华为云用户手册

升级示例 Deployment的升级可以是声明式的，也就是说只需要修改Deployment的YAML定义即可，比如使用kubectl edit命令将上面Deployment中的镜像修改为nginx:alpine。修改完成后再查询ReplicaSet和Pod，发现创建了一个新的ReplicaSet，Pod也重新创建了。 $ kubectl edit deploy nginx $ kubectl get rs NAME DESIRED CURRENT READY AGE nginx-6f9f58dffd 2 2 2 1m nginx-7f98958cdf 0 0 0 48m $ kubectl get pods NAME READY STATUS RESTARTS AGE nginx-6f9f58dffd-tdmqk 1/1 Running 0 1m nginx-6f9f58dffd-tesqr 1/1 Running 0 1m Deployment可以通过maxSurge和maxUnavailable两个参数控制升级过程中同时重新创建Pod的比例，这在很多时候是非常有用，配置如下所示。 spec: strategy: rollingUpdate: maxSurge: 1 maxUnavailable: 0 type: RollingUpdate 在前面的例子中，由于spec.replicas是2，如果maxSurge和maxUnavailable都为默认值25%，那实际升级过程中，maxSurge允许最多3个Pod存在（向上取整，2*1.25=2.5，取整为3），而maxUnavailable则不允许有Pod Unavailable（向上取整，2*0.75=1.5，取整为2），也就是说在升级过程中，一直会有2个Pod处于运行状态，每次新建一个Pod，等这个Pod创建成功后再删掉一个旧Pod，直至Pod全部为新Pod。

回滚 回滚也称为回退，即当发现升级出现问题时，让应用回到原版本。Deployment可以非常方便的回滚到原版本。 例如上面升级的新版镜像有问题，可以执行kubectl rollout undo命令进行回滚。 $ kubectl rollout undo deployment nginx deployment.apps/nginx rolled back Deployment之所以能如此容易的做到回滚，是因为Deployment是通过ReplicaSet控制Pod的，升级后之前ReplicaSet都一直存在，Deployment回滚做的就是使用之前的ReplicaSet再次把Pod创建出来。Deployment中保存ReplicaSet的数量可以使用revisionHistoryLimit参数限制，默认值为10。

升级参数说明 最大浪涌（maxSurge） 与spec.replicas相比，可以有多少个Pod存在，默认值是25%，比如spec.replicas为 4，那升级过程中就不能超过5个Pod存在，即按1个的步伐升级，实际升级过程中会换算成数字，且换算会向上取整。这个值也可以直接设置成数字。 仅Deployment在“滚动升级”方式下支持配置。 最大无效实例数（maxUnavailable） 与spec.replicas相比，可以有多少个Pod失效，也就是删除的比例，默认值是25%，比如spec.replicas为4，那升级过程中就至少有3个Pod存在，即删除Pod的步伐是1。同样这个值也可以设置成数字。 仅Deployment、DaemonSet在“滚动升级”方式下支持配置。 实例可用最短时间（minReadySeconds） 指定新创建的 Pod 在没有任意容器崩溃情况下的最小就绪时间， 只有超出这个时间 Pod 才被视为可用。默认值为 0（Pod 在准备就绪后立即将被视为可用）。 仅Deployment、DaemonSet支持配置。 最大保留版本数（revisionHistoryLimit） 用来设定出于回滚目的所要保留的旧 ReplicaSet 数量。 这些旧 ReplicaSet 会消耗 etcd 中的资源，并占用 kubectl get rs 的输出。 每个工作负载修订版本的配置都存储在其 ReplicaSets 中；因此，一旦删除了旧的 ReplicaSet， 将失去回滚到工作负载的对应修订版本的能力。 默认情况下，系统保留 10 个旧 ReplicaSet，但其理想值取决于新工作负载的频率和稳定性。 升级最大时长（progressDeadlineSeconds） 指定系统在报告 Deployment 进展失败 之前等待 Deployment 取得进展的秒数。 这类报告会在资源状态中体现为 Type=Progressing、Status=False、 Reason=ProgressDeadlineExceeded。Deployment 控制器将持续重试 Deployment。 将来，一旦实现了自动回滚，Deployment 控制器将在探测到这样的条件时立即回滚 Deployment。 如果指定，则此字段值需要大于 .spec.minReadySeconds 取值。 仅Deployment支持配置。 缩容时间窗（terminationGracePeriodSeconds）： 优雅删除时间，默认为30秒，删除Pod时发送SIGTERM终止信号，然后等待容器中的应用程序终止执行，如果在terminationGracePeriodSeconds时间内未能终止，则发送SIGKILL的系统信号强行终止。

约束与限制 init容器不支持进行GPU虚拟化。 对于单张GPU卡： 最多虚拟化为20个GPU虚拟设备。 最多调度20个使用隔离能力的Pod。 仅支持调度相同隔离模式（GPU虚拟化支持显存隔离、显存与算力隔离两种隔离模式。）的工作负载。 对于同一工作负载中的不同容器： 仅支持配置单一显卡型号，不支持混合配置两种及以上GPU显卡型号。 仅支持配置一致GPU使用模式，不支持混合配置虚拟化和非虚拟化模式。 使用GPU虚拟化后，该GPU节点不再支持调度使用共享GPU资源的工作负载。

客户原始需求管理 成功产品的核心特征是满足客户需求，Req打破了传统需求管理工具仅在研发阶段发挥作用的限制，将客户与市场需求也同步覆盖，提供了完整的客户需求采集、价值需求决策、交付与验收流程，让需求进展和动态客户实时透明，市场需求流动提速70%。 RR客户原始需求来自公司内部和外部客户，以客户视角描述的原始问题或者原始诉求。客户需求属于原始需求的一种类别。此类需求需要RAT分析评审后作出决定。 IPD需求管理是华为集成产品管理开发的核心流程，系统已提供对应需求模板，并预置产品需求管理的最佳实践，针对系统设备类提供结构化的需求开发流程，主要流程分为：原始需求提交、分析、规划、实现、交付、验收和关闭。 通过IPD可以新建RR，根据场景可以选择不同的需求模板，例如模板的描述信息为：需求背景、需求价值和需求详情。 通过原始需求RR分解子需求。 父主题： 功能特性

审计 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录需求管理的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的需求管理操作列表，请参见云审计服务支持的操作列表。

知识全生命周期管理 知识库是一个专业的云端知识库，是协同云文档理念下的一款创新产品。愿景成为每个人都爱不释手的知识书写工具，成为人们进行知识创作、沉淀和交流的平台。 提供在线文档创作和文件托管： 在线文档支持富文本和Markdown语法编辑。 文件托管支持如Office等文档的上传和预览。 在线文档支持多人协同编辑，提供一个简约强大的在线多人协同文档编辑器，单一文档可支持200人以上在线协同编辑。 支持多种类型的文件上传，也可以在线创作项目文档编写、富文本编辑、Markdown语言编辑、团队事务管理、企业规章制度流程、产品说明文档。项目成员可以随时访问和获取。 知识协同服务为企业提供全生命周期的知识管理能力，提供多种开箱即用的文档模板，支持多人在线协同编辑文档以及多种类型的文件上传，确保企业项目经验固化及传承。 父主题： 功能特性

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予漏洞管理服务权限“VSS Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择除漏洞管理服务外（假设当前策略仅包含“VSS Administrator”）的任一服务，若提示权限不足，表示“VSS Administrator”已生效。

相关操作 有关网站扫描得分的计算方法参考如下： 扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。 网站扫描：高危减10分，中危减5分，低危减3分，无漏洞则不扣分。 得分越高，表示漏洞数量越少，网站越安全。 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞，或使用Web应用防火墙服务为您的网站保驾护航。 漏洞修复后，建议重新扫描一次查看修复效果。 有关修复漏洞的详细介绍，请参见漏洞管理服务能修复扫描出来的漏洞吗？

操作场景 该任务指导已购买专业版、高级版或者企业版的用户增加扫描的域名配额。 若用户以前使用过基础版（免费体验版）进行扫描，在升级为专业版时，基础版所有的已有域名会占用专业版配额。 当前不支持从专业版或者高级版直接升级至企业版，若您是专业版或者高级版用户，并想要使用企业版，请直接购买企业版，为保证您的权益，请您购买企业版后，提工单退订专业版或者高级版。 当前不支持仅购买企业版（不购买配额）后再次升级增加配额。如果要想增加配额，请先退订企业版，重新购买。

前提条件 已获取管理控制台的登录账号和密码。 已添加主机。 为了确保扫描成功，在开启主机扫描前，请先完成以下操作。 参照编辑Linux主机授权和编辑Windows主机授权完成主机授权。 如果主机所在的安全组设置了访问限制，请参见如何解决主机不能访问添加策略允许漏洞管理服务的IP网段访问您的主机。 如果用户同时使用了主机安全服务，参见配置SSH登录IP白名单将漏洞管理服务的IP配置为白名单。否则，漏洞管理服务的IP会被当成不信任IP被主机安全服务拦截，造成扫描任务失败。 参照测试互通性完成主机与扫描环境的连通性测试。

前提条件 已获取管理控制台的登录账号与密码。 已添加网站。 如果您的网站设置了防火墙或其他安全策略，将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此，在使用漏洞管理服务前，请您将以下漏洞管理服务的扫描IP添加至网站访问的白名单中： 119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，139.9.114.20，119.3.176.1

操作场景 该任务指导用户首次使用漏洞管理服务时，如何购买漏洞管理服务的专业版、高级版和企业版扫描功能。 仅支持从专业版升级至高级版，当您是专业版用户时，如果需要将专业版扫描配额包中的二级域名配额升级为一级域名配额，可以直接将专业版升级到高级版。 不支持多个版本同时存在。如果是老客户，已购买的版本下存在基础版和专业版，基础版全部免费升级为专业版，版本到期时间以订单到期时间最长的为准。 不支持从专业版或高级版直接升级至企业版，当您是专业版或高级版用户时，如果需要使用企业版，请直接购买企业版。为保证您的权益，请您购买企业版后，提工单退订专业版或高级版。 购买漏洞管理服务或配额后，不支持直接修改配额，仅支持升级规格，请谨慎操作。如需减少配额请参考如何减少漏洞管理服务配额？。

操作场景 该任务指导用户通过漏洞管理服务进行网站登录设置，修改网站信息。 如果您的网站页面需要登录才能访问，必须进行网站登录设置，以便漏洞管理服务能为您发现更多安全问题。漏洞管理服务提供了三种登录方式，请您根据您的网站访问限制条件选择登录方式： Web页面登录。 如果您的网站仅需要账号密码就可以登录访问，设置该方式即可。 Cookie登录。 建议优先配置“Web页面登录”方式。如果发现通过“Web页面登录”仅能扫描到登录界面，无法成功扫描到内部业务系统时，可以根据业务实际认证方式配置“Cookie登录”进行扫描。 Header登录。 建议优先配置“Web页面登录”方式。如果发现通过“Web页面登录”仅能扫描到登录界面，无法成功扫描到内部业务系统时，可以根据业务实际认证方式配置“Header登录”进行扫描。 以上登录方式根据网站访问情况选择。

主机扫描为什么会扫描失败？ 主机扫描失败的主要原因有主机未进行授权、主机不可达，请参考以下方法排查您的主机扫描失败的原因并解决问题。 排查主机是否完成了授权，如果未授权，请参见如何对主机进行授权完成主机授权。 排查主机是否能正常访问，主机不能访问可能有以下几个原因： 主机所在的安全组或网络ACL设置了访问限制，请参见如何解决主机不能访问添加策略允许漏洞管理服务的IP网段访问您的主机。 主机IP被当成不信任IP被主机安全服务拦截，请参见解除拦截受信任的IP解除主机IP封禁，并参见配置SSH登录IP白名单将您的主机IP配置为白名单。 使用了nat绑定主机进行扫描，建议您使用跳板机以及绑定公网的扫描方式进行主机扫描，具体操作请参见如何配置跳板机进行内网扫描？。 主机IP被加入了CFW防护阻断策略或黑名单，访问被阻断，导致漏洞管理服务节点访问失败。您需要执行添加防护规则或添加白名单放行被阻断的IP，添加白名单时，“端口”是指源端口，“协议类型”选择“Any”。 父主题： 主机扫描类

接口说明 买家购买联营SaaS类应用后，在买家中心登录，将应用与企业绑定时，云商店调用该接口请求商家同步该企业应用的认证信息，商家接口需要执行应用同步，保存应用信息，并返回通知云商店。 针对应用同步场景接口调用失败的情况，由买家选择是否重试，并用短信或邮件的形式通知ISV商家接口调用失败。 商家的服务器在处理接口请求时，需要做好幂等性处理。 对于同一个实例，相同的租户，相同的应用，要支持多次请求新增，或者删除，多次新增不应产生新的数据，且需要返回成功，如果是删除，多次删除也需要返回成功，不能因已删除返回失败，删除时不需要校验(新购商品)接口产生的实例是否存在 应用同步流程如下图所示：

网卡多队列支持列表 网卡多队列的支持情况和实例规格、虚拟化类型、镜像的操作系统有关，只有同时满足这些要求，弹性云服务器才能开启网卡多队列功能。 支持网卡多队列的实例规格请参见“规格清单”。 网卡多队列数为大于1的值，表示支持网卡多队列。 虚拟化类型必须为KVM。 表2所列的Linux公共镜像，支持网卡多队列。 Windows操作系统弹性云服务器的驱动pvdriver有一套动态调整网卡队列数的策略，会根据vCPU数计算队列数并进行动态调整，因此无需对windows网卡多队列的队列数进行设置。 Windows 2008公共镜像已下线，可通过私有镜像支持。 Linux操作系统弹性云服务器建议将操作系统内核版本升级至2.6.35及以上，否则不支持网卡多队列。 建议您使用命令uname -r查询内核版本，如果低于2.6.35请联系技术支持升级内核。 表1 Windows弹性云服务器网卡多队列支持列表 镜像 是否支持多队列 是否默认开启多队列 Windows Server 2008 R2 Standard/Enterprise/DataCenter 64bit 是 是 Windows Server 2008 Enterprise SP2 64bit 是 是 Windows Server 2008 Web R2 64 bit 是 是 Windows Server 2008 R2 Enterprise 64bit_WithGPUdriver 是 是 Windows Server 2012 R2 Standard 64bit_WithGPUdriver 是 是 Windows Server 2012 R2 Standard/DataCenter 64 bit 是 是 Windows Server 2016 Standard/DataCenter 64 bit 是 是 Windows Server 2019 DataCenter 64 bit 是 是 表2 Linux弹性云服务器网卡多队列支持列表 镜像 是否支持多队列 是否默认开启多队列 Ubuntu 14.04/16.04/18.04/20.04 server 64bit 是 是 OpenSUSE 42.2/15.* 64bit 是 是 SUSE Enterprise 12 SP1/SP2 64bit 是 是 CentOS 6.8/6.9/7.*/8.* 64bit 是 是 Debian 8.0.0/8.8.0/8.9.0/9.0.0/10.0.0/10.2.0 64bit 是 是 Fedora 24/25/30 64bit 是 是 EulerOS 2.2/2.3/2.5 64bit 是 是

查看网卡队列数 开启网卡多队列功能 登录弹性云服务器。 执行以下命令，查看网卡支持和已开启的队列数。 ethtool -l 网卡 示例： [root@localhost ~]# ethtool -l eth0 #查询网卡eth0的队列数 Channel parameters for eth0: Pre-set maximums: RX: 0 TX: 0 Other: 0 Combined: 4 #表示此网卡最多支持设置开启4个队列 Current hardware settings: RX: 0 TX: 0 Other: 0 Combined: 4 #表示当前开启的是4个队列

执行网卡多队列的配置脚本 Windows操作系统使用的半虚拟化驱动pvdriver有一套动态调整网卡队列数的策略，会根据vCPU数计算队列数并进行动态调整，因此无需对windows网卡多队列的队列数进行设置。 Linux操作系统提供了自动开启网卡多队列功能的配置脚本，配置成功后，弹性云服务器支持网卡多队列功能。 自动开启网卡多队列功能的配置脚本当前仅支持处理eth0类型的网卡。 登录弹性云服务器，查看网卡支持和已开启的队列数。 ethtool -l 网卡 示例： [root@localhost ~]# ethtool -l eth0 #查询网卡eth0的队列数 Channel parameters for eth0: Pre-set maximums: RX: 0 TX: 0 Other: 0 Combined: 4 #表示此网卡最多支持设置4个队列 Current hardware settings: RX: 0 TX: 0 Other: 0 Combined: 1 #表示当前已开启的是1个队列 如果返回信息中，两个“Combined”字段取值相同，则表示网卡已开启多队列，无需执行以下操作。 执行以下命令，下载配置脚本“multi-queue-hw”。 wget 下载地址URL 下载地址：https://ecs-instance-driver.obs.cn-north-1.myhuaweicloud.com/multi-queue-hw 执行以下命令，添加执行权限。 chmod +x multi-queue-hw 执行以下命令，将脚本“multi-queue-hw”放到目录/etc/init.d下。 mv multi-queue-hw /etc/init.d 执行以下命令，运行脚本“multi-queue-hw”。 /etc/init.d/multi-queue-hw start 运行脚本后，立即生效。但关机后，网卡多队列功能将自动失效。 为了使网卡多队列功能开机自动生效，各个OS需要增加开机启动配置： CentOS/Redhat/Fedora/EulerOS/Suse/OpenSuse使用如下命令，增加开机启动项，使网卡多队列配置开机： chkconfig multi-queue-hw on Ubuntu使用如下命令，增加开机启动项： update-rc.d multi-queue-hw defaults 90 10 Debian使用如下命令，增加开机启动项： systemctl enable multi-queue-hw

绑定资源处理策略 删除或退订ECS时，如果满足回收站策略，ECS会进入回收站，其绑定资源的处理策略如下所示： 绑定的弹性公网IP的处理策略如表2所示。 表2 绑定的弹性公网IP的处理策略 实例计费模式 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 按需计费 删除云服务器时，勾选“释放弹性云服务器绑定的弹性公网IP地址”。 否 已删除，不可恢复 已删除 删除云服务器时，不勾选“释放弹性云服务器绑定的弹性公网IP地址”。 否 已解绑，不可恢复 已解绑，不会删除 包年/包月 退订云服务器时，退订弹性公网IP。 否 已删除，不可恢复 已删除 退订云服务器时，不退订弹性公网IP。 否 已解绑，不可恢复 已解绑，不会删除 绑定的云硬盘的处理策略如表3所示。 表3 绑定的云硬盘的处理策略 实例计费模式 绑定资源的类型 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 按需计费 系统盘 删除云服务器时，勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 删除云服务器时，不勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 数据盘（独享） 删除云服务器时，勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 删除云服务器时，不勾选“删除弹性云服务器挂载的数据盘”。 否 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 数据盘（共享） 删除云服务器时，勾选“删除弹性云服务器挂载的数据盘”。 否（共享盘挂载多个云服务器） 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 是（共享盘仅挂载一个云服务器） 同步恢复 同步删除 删除云服务器时，不勾选“删除弹性云服务器挂载的数据盘”。 否 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 包年/包月 系统盘 退订云服务器。 是 同步恢复 同步删除 数据盘（独享） 退订云服务器，该云服务器挂载了同一订单的独享数据盘。 是 同步恢复 同步删除 退订云服务器，该云服务器挂载了不同订单的独享数据盘。 否 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 数据盘（共享） 退订云服务器，该云服务器挂载了共享数据盘。 否 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 绑定的弹性网卡的处理策略如表4所示。 表4 绑定的弹性网卡的处理策略 绑定资源的类型 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 主网卡 删除或退订云服务器。 否 保持与云服务器的绑定关系 同步删除 扩展网卡 删除或退订云服务器。 否 未手动解绑，则保持与云服务器的绑定关系 若手动解绑，删除云服务器时不会删除 若没有手动解绑，则同步删除

约束与限制 对于IAM用户，如要使用回收站功能，需要具有如下IAM权限： 查询回收站：ecs:recycleBin:get 更新回收站（开启或关闭操作）：ecs:recycleBin:update 更新回收站策略：ecs:recycleBin:updatePolicy 您可以通过IAM用户对应的账号为IAM用户授予上述权限，详细操作，请参见ECS自定义策略。 在以下场景中，删除或退订的ECS不支持放入回收站。 账号处于欠费、受限或冻结的异常状态。 ECS处于“故障”状态。 ECS距离创建时间的天数小于配置的回收站策略天数。 ECS处于保留期。 ECS保留期到期后被系统释放。 竞价计费型ECS，释放时不放入回收站。 回收站对ECS的资源配额约束： ECS进入回收站后，会占用ECS的资源配额。 专属主机上的ECS进入回收站后，会占用专属主机上的资源配额。 当ECS配额不足时，请及时对回收站中的ECS进行清理。

计费说明 按需计费或包年/包月ECS进入回收站后，均转为按需计费。ECS进入回收站后关机，其计费原则如下（详细计费标准，请参见计费模式概述）： 普通实例关机后，基础资源（包括vCPU、内存、镜像）不计费。 特殊实例（含本地盘的实例、含FPGA卡的实例或裸金属实例）关机后，基础资源（包括vCPU、内存、镜像）仍然正常计费。 ECS的绑定资源（如云硬盘、弹性公网IP），遵循对应资源的计费原则。 已在回收站中的ECS，当账户欠费时会进入宽限期、保留期，受宽限期和保留期的影响，在未达到自定义保存时长时，ECS也可能会被系统提前删除。了解宽限期保留期的具体时长请参见宽限期保留期。 回收站中的ECS恢复后均遵循按需计费模式。若要使用包年/包月，您可以将ECS按需计费变更为包年/包月，具体方法请参见按需转包年/包月。

限制云服务器访问外部网站 安全组的出方向规则一般默认全部放通，默认规则如表11所示。如果您需要限制服务器只能访问特定网站，则按照如下要求配置： 首先，您需要遵循白名单规则，在安全组出方向规则中添加指定的端口和IP地址。 表10 限制云服务器访问外部网站 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 自定义TCP: 80 IP地址：132.15.XX.XX 允许安全组内云服务器访问指定的外部网站，网站地址为http://132.15.XX.XX:80。 出方向 1 允许 IPv4 自定义TCP: 443 IP地址：145.117.XX.XX 允许安全组内云服务器访问指定的外部网站，网站地址为https://145.117.XX.XX:443。 其次，删除安全组出方向中原有放通全部流量的规则，如表11所示。 表11 安全组默认出方向规则 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

云服务器提供数据库访问服务 安全组默认拒绝所有来自外部的请求，如果您在云服器上部署了数据库服务，允许其他实例通过内网访问数据库服务，则您需要在部署数据库服务器所在的安全组内，添加入方向规则，放通对应的端口，实现其他实例通过内网获取数据库数据的请求。常见的数据库类型机器对应的端口如下： MySQL(3306) Oracle(1521) MS SQL(1433) PostgreSQL(5432) Redis(6379) 表9 云服务器提供数据库访问服务 方向 优先级 策略 类型 协议端口 源地址 描述 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sg-A 允许安全组sg-A内云服务器访问MySQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 1521 安全组：sg-B 允许安全组sg-B内云服务器访问Oracle数据库服务。 入方向 1 允许 IPv4 自定义TCP: 1433 IP地址：172.16.3.21/32 允许私网IP地址为172.16.3.21的云服务器访问MS SQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 5432 IP地址：192.168.0.0/24 允许私网IP地址属于192.168.0.0/24网段的云服务器访问PostgreSQL数据库服务。 入方向 1 允许 IPv4 自定义TCP: 6379 IP地址组：ipGroup-A 允许私网IP地址属于IP地址组ipGroup-A范围内的云服务器访问Redis数据库服务。 本示例中源地址提供的配置仅供参考，请您根据实际需求设置源地址。

在本地服务器远程连接云服务器上传或者下载文件（FTP） 安全组默认拒绝所有来自外部的请求，如果您需要在本地服务器远程连接云服务器上传或者下载文件，那么您需要开通FTP(20、21)端口。 表5 在本地服务器远程连接云服务器上传或者下载文件 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 20-21 IP地址：0.0.0.0/0 您需要在弹性云服务器上先安装FTP服务器程序，再查看20、21端口是否正常工作。安装FTP服务器的操作请参见搭建FTP站点（Windows）、搭建FTP站点（Linux）。

在云服务器上搭建网站对外提供Web服务 安全组默认拒绝所有来自外部的请求，如果您在云服务器上搭建了可供外部访问的网站，则您需要在安全组入方向添加对应的规则，放通对应的端口，例如HTTP(80)、HTTPS(443)。 表6 在云服务器上搭建网站对外提供Web服务 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 入方向 1 允许 IPv4 自定义TCP: 443 IP地址：0.0.0.0/0

使用ping命令验证网络连通性 ICMP协议用于网络消息的控制和传递，因此在进行一些基本测试操作之前，需要开通ICMP协议访问端口。比如，您需要在某个个人PC上使用ping命令来验证云服务器的网络连通性，则您需要在云服务器所在安全组的入方向添加以下规则，放通ICMP端口。 表7 使用ping命令验证网络连通性 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 ICMP: 全部 IP地址：0.0.0.0/0 入方向 1 允许 IPv6 ICMP: 全部 IP地址：::/0

实现不同安全组的实例内网网络互通 同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sg-A内的云服务器访问安全组sg-B内的MySQL数据库，您需要通过在安全组sg-B中添加一条入方向规则，允许来自安全组sg-A内云服务器的内网请求进入。 表8 实现不同安全组的实例网络互通 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sg-A 如果您通过中间网络实例在不同子网的实例之间转发流量，如安全组应用示例中的示例二，子网Subnet-A的ECS通过虚拟IP和子网Subnet-B的ECS互相通信。由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

使用须知 在配置安全组规则之前，您需要先了解以下信息： 不同安全组之间的实例默认网络隔离，无法互相访问。 安全组默认拒绝所有来自外部的请求，即本安全组内的实例网络互通，外部无法访问安全组内的实例。 您需要遵循白名单原则添加安全组入方向规则，允许来自外部的特定请求访问安全组内的实例。 安全组的出方向规则一般默认全部放通，即允许安全组内的实例访问外部。 如果出方向规则被删除，将会导致安全组内实例无法正常访问外部，您可以参考表1重新添加规则。 表1 安全组默认出方向规则 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

通过本地服务器远程登录云服务器 安全组默认拒绝所有来自外部的请求，如果您需要通过本地服务器远程登录安全组内的云服务器，那么需要根据您的云服务器操作系统类型，在安全组入方向添加对应的规则。 通过SSH远程登录Linux云服务器，需要放通SSH(22)端口，请参见表2。 通过RDP远程登录Windows云服务器，需要放通RDP(3389)端口，请参见表3。 表2 通过SSH远程登录Linux云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 22 IP地址：0.0.0.0/0 表3 通过RDP远程登录Windows云服务器 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3389 IP地址：0.0.0.0/0 源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器，为了确保安全，建议您遵循最小原则，根据实际情况将源IP设置为特定的IP地址，配置示例请参见表4。 表4 通过特定IP地址远程登录云服务器 云服务器类型 方向 优先级 策略 类型 协议端口 源地址 Linux云服务器 入方向 1 允许 IPv4 自定义TCP: 22 IP地址：192.168.0.0/24 Windows云服务器 入方向 1 允许 IPv4 自定义TCP: 3389 IP地址：10.10.0.0/24