华为云用户手册

使用须知 在配置安全组规则之前，您需要先了解以下信息： 不同安全组之间的实例默认网络隔离，无法互相访问。 安全组默认拒绝所有来自外部的请求，即本安全组内的实例网络互通，外部无法访问安全组内的实例。 您需要遵循白名单原则添加安全组入方向规则，允许来自外部的特定请求访问安全组内的实例。 安全组的出方向规则一般默认全部放通，即允许安全组内的实例访问外部。 如果出方向规则被删除，将会导致安全组内实例无法正常访问外部，您可以参考表1重新添加规则。 表1 安全组默认出方向规则 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

约束与限制 当您删除安全组规则前，请您务必了解该操作可能带来的影响，避免误删除造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，表1中的入方向规则，确保安全组内实例的内网网络互通，不建议您删除该安全组规则。 在出方向中，表1中的出方向规则，允许所有流量从安全组内实例流出。如果您删除了该规则，则安全组内的实例无法访问外部，请您谨慎操作。 表1 安全组规则说明 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0

操作场景 安全组实际是网络流量访问策略，由入方向规则和出方向规则共同组成。您可以参考以下章节添加安全组规则，用来控制流入/流出安全组内实例（如ECS）的流量。 您在创建实例时（如ECS），必须将实例加入一个安全组，如果此前您还未创建任何安全组，那么系统会自动为您创建默认安全组并关联至该实例。除了默认安全组，您还可以参考以下操作创建自定义安全组并配置安全组规则实现特定业务访问需求。了解安全组的更多信息，请参见安全组和安全组规则。

安全组模板说明 创建安全组的时候，系统为您提供了几种常见的安全组模板。安全组模板中预先配置了入方向规则和出方向规则，您可以根据业务选择所需的模板，快速完成安全组的创建。安全组模板的详细说明如表1所示。 表1 安全组模板说明 模板名称 规则类别 类型和协议端口 源地址/目的地址 规则用途 模板适用场景 通用Web服务器 入方向规则 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的SSH(22)端口，用于远程登录Linux云服务器。 远程登录云服务器 在云服务器内使用ping命令测试网络连通性 云服务器用作Web服务器对外提供网站访问服务 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的RDP(3389)端口，用于远程登录Windows云服务器。 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的HTTP(80)端口，用于通过HTTP协议访问网站。 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的HTTPS(443)端口，用于通过HTTPS协议访问网站。 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议，允许外部所有IP访问安全组内云服务器的所有端口，用于通过ping命令测试云服务器的网络连通性。 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议，允许本安全组内云服务器的请求进入，即该条规则确保安全组内的云服务器网络互通。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云服务器可访问外部IP的所有端口。 开放全部端口 入方向规则 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议，允许本安全组内云服务器的请求进入，即该条规则确保安全组内的云服务器网络互通。 开放安全组内云服务器所有端口，此操作存在一定安全风险，请您谨慎选择。 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许外部所有IP访问安全组内云服务器的所有端口。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云服务器可访问外部IP的所有端口。 快速添加规则 入方向规则 全部 (IPv4) 全部 (IPv6) sg-xxx 针对全部协议，允许本安全组内云服务器的请求进入，即该条规则确保安全组内的云服务器网络互通。 您可以勾选常见协议端口，在入方向快速添加规则放通对应的协议及端口。 若您未勾选任何协议端口，则不会放通任何端口。请在安全组创建完成后，参考添加安全组规则自行添加所需的规则。 自定义选择的端口和协议 0.0.0.0/0 针对TCP或者ICMP协议，允许外部所有IP访问安全组内云服务器的指定端口，用于实现不同的用途。 出方向规则 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允允许安全组内的云服务器可访问外部任意IP和端口。

约束与限制 共享流量包费用为一次性支付，即刻生效，不支持指定生效日期。 共享流量包一旦购买不支持修改和退订，到期后也不支持续订。 共享流量包支持包月和包年，到期后剩余的流量将无法再使用。 共享流量包只能针对按需计费（按流量计费）的带宽生效，且需要区分动态BGP和静态BGP类型。动态BGP共享流量包适用于动态BGP按需计费（按流量计费）的独享带宽，静态BGP共享流量包适用于静态BGP按需计费（按流量计费）的独享带宽。 共享流量包不支持对指定的某一个EIP带宽生效。 共享流量包不支持对共享带宽生效。 共享流量包不支持用于优选BGP类型的EIP。

注意事项 子网创建成功后，有5个系统保留地址您不能使用。以192.168.0.0/24的子网为例，默认的系统保留地址如下： 192.168.0.0：网络标识符，私有IP地址范围开始，不作分配 192.168.0.1：网关地址 192.168.0.253：系统接口，用于VPC对外通信 192.168.0.254：DHCP服务地址 192.168.0.255：广播地址 如果您在创建子网时选择了自定义配置，系统保留地址可能与上面默认的不同，系统会根据您的配置进行自动分配。

流量匹配网络ACL规则的顺序 一个子网只能绑定一个网络ACL，当网络ACL存在多条规则时，流量按照规则的优先级进行匹配。优先级的数字越小，优先级越高，越先执行该规则。默认规则优先级的值为“*”，优先级最低。 以入方向的流量为例，子网的网络流量将按照以下原则匹配网络ACL规则，入方向和出方向的流量匹配顺序相同。 当流量匹配上自定义规则，则根据规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入子网。 当策略为允许时，则允许该流量流入子网。 当流量未匹配上任何自定义规则，则执行默认规则，拒绝流量流入子网。 图2 网络ACL匹配顺序

应用场景 由于应用层需要对外提供服务，因此入方向规则必须放通所有地址，如何防止恶意用户的非正常访问呢？ 解决方案：通过网络ACL添加拒绝规则，拒绝恶意IP的访问。 隔离具有漏洞的应用端口，比如Wanna Cry，关闭445端口。 解决方案：通过网络ACL添加拒绝规则，拒绝恶意协议和端口，比如TCP：445端口。 子网内的通信无防护诉求，仅有子网间的访问限制。 解决方案：通过网络ACL设置子网间的访问规则 对访问频繁的应用，调整安全规则顺序，提高性能。 解决方案：网络ACL支持规则编排，可以把访问频繁的规则置顶。

网络ACL基本信息 您的VPC默认没有网络ACL。当您需要时，可以创建自定义的网络ACL并将其与子网关联。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。 网络ACL可以同时关联多个子网，但一个子网只能关联一个网络ACL。 每个新创建的网络ACL最初都为未激活状态，直至您关联子网为止。 网络ACL是有状态的。如果您从实例发送一个出站请求，且该网络ACL的出方向规则是放通的话，那么无论其入方向规则如何，都将允许该出站请求的响应流量流入。同理，如果该网络ACL的入方向规则是放通的，那无论出方向规则如何，都将允许该入站请求的响应流量可以流出。 网络ACL使用连接跟踪来标识进出实例的流量信息，入方向和出方向网络ACL规则配置变更，对原有流量不会立即生效。 当您在网络ACL内增加、删除、更新规则，或者在网络ACL内添加、移出子网时，由入方向/出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有网络ACL规则。入方向/出方向流量新建立的连接，将会匹配新的网络ACL出方向规则。 对于已建立的长连接，流量断开后，不会立即建立新的连接，需要超过连接跟踪的老化时间后，才会新建立连接并匹配新的规则。比如，对于已建立的ICMP协议长连接，当流量中断后，需要超过老化时间30s后，将会新建立连接并匹配新的规则，详细说明如下： 不同协议的连接跟踪老化时间不同，比如已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了报文，另一个方向没有收到报文，则连接老化时间是30s。 TCP协议处于不同状态下的连接老化时间也不相同，比如TCP连接处于ESTABLISHED（连接已建立）状态时，老化时间是600s，处于FIN-WAIT（连接即将关闭）状态时，老化时间是30s。

网络ACL默认规则 每个网络ACL都包含一组默认规则，如下所示： 默认放通同一子网内的流量。 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。 默认放通目的IP地址为169.254.169.254/32，TCP端口为80的metadata报文。用于获取元数据。 默认放通公共服务预留网段资源的报文，例如目的网段为100.125.0.0/16的报文。 除上述默认放通的流量外，其余出入子网的流量全部拒绝，如表1所示。该规则不能修改和删除。 表1 网络ACL默认规则 方向 优先级 动作 协议 源地址 目的地址 说明 入方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有入站流量 出方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有出站流量

操作场景 您可以在Excel格式文件中填写安全组规则参数，并将规则导入到安全组内。同时，您可以将已有安全组的规则导出至Excel格式文件中。 当您遇到如下场景时，推荐您使用导入和导出安全组功能。 本地备份安全组规则：如果您想在本地备份安全组规则，可以导出安全组内的规则，将安全组的出方向、入方向规则信息导出为Excel格式文件。 快速创建和恢复安全组规则：如果您想快速创建或恢复安全组规则，可以将安全组规则文件导入到已有安全组中。 快速迁移安全组规则：将某个安全组的规则快速应用到其他安全组。 批量修改安全组规则：将当前安全组的规则导出后，在Excel文件批量修改完成后，重新导入即可。

约束与限制 导入安全组规则时，请根据格式要求填写要求的参数，不能新增参数或者修改已有参数名称，否则会导入失败。 导入安全组规则时，当源地址/目的地址设置为安全组或者IP地址组时，请务必填写正确的ID信息，否则会导入失败。 当导入的安全组规则与安全组内已有规则重复时，系统会自动帮您过滤掉重复的规则，不影响导入。 对于同一个方向的安全组规则，当类型、协议端口、源地址/目的地址均相同时，不允许这两条规则的策略相反，即不能规则A设置为允许，规则B设置为拒绝，示例如表1所示。 当表格中的规则与安全组内已有规则的策略冲突时，安全组会导入失败，请根据界面提示排查修改。 当表格中的规则策略冲突时，安全组会导入失败，请根据界面提示排查修改。 表1 规则策略相反示例 规则 方向 优先级 策略 类型 协议端口 目的地址 规则A 入方向 1 允许 IPv4 TCP：22 0.0.0.0/0 规则B 入方向 5 拒绝 IPv4 TCP：22 0.0.0.0/0 当您在同一个账号内，跨区域导入安全组规则时，即将区域A的安全组规则导入到区域B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。 当您跨账号导入安全组规则时，即将账号A的安全组规则导入到账号B时，不支持导入授权安全组访问或者授权IP地址组访问的安全组规则。

流量匹配安全组和网络ACL 规则的顺序 当安全组和网络ACL同时存在时，流量优先匹配网络ACL的规则，然后匹配安全组规则。如图2所示，以入方向流量为例，为您详细介绍安全组和网络ACL规则的匹配顺序。 流量优先匹配网络ACL规则： 当流量未匹配上任何自定义网络ACL规则，则流量执行默认网络ACL规则，拒绝流量流入子网。 当流量匹配上自定义网络ACL规则，则根据网络ACL规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入子网。 当策略为允许时，则允许该流量流入子网。 当流量通过网络ACL进入子网时，流量进一步匹配安全组规则： 当实例关联多个安全组时，流量按照安全组的顺序进行匹配。首先匹配第一个安全组内的规则。 当流量未匹配上任何安全组规则时，则拒绝该流量进入实例。 当流量匹配上安全组规则，则根据安全组规则策略决定流量走向。 当策略为拒绝时，则拒绝该流量流入实例。 当策略为允许时，则允许该流量流入实例。 对于未成功匹配第一个安全组内规则的流量，继续匹配第二个安全组内的规则。 当遍历了所有安全组的入方向规则，流量均没有匹配上时，则拒绝该流量流入实例。 图2 网络ACL和安全组的匹配顺序 如图3所示，以下为您提供具体的流量匹配示例。VPC-A内有子网Subnet-A，Subnet-A内有两台弹性云服务器ECS-A和ECS-B。安全防护策略如下： 子网Subnet-A上关联了网络ACL Fw-A。Fw-A中的默认规则不能删除，流量优先匹配已添加的自定义规则，网络ACL规则示例请参见表2。 弹性云服务器ECS-A和ECS-B由安全组Sg-A来防护。创建安全组Sg-A时，您可以选择已有模板，模板中会自带部分安全组规则。您可以对系统自带的规则进行修改或者删除，也可以添加自定义规则，安全组规则示例请参见表3。 图3 网络ACL和安全组的匹配顺序示例 表2 网络ACL Fw-A规则说明 方向 优先级 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 说明 入方向 1 IPv4 拒绝 全部 10.0.1.0/24 全部 0.0.0.0/0 全部 自定义网络ACL规则A01：拒绝来自特定IP地址10.0.1.0/24网段的流量流入子网内 入方向 2 IPv4 允许 TCP 0.0.0.0/0 全部 0.0.0.0/0 80-85 自定义网络ACL规则A02：允许所有流量访问子网内实例的80-85端口 入方向 * -- 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认网络ACL规则：拒绝所有流量流入子网 出方向 1 IPv4 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 自定义网络ACL规则A03：允许所有流量从子网流出 出方向 * -- 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认网络ACL规则：拒绝所有流量从子网流出 表3 安全组Sg-A规则说明 方向 优先级 策略 类型 协议端口 源地址/目的地址 描述 入方向 1 允许 IPv4 自定义TCP：80 源地址：0.0.0.0/0 安全组规则A01：针对全部IPv4协议，允许所有流量访问安全组内实例的80端口 入方向 1 拒绝 IPv4 自定义TCP：82-83 源地址：0.0.0.0/0 安全组规则A02：针对全部IPv4协议，拒绝所有流量访问安全组内实例的82和83端口 入方向 1 允许 IPv4 全部 源地址：当前安全组（Sg-A） 安全组规则A03：针对全部IPv4协议，确保安全组内实例网络互通 入方向 1 允许 IPv6 全部 源地址：当前安全组（Sg-A） 安全组规则A04：针对全部IPv6协议，确保安全组内实例网络互通 出方向 1 允许 IPv4 全部 目的地址：0.0.0.0/0 安全组规则A05：针对全部IPv4协议，允许所有流量从安全组内实例流出 出方向 1 允许 IPv6 全部 目的地址：::/0 安全组规则A06：针对全部IPv6协议，允许所有流量从安全组内实例流出 基于以上场景，不同入方向报文对规则的匹配情况如下： 报文01：报文01无法匹配上Fw-A中的自定义网络ACL规则，则匹配默认规则，拒绝该报文流入子网。 报文02：报文02可匹配上Fw-A中的自定义网络ACL规则A01，根据规则策略，拒绝该报文流入子网。 报文03：报文03可匹配上Fw-A中的自定义网络ACL规则A02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，无法匹配上Sg-A的任何入方向规则，拒绝该报文流入实例。 报文04：报文04可匹配上Fw-A中的自定义网络ACL规则02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，可匹配上Sg-A的安全组规则A02，根据规则策略，拒绝该报文流入实例。 报文05：报文05可匹配上Fw-A中的自定义网络ACL规则02，根据规则策略，允许该报文流入子网。该报文继续匹配安全组规则，可匹配上Sg-A的安全组规则A01，根据规则策略，允许该报文流入实例。

安全组与网络ACL的区别说明 表1为您提供了安全组和网络ACL的详细区别。 表1 安全组和网络ACL区别 对比项 安全组 网络ACL 防护范围 实例级别：防护安全组内的实例，比如弹性云服务器、数据库、云容器实例等。 子网级别：防护整个子网，子网内的所有实例都会受到网络ACL的保护。 是否必选 必选，实例必须至少加入到一个安全组内。 非必选，您可以根据业务需求选择是否为子网关联网络ACL。 规则策略 安全组支持设置允许和拒绝策略。 允许策略：对于匹配成功的流量，允许流入/流出实例。 拒绝策略：对于匹配成功的流量，拒绝流入/流出实例。 网络ACL支持设置允许和拒绝策略。 允许策略：对于匹配成功的流量，允许流入/流出子网。 拒绝策略：对于匹配成功的流量，拒绝流入/流出子网。 规则生效顺序 当实例上绑定多个安全组，并且安全组中存在多条规则时，生效顺序如下： 首先根据实例绑定安全组的顺序生效，排在前面的安全组优先级高。 然后根据安全组内规则的优先级生效，优先级的数字越小，优先级越高。 当优先级相同的情况下，再按照策略匹配，拒绝策略高于允许策略。 一个子网只能绑定一个网络ACL，当网络ACL存在多条规则时，根据规则的优先级进行生效，优先级数字越小，优先级越高。 应用操作 创建实例（比如弹性云服务器）时，必须选择一个安全组，如果当前用户名下没有安全组，则系统会自动创建默认安全组。 实例创建完成后，您可以执行以下操作： 在安全组控制台，添加/移出实例。 在实例控制台，为实例添加/移除安全组。 创建子网没有网络ACL选项，需要先创建网络ACL，添加出入规则，并在网络ACL内关联子网。当网络ACL状态为已开启，将会对子网生效。 报文组 支持报文三元组（即协议、端口和源/目的地址）过滤。 支持报文五元组（即协议、源端口、目的端口、源地址和目的地址）过滤。

通过VPC对等连接实现两个重叠网段VPC子网网络互通 以图4为例，由于VPC-A和VPC-B的网段重叠，并且Subnet-A01和Subnet-B01子网网段重叠，那么您无法通过对等连接实现整个VPC-A和VPC-B之间的网络通信。此种情况下，对等连接可以连通非重叠子网Subnet-A02和Subnet-B02之间的网络。 图4 相互对等的两个重叠网段VPC子网(IPv4) 表8 对等连接关系说明-相互对等的两个重叠网段VPC子网(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B 表9 VPC路由表配置说明-相互对等的两个重叠网段VPC子网(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.2.0/24 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为Subnet-B02网段，下一跳指向Peering-AB的路由。 rtb-VPC-B 10.0.1.0/24 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为Subnet-A02网段，下一跳指向Peering-AB的路由。

无效的VPC对等连接 当VPC网段重叠，且全部子网重叠时，不支持使用对等连接。以网段和子网完全重叠的VPC-A和VPC-B为例，假如在VPC-A和VPC-B之间创建对等连接，那么路由表会由于目的地址重叠而导致流量传输错误。 在rtb-VPC-A路由表中，Local路由和对等连接路由的目的地址重叠，VPC-A往VPC-B的流量，会优先匹配Local路由，流量在VPC-A内部转发，无法送达VPC-B。 图6 VPC网段重叠，且全部子网重叠(IPv4) 表12 VPC路由表配置说明-VPC网段重叠，且全部子网重叠(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 10.0.1.0/24 Local 系统路由 10.0.0.0/16 (VPC-B) Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B的网段，下一跳指向Peering-AB的路由。 rtb-VPC-B 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 10.0.1.0/24 Local 系统路由 10.0.0.0/16 (VPC-A) Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A的网段，下一跳指向Peering-AB的路由。

通过VPC对等连接实现一个中心VPC的ECS与两个VPC的ECS对等 以图5为例，由于VPC-B和VPC-C的网段重叠，并且Subnet-B01和Subnet-C01子网网段重叠，那么您无法同时创建VPC-A和VPC-B、VPC-A和VPC-C之间的对等连接。您可以创建ECS之间的对等连接： 通过对等连接Peering-AB可以连通子网Subnet-B01内的ECS和Subnet-A01内的ECS。 通过对等连接Peering-AC可以连通子网Subnet-C01内的ECS和Subnet-A01内的ECS。 图5 一个中心VPC的ECS与两个VPC的ECS对等(IPv4) 表10 对等连接关系说明-一个中心VPC的ECS与两个VPC的ECS对等(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A内ECS-A01-1和VPC-B内ECS-B01对等 Peering-AB VPC-A VPC-B VPC-A内ECS-A01-2和VPC-C内ECS-C01对等 Peering-AC VPC-A VPC-C 表11 VPC路由表配置说明-一个中心VPC的ECS与两个VPC的ECS对等(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.139/32 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为ECS-B01的私有IP地址，下一跳指向Peering-AB的路由。 10.0.0.71/32 Peering-AC 自定义 在VPC-A的路由表中，添加目的地址为ECS-C01的私有IP地址，下一跳指向Peering-AC的路由。 rtb-VPC-B 172.16.0.111/32 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为ECS-A01-1的私有IP地址，下一跳指向Peering-AB的路由。 rtb-VPC-C 172.16.0.218/32 Peering-AC 自定义 在VPC-C的路由表中，添加目的地址为ECS-A01-2的私有IP地址，下一跳指向Peering-AC的路由。

通过VPC对等连接实现一个中心VPC与多个VPC之间网络互通 以图3为例，通过VPC对等连接，实现VPC-B、VPC-C、VPC-D、VPC-E、VPC-F、VPC-G和中心VPC-A之间的网络通信。 图3 一个中心VPC与多个VPC对等(IPv4) 表6 对等连接关系说明-一个中心VPC与多个VPC对等(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B VPC-A和VPC-C对等 Peering-AC VPC-A VPC-C VPC-A和VPC-D对等 Peering-AD VPC-A VPC-D VPC-A和VPC-E对等 Peering-AE VPC-A VPC-E VPC-A和VPC-F对等 Peering-AF VPC-A VPC-F VPC-A和VPC-G对等 Peering-AG VPC-A VPC-G 表7 VPC路由表配置说明-一个中心VPC与多个VPC对等(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/16 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B网段，下一跳指向Peering-AB的路由。 192.168.0.0/16 Peering-AC 自定义 在VPC-A的路由表中，添加目的地址为VPC-C网段，下一跳指向Peering-AC的路由。 10.2.0.0/16 Peering-AD 自定义 在VPC-A的路由表中，添加目的地址为VPC-D网段，下一跳指向Peering-AD的路由。 10.3.0.0/16 Peering-AE 自定义 在VPC-A的路由表中，添加目的地址为VPC-E网段，下一跳指向Peering-AE的路由。 172.17.0.0/16 Peering-AF 自定义 在VPC-A的路由表中，添加目的地址为VPC-F网段，下一跳指向Peering-AF的路由。 10.4.0.0/16 Peering-AG 自定义 在VPC-A的路由表中，添加目的地址为VPC-G网段，下一跳指向Peering-AG的路由。 rtb-VPC-B 172.16.0.0/16 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AB的路由。 rtb-VPC-C 172.16.0.0/16 Peering-AC 自定义 在VPC-C的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AC的路由。 rtb-VPC-D 172.16.0.0/16 Peering-AD 自定义 在VPC-D的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AD的路由。 rtb-VPC-E 172.16.0.0/16 Peering-AE 自定义 在VPC-E的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AE的路由。 rtb-VPC-F 172.16.0.0/16 Peering-AF 自定义 在VPC-F的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AF的路由。 rtb-VPC-G 172.16.0.0/16 Peering-AG 自定义 在VPC-G的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AG的路由。

通过VPC对等连接实现多个VPC网络互通 两个VPC网络互通：以图1为例，通过VPC对等连接，连通VPC-A和VPC-B之间的网络。 图1 相互对等的两个VPC(IPv4) 表2 对等连接关系说明-相互对等的两个VPC(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B 表3 VPC路由表配置说明-相互对等的两个VPC(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/16 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B网段，下一跳指向Peering-AB的路由。 rtb-VPC-B 172.16.0.0/16 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AB的路由。 多个VPC网络互通：以图2为例，通过VPC对等连接，连通VPC-A、VPC-B和VPC-C之间的网络。 图2 相互对等的多个VPC(IPv4) 表4 对等连接关系说明-相互对等的多个VPC(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPC-A和VPC-B对等 Peering-AB VPC-A VPC-B VPC-A和VPC-C对等 Peering-AC VPC-A VPC-C VPC-B和VPC-C对等 Peering-BC VPC-B VPC-C 表5 VPC路由表配置说明-相互对等的多个VPC(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtb-VPC-A 10.0.0.0/16 Peering-AB 自定义 在VPC-A的路由表中，添加目的地址为VPC-B网段，下一跳指向Peering-AB的路由。 192.168.0.0/16 Peering-AC 自定义 在VPC-A的路由表中，添加目的地址为VPC-C网段，下一跳指向Peering-AC的路由。 rtb-VPC-B 172.16.0.0/16 Peering-AB 自定义 在VPC-B的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AB的路由。 192.168.0.0/16 Peering-BC 自定义 在VPC-B的路由表中，添加目的地址为VPC-C网段，下一跳指向Peering-BC的路由。 rtb-VPC-C 172.16.0.0/16 Peering-AC 自定义 在VPC-C的路由表中，添加目的地址为VPC-A网段，下一跳指向Peering-AC的路由。 10.0.0.0/16 Peering-BC 自定义 在VPC-C的路由表中，添加目的地址为VPC-B网段，下一跳指向Peering-BC的路由。 如果您需要通信的VPC数量多，比如需要连通10个VPC，那么对等连接建立的组网会比较复杂，推荐您使用企业路由器服务。您可以将10个VPC接入企业路由器中，构建结构简单的中心辐射型组网，详细信息请参见通过企业路由器实现同区域VPC互通。

约束与限制 当前IPv6双栈网络暂不收费，后续定价会根据运营商收费策略的变化进行调整。 云耀云服务器L实例、旧版云耀云服务器不支持IPv6网络。 弹性云服务器ECS部分规格支持IPv6网络，只有选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络，请务必选择支持的区域和规格。 您可以通过以下方法查看ECS哪些规格支持IPv6： 通过ECS控制台查看：单击“创建弹性云服务器”，进入创建页面查看ECS规格列表。 当ECS规格列表中包含“IPv6”参数，且取值为“是”时，表示该规格的ECS支持IPv6。 通过ECS文档查看IPv6是否支持。 以通用计算增强型ECS为例，需要通过ECS文档查看通用计算增强型ECS支持IPv6的规格，步骤如下： 打开《ECS产品介绍》中的ECS规格清单页面。 在“通用计算增强型”小结，单击“各规格详细介绍请参见通用计算增强型”中的超链接。 图2 ECS规格清单页面 进入“通用计算增强型”章节，在表格“通用计算增强型实例特点”的“网络”列中，查看支持IPv6的规格。 图3 ECS通用计算增强型

IPv4/IPv6双栈网络的应用场景 当您的ECS规格支持IPv6，您可以搭建IPv4/IPv6双栈网络实现内网和公网通信。IPv4/IPv6双栈网络的应用场景说明和资源规划如表2所示。 表2 IPv4/IPv6双栈网络的应用场景及资源规划 应用场景 场景说明 子网 ECS IPv6内网通信 您在ECS上部署应用，需要与其他系统（比如数据库）之间使用IPV6进行内网互访 IPv4网段 IPv6网段 IPv4私有地址：用于IPv4内网通信 IPv6地址：用于IPv6内网通信 IPv6公网通信 您在ECS上部署应用并面向公网客户端提供服务，支持客户端通过IPv6地址访问 IPv4网段 IPv6网段 IPv4私有地址+IPv4 EIP地址：用于IPv4公网通信 IPv6地址+共享带宽：用于IPv6公网通信 您在ECS上部署应用并面向公网客户端提供服务，既要支持客户端通过IPv6地址访问，还要对这些访问来源进行数据分析 如果您的ECS规格不支持IPv6，您可以通过开启EIP的IPv6转换功能，实现IPv6公网通信，具体如表3所示。 表3 IPv6 EIP的应用场景及资源规划 应用场景 场景示例 子网 ECS IPv6公网通信 您在ECS上部署应用并面向公网客户端提供服务，支持客户端通过IPv6地址访问 IPv4网段 IPv4私有地址 IPv4 EIP地址（开启IPv6转换）：用于IPv4和IPv6公网通信 图4 IPv6网络应用场景及资源规划

IPv6网络操作指导 IPv6网络的操作与IPv4网络基本相同，仅部分功能配置存在差异，表4中为您提供IPv6网络配置指导。 表4 IPv6网络操作指导 操作场景 说明 指导 创建IPv6子网 创建子网时，勾选“开启IPv6”，则系统会自动为子网分配IPv6网段。 暂不支持自定义IPv6网段。 子网的IPv6功能开启后暂不支持关闭。 对于已创建完成的子网，如果未开启IPv6功能，您可以选择开启。 为虚拟私有云创建新的子网 查看子网中已使用的IPv6地址 在子网列表中单击子网名称，在“IP地址管理”页签可以查看已经使用的IPv4地址和IPv6地址。 查看子网内IP地址的用途 添加IPv6安全组规则 添加安全组规则时，类型选择“IPv6”，源地址/目的地址填写IPv6地址。 添加安全组规则 添加IPv6网络ACL规则 添加网络ACL规则时，类型选择“IPv6”，源地址/目的地址填写IPv6地址。 添加网络ACL规则 购买IPv6弹性公网IP 在购买EIP时 ，勾选“IPv6转换”，或者在EIP列表中，为已有IPv4 EIP执行“开启IPv6转换”操作。开启IPv6转换后，则系统为您提供IPv4和IPv6 EIP地址。 管理IPv6弹性公网IP 将IPv6弹性公网IP/IPv6地址添加到公网带宽中 购买共享带宽后，你可以将IPv6 EIP地址或者实例的IPv6地址添加到共享带宽中。 添加弹性公网IP到共享带宽 在VPC路由表中添加IPv6自定义路由 添加自定义路由时，目的地址和下一跳地址可以配置IPv4网段或IPv6网段。 如果目的地址是IPv6网段，则下一跳地址暂时只能使用同一VPC内的地址。 路由的目的地址为IPv6网段时，对应下一跳类型仅支持ECS实例、扩展网卡、 虚拟IP，同时下一跳资源需要具备IPv6地址。 添加自定义路由 申请IPv6虚拟IP地址 当VPC子网开启IPv6后，申请虚拟IP时，类型可以选择“IPv6”。 申请虚拟IP地址

IPv4/IPv6双栈网络介绍 IPv4/IPv6双栈网络，表示为您的实例提供两个版本的IP地址，包括IPv4 IP地址和IPv6 IP地址。以ECS为例，IPv4/IPv6双栈网络架构如图1所示。 图1 IPv6双栈网络架构图(VPC/EIP) 表1 IPv6双栈网络构建说明(VPC/EIP) 步骤 说明 1 在创建虚拟私有云VPC子网时，开启IPv6功能，则系统会自动为子网分配IPv6网段，当前不支持自定义IPv6网段。 2 相同VPC内的不同子网之间网络默认互通，网络ACL可以防护子网的网络安全，安全组防护实例的网络安全。 不同网络ACL之间网络隔离，如果两个子网关联了不同的网络ACL，则需要添加规则放通不同的网络ACL。 不同安全组之间网络隔离，实例都必须关联安全组，如果两个实例关联了不同的安全组，则需要添加规则放通不同的安全组。 当网络ACL和安全组均放通后，实例之间可以内网互通，即ECS-A和ECS-B通过内网可以互相通信。 使用IPv4私有IP地址，实现ECS内网通信。 使用IPv6 IP地址，实现双栈ECS内网通信。 3 实现IPv4公网通信时，需要创建弹性公网IP(EIP)，并将EIP绑定到实例上。一个EIP可以绑定一个实例。 比如，将EIP-A绑定至ECS-A，ECS-A可以通过EIP-A连通公网。将EIP-B绑定至ECS-B，ECS-B可以通过EIP-B连通公网。 4 实现IPv6公网通信时，需要创建EIP共享带宽，并将实例的IPv6地址添加至共享带宽即可。一个共享带宽中可以添加多个IP。 比如，将ECS-A和ECS-B的IPv6地址分别添加至共享带宽中，ECS-A和ECS-B可以通过IPv6地址连通公网。

操作场景 您可以通过使用该功能，在安全组中一键放通常见端口。适用于以下场景： 远程登录云服务器 在云服务器内使用ping命令测试网络连通性 云服务器用作Web服务器对外提供网站访问服务 您可以一键放通的常见端口详细说明如表1所示。 表1 一键放通常见端口说明 方向 类型和协议端口 源地址/目的地址 规则用途 入方向 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的SSH(22)端口，用于远程登录Linux云服务器。 TCP: 3389 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的RDP(3389)端口，用于远程登录Windows云服务器。 TCP: 80 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的HTTP(80)端口，用于通过HTTP协议访问网站。 TCP: 443 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的HTTPS(443)端口，用于通过HTTPS协议访问网站。 TCP : 20-21 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议，允许外部所有IP访问安全组内云服务器的FTP(20和21)端口，用于远程连接云服务器上传或者下载文件。 ICMP: 全部 (IPv4) 0.0.0.0/0 针对ICMP(IPv4)协议，允许外部所有IP访问安全组内云服务器的所有端口，用于通过ping命令测试云服务器的网络连通性。 出方向 全部 (IPv4) 全部 (IPv6) 0.0.0.0/0 ::/0 针对全部协议，允许安全组内的云服务器可访问外部任意IP和端口。

默认安全组应用示例 如图2所示，VPC-X内有三个子网，其中子网Subnet-A和Subnet-B中的ECS均关联默认安全组，默认安全组仅确保安全组内实例互通，默认拒绝所有外部请求进入实例。ECS-A01、ECS-A02、ECS-B01和ECS-B02之间内网网络互通，但是无法接受来自NAT网关的流量。 如果您需要放通NAT网关的流量，您可以在默认安全组中添加对应的规则，或者创建新的安全组，并关联给实例使用。 图2 默认安全组应用示例

步骤三：验证网络互通情况 对等连接路由添加完成后，执行以下操作，验证本端VPC和对端VPC的通信情况。 登录本端VPC内的弹性云服务器，本示例中为ECS-A01。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 执行以下命令，验证ECS-A01和的RDS-B01是否可以通信。 ping 对端服务器的IP地址 命令示例： ping 172.17.0.21 回显类似如下信息，表示ECS-A01与RDS-B01可以通过通信，VPC-A和VPC-B之间的对等连接创建成功。 [root@ecs-A02 ~]# ping 172.17.0.21 PING 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.0.21: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.0.21: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.0.21: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.0.21 ping statistics --- 本示例中ECS-A01和RDS-B01位于同一个安全组内，因此只要VPC-A和VPC-B之间的对等连接创建成功后，就可以实现网络互通。如果您需要连通的实例位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则，具体方法请参见实现不同安全组的实例内网网络互通。 对于更多对等连接网络不通的问题，处理方法请参见为什么对等连接创建完成后不能互通？。

约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 您可以通过对等连接连通位于华为云中国站和国际站相同区域的VPC，比如VPC-A位于中国站的“中国-香港”区域，VPC-B位于国际站的“中国-香港”区域，可以通过对等连接连通VPC-A和VPC-B。 若要实现不同区域VPC之间互通，您可以使用云连接，详细内容请参见跨区域VPC互通。 若您仅需要不同区域的几台ECS之间互通，您可以为ECS申请和绑定弹性公网IP，通过EIP实现ECS外网互通。此场景适用于ECS数量较少的情况。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 针对该情况，以下不同情况下的组网配置示例，请您参考对等连接使用示例。

步骤一：创建VPC对等连接 进入对等连接列表页面。 在页面右上角区域，单击“创建对等连接”。 弹出“创建对等连接”对话框。 根据界面提示设置对等连接参数。 参数详细说明请参见表1。 图2 创建对等连接 表1 创建对等连接-参数说明 参数 说明 取值样例 对等连接名称 必选参数。 此处填写对等连接的名称。 由中文字符、英文字母、数字、中划线、下划线等构成，一般不超过64个字符。 peering-AB 本端VPC 必选参数。 此处为对等连接一端的VPC，可以在下拉框中选择已有VPC作为本端VPC。 VPC-A 本端VPC网段 此处显示已选择的本端VPC的网段。 172.16.0.0/16 账户 必选参数。 当前账户：当对等连接中的对端VPC和本端VPC位于同一个账户下时，选择该项。 其他账户：当对等连接中的对端VPC和本端VPC位于不同账户下时，选择该项。 当前账户 对端项目 当账户选择“当前账户”时，系统默认填充对应的项目，无需您额外操作。 比如VPC-A和VPC-B均为账户A下的资源，并且位于区域A，那么此处系统默认显示账户A下，区域A对应的项目。 ab-cdef-1 对端VPC 当账户选择“当前账户”时，该项为必选参数。 此处为对等连接另外一端的VPC，可以在下拉框中选择已有VPC作为对端VPC。 VPC-B 对端VPC网段 此处显示已选择的对端VPC的网段。 当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效，具体请参见对等连接使用示例。 172.17.0.0/16 描述 可选参数。 您可以根据需要在文本框中输入对等连接的描述信息。 peering-AB连通VPC-A和VPC-B 参数填写完成后，单击“确定”。 弹出路由添加提示对话框。 在路由添加提示对话框中，单击“立即添加”，跳转到对等连接详情页面，继续执行步骤二：添加VPC对等连接路由，添加路由。

操作场景 不同VPC之间网络不通，您可以通过对等连接连通同一个区域下的VPC。本章节指导用户创建相同账户下的VPC对等连接，即连通的两个VPC位于同一个账户下。 本文档以在账户A下，创建VPC-A和VPC-B之间的对等连接为例，实现业务服务器ECS-A01和数据库服务器RDS-B01之间的通信。 创建步骤如下： 步骤一：创建VPC对等连接 步骤二：添加VPC对等连接路由 步骤三：验证网络互通情况 图1 相同账户下的对等连接组网示例 当前VPC对等连接暂不收取您的任何费用。

约束与限制 当您修改安全组规则前，请您务必了解该操作可能带来的影响，避免误操作造成网络中断或者引入不必要的网络安全问题。 安全组规则遵循白名单原理，当在规则中没有明确定义允许或拒绝某条流量时，安全组一律拒绝该流量流入或者流出实例。 在入方向中，表1中的入方向规则，确保安全组内实例的内网网络互通，不建议您修改该安全组规则。 在出方向中，表1中的出方向规则，允许所有流量从安全组内实例流出。如果您修改了该规则，可能导致安全组内的实例无法访问外部，请您谨慎操作。 表1 安全组规则说明 方向 策略 类型 协议端口 源地址/目的地址 入方向 允许 IPv4 全部 源地址：当前安全组 入方向 允许 IPv6 全部 源地址：当前安全组 出方向 允许 IPv4 全部 目的地址：0.0.0.0/0 出方向 允许 IPv6 全部 目的地址：::/0