制 共享流量包费用为一次性支付，即刻生效，不支持指定生效日期。 共享流量包一旦购买不支持修改和退订，到期后也不支持续订。 共享流量包支持包月和包年，到期后剩余的流量将无法再使用。 共享流量包只能针对按需计费（按流量计费）的带宽生效，且需要区分动态BGP和静态BGP类型。动态BGP共享流量包适用于动态BGP按需计费（按流量计费）的独享带宽，静态BGP共享流量包适用于静态BGP按需计费（按流量计费）的独享带宽。 共享流量包不支持对指定的某一个EIP带宽生效。 共享流量包不支持对共享带宽生效。 共享流量包不支持用于优选BGP类型的EIP。

云服务器提供数据库访问服务 安全组默认拒绝所有来自外部的请求，如果您在云服器上部署了数据库服务，允许其他实例通过内网访问数据库服务，则您需要在部署数据库服务器所在的安全组内，添加入方向规则，放通对应的端口，实现其他实例通过内网获取数据库数据的请求。常见的数据库类型机器对应的端口如下： MySQL(3306) Oracle(1521) MS SQL(1433) PostgreSQL(5432) Redis(6379) 表9 云服务器提供数据库访问服务 方向 优先级 策略 类型 协议端口 源地址 描述 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sg-A 允许安全组sg-A内云服务器访问MySQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 1521 安全组：sg-B 允许安全组sg-B内云服务器访问Oracle数据库服务。 入方向 1 允许 IPv4 自定义TCP: 1433 IP地址：172.16.3.21/32 允许私网IP地址为172.16.3.21的云服务器访问MS SQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 5432 IP地址：192.168.0.0/24 允许私网IP地址属于192.168.0.0/24网段的云服务器访问PostgreSQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 6379 IP地址组：ipGroup-A 允许私网IP地址属于IP地址组ipGroup-A范围内的云服务器访问PostgreSQL数据库服务。 本示例中源地址提供的配置仅供参考，请您根据实际需求设置源地址。

实现不同安全组的实例内网网络互通 同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sg-A内的云服务器访问安全组sg-B内的MySQL数据库，您需要通过在安全组sg-B中添加一条入方向规则，允许来自安全组sg-A内云服务器的内网请求进入。 表8 实现不同安全组的实例网络互通 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sg-A 如果您通过中间网络实例在不同子网的实例之间转发流量，如安全组应用示例中的示例二，子网Subnet-A的ECS通过虚拟IP和子网Subnet-B的ECS互相通信。由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

限制云服务器访问外部网站 安全组的出方向规则一般默认全部放通，默认规则如表11所示。如果您需要限制服务器只能访问特定网站，则按照如下要求配置： 首先，您需要遵循白名单规则，在安全组出方向规则中添加指定的端口和IP地址。 表10 限制云服务器访问外部网站 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 自定义TCP: 80 IP地址：132.15.XX.XX 允许安全组内云服务器访问指定的外部网站，网站地址为http://132.15.XX.XX:80。 出方向 1 允许 IPv4 自定义TCP: 443 IP地址：145.117.XX.XX 允许安全组内云服务器访问指定的外部网站，网站地址为https://145.117.XX.XX:443。 其次，删除安全组出方向中原有放通全部流量的规则，如表11所示。 表11 安全组默认出方向规则 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

在本地服务器远程连接云服务器上传或者下载文件（FTP） 安全组默认拒绝所有来自外部的请求，如果您需要在本地服务器远程连接云服务器上传或者下载文件，那么您需要开通FTP(20、21)端口。 表5 在本地服务器远程连接云服务器上传或者下载文件 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 20-21 IP地址：0.0.0.0/0 您需要在弹性云服务器上先安装FTP服务器程序，再查看20、21端口是否正常工作。安装FTP服务器的操作请参见搭建FTP站点（Windows）、搭建FTP站点（Linux）。

通过本地服务器远程登录云服务器 安全组默认拒绝所有来自外部的请求，如果您需要通过本地服务器远程登录安全组内的云服务器，那么需要根据您的云服务器操作系统类型，在安全组入方向添加对应的规则。 通过SSH远程登录Linux云服务器，需要放通SSH(22)端口，请参见表2。 通过RDP远程登录Windows云服务器，需要放通RDP(3389)端口，请参见表3。 表2 通过SSH远程登录Linux云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 22 IP地址：0.0.0.0/0 表3 通过RDP远程登录Windows云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3389 IP地址：0.0.0.0/0 源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器，为了确保安全，建议您遵循最小原则，根据实际情况将源IP设置为特性的IP地址，配置示例请参见表4。 表4 通过特定IP地址远程登录云服务器 云服务器类型 方向 优先级 策略 类型 协议端口 源地址 Linux云服务器 入方向 1 允许 IPv4 自定义TCP: 22 IP地址：192.168.0.0/24 Windows云服务器 入方向 1 允许 IPv4 自定义TCP: 3389 IP地址：10.10.0.0/24

验证网络连通性 ICMP协议用于网络消息的控制和传递，因此在进行一些基本测试操作之前，需要开通ICMP协议访问端口。比如，您需要在某个个人PC上使用ping命令来验证云服务器的网络连通性，则您需要在云服务器所在安全组的入方向添加以下规则，放通ICMP端口。 表7 使用ping命令验证网络连通性 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 ICMP: 全部 IP地址：0.0.0.0/0 入方向 1 允许 IPv6 ICMP: 全部 IP地址：::/0

在云服务器上搭建网站对外提供Web服务 安全组默认拒绝所有来自外部的请求，如果您在云服器上搭建了可供外部访问的网站，则您需要在安全组入方向添加对应的规则，放通对应的端口，例如HTTP(80)、HTTPS(443)。 表6 在云服务器上搭建网站对外提供Web服务 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 入方向 1 允许 IPv4 自定义TCP: 443 IP地址：0.0.0.0/0