华为云用户手册

  • 虚拟私有云 VPC-对等连接简介:约束与限制
    约束与限制 对等连接仅可以连通同区域的VPC,不同区域的VPC之间不能创建对等连接。 若要实现不同区域VPC之间互通,您可以使用云连接,详细内容请参见跨区域VPC互通。 若您仅需要不同区域的几台ECS之间需要互通,您可以为ECS申请和绑定弹性公网IP,通过EIP实现ECS外网互通。此场景适用于ECS数量较少的情况。 配置对等连接时,当您的本端VPC和对端VPC存在网段重叠的情况时,那么您的对等连接可能会不生效。 针对该情况,以下不同情况下的组网配置示例,请您参考对等连接使用示例。 您可以通过对等连接连通位于华为云中国站和国际站相同区域的VPC,比如VPC-A位于中国站的“中国-香港”区域,VPC-B位于国际站的“中国-香港”区域,可以通过对等连接连通VPC-A和VPC-B。 位于两个边缘小站的不同VPC,无法通过对等连接实现通信。 VPC-A和VPC-B之间创建对等连接,默认情况下,VPC-B不能通过VPC-A的EIP访问公网。您可以通过使用NAT网关服务或配置SNAT服务器,使得VPC-B下的弹性云服务器可以通过VPC-A下绑定了EIP的弹性云服务器访问Internet。具体实现方式请参见无公网IP的弹性云服务器访问Internet。
    虚拟私有云 VPC 对等连接
  • 虚拟私有云 VPC-修改虚拟私有云基本信息:约束与限制
    约束与限制 添加IPv4扩展网段功能上线后,将不再支持通过管理控制台修改原有的VPC网段。您可以通过API接口修改原有的VPC网段,具体请参见《虚拟私有云API参考》。 添加IPv4扩展网段功能目前仅在“华东-上海一”、“华东-上海二”、“华南-广州”、“华北-北京一”“华北-北京四”、“华北-乌兰察布一”、“亚太-新加坡”开放,具体请参见为虚拟私有云添加扩展网段。 若VPC已有扩展网段子网,则不支持通过管理控制台或API修改VPC网段。 修改VPC网段时需注意以下两点: 修改的VPC网段须在支持的网段内。当前VPC支持的网段有:10.0.0.0/8~24、172.16.0.0/12~24、192.168.0.0/16~24。 若该VPC下已有子网,修改网段必须包含所有子网网段。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-为虚拟私有云添加扩展网段:操作场景
    操作场景 VPC创建后,若主网段不够分配时,您可以通过添加扩展网段来扩充VPC的网段。 创建VPC时配置的IPv4网段是VPC的主网段。VPC创建后,主网段不能进行修改,但您可以添加IPv4扩展网段来扩充VPC的网段。 添加扩展网段后,您可以选择使用主网段或扩展网段来创建子网,但每个子网只能属于一个VPC网段。同主网段一样,使用扩展网段创建子网时,系统也会在VPC路由表中自动添加一条子网路由。 添加IPv4扩展网段功能目前仅在“华北-北京一”、“华北-北京四”、“华北-乌兰察布一”、“华东-上海一”、“华东-上海二”、“华南-广州”、“西南-贵阳一”、“中国-香港”、“亚太-新加坡”、“拉美-墨西哥城一”、“拉美-圣保罗一”、“拉美-圣地亚哥”开放。 添加IPv4扩展网段功能上线后,将不再支持修改原有的VPC网段。您可以通过API接口修改原有的VPC网段,具体请参见《虚拟私有云API参考》。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-为虚拟私有云添加扩展网段:约束与限制
    约束与限制 一个VPC默认只能添加1个IPv4扩展网段。 扩展网段的子网地址与VPC路由表中已有路由的目的地址相同或者重叠,会导致已有路由不生效。 在扩展网段中创建子网时,系统会为该子网生成一条目的地址为子网网段,下一跳为Local的路由,Local路由属于VPC内部路由,优先级高于VPC路由表中添加的其他路由。比如,VPC路由表已有某个下一跳为对等连接的路由,其目的地址为100.20.0.0/24;新增扩展网段的子网路由,其目的地址为100.20.0.0/16,100.20.0.0/16和100.20.0.0/24网段重叠,流量优先通过扩展网段子网的路由转发,会导致对等连接的路由失效。 不支持添加的扩展网段范围如表1所示。 表1 不支持添加的扩展网段范围 网段类型 不支持的网段范围 私有网段预留地址 172.31.0.0/16 192.168.0.0/16 主网段已使用的私网网段 系统内部预留地址 100.64.0.0/10 214.0.0.0/7 198.18.0.0/15 169.254.0.0/16 公网保留地址 0.0.0.0/8 127.0.0.0/8 240.0.0.0/4 255.255.255.255/32
    虚拟私有云 VPC
  • 虚拟私有云 VPC-删除虚拟IP地址:约束与限制
    约束与限制 当虚拟IP被其他资源占用时,无法删除,请根据提示信息进行处理,具体请参见表1。 表1 虚拟IP无法删除原因说明 提示信息 原因说明及处理方法 已绑定实例或弹性公网ip地址,无法执行删除操作,请先执行对应解绑操作。如图1所示。 当前虚拟IP可能被弹性公网IP、弹性云服务或者二层连接占用,请先解绑占用资源,再删除虚拟IP。 解绑完成后,可以重新尝试删除虚拟IP。 虚拟IP已被系统组件使用,无法执行操作。如图2所示。 当前虚拟IP被其他服务实例使用,该IP不支持单独删除。如果您不需要使用该虚拟IP,请删除对应的实例,该虚拟IP会被同时删除。 请根据虚拟IP控制台显示的实例信息,查找对应实例并删除,常见的服务如下: RDS实例:请参见云数据库RDS帮助文档,查找删除方法。 CCE实例:请参见容器引擎 CCE帮助文档,查找删除方法。 API网关实例:请参见API网关帮助文档,查找删除方法。 图1 虚拟IP无法删除-场景一 图2 虚拟IP无法删除-场景二
    虚拟私有云 VPC
  • 虚拟私有云 VPC-删除虚拟私有云扩展网段:操作场景
    操作场景 当某个扩展网段不再使用时,您可以通过删除释放网段。 您可以删除IPv4扩展网段,但不能删除主IPv4网段。 添加IPv4扩展网段功能目前仅在“华北-北京一”、“华北-北京四”、“华北-乌兰察布一”、“华东-上海一”、“华东-上海二”、“华南-广州”、“西南-贵阳一”、“中国-香港”、“亚太-新加坡”、“拉美-墨西哥城一”、“拉美-圣保罗一”、“拉美-圣地亚哥”开放。 添加IPv4扩展网段功能上线后,将不再支持修改原有的VPC网段。您可以通过API接口修改原有的VPC网段,具体请参见《虚拟私有云API参考》。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-IP地址组简介:约束与限制
    约束与限制 对于关联IP地址组的安全组,其中IP地址组相关的规则对某些类型的云服务器不生效,不支持的规则如下: 通用计算型(S1型、C1型、C2型 ) 内存优化型(M1型) 高性能计算型(H1型) 磁盘增强型( D1型) GPU加速型(G1型、G2型) 超大内存型(E1型、E2型、ET2型) 在网络ACL的规则中使用IP地址组时,有以下限制: 对于入方向规则,源地址和目的地址只能有一方使用IP地址组。 对于出方向规则,源地址和目的地址只能有一方使用IP地址组。 比如网络ACL入方向规则中的源地址已使用IP地址组,则目的地址只能是IP地址,无法选择IP地址组。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-IP地址组简介:IP地址组简介
    IP地址组简介 IP地址组是一个或者多个IP地址的集合,可关联至安全组、网络ACL,用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址,您可以将其添加到一个IP地址组内。IP地址组无法独立使用,需要将IP地址组关联至对应的资源,可关联IP地址组的资源说明如表1所示。 表1 IP地址组关联资源说明 资源 说明 示例 安全组 添加安全组规则的时候,源地址和目的地址可以选择IP地址组。 如图1所示,安全组sg-A的的入方向规则的源地址使用IP地址组ipGroup-A。 网络ACL 添加网络ACL规则的时候,源地址和目的地址可以选择IP地址组。 如图1所示,网络ACLfw-A的的入方向规则的源地址使用IP地址组ipGroup-A。 图1 IP地址组使用场景
    虚拟私有云 VPC
  • 虚拟私有云 VPC-创建辅助弹性网卡:配置辅助弹性网卡
    配置辅助弹性网卡 当通过管理控制台创建辅助弹性网卡后,您还需要在云服务器实例的网卡中为该辅助弹性网卡创建VLAN子接口并配置私网IP地址、默认路由规则。 在配置之前,您需要获取辅助弹性网卡的信息,如表2所示。 表2 辅助弹性网卡信息 信息 获取方式 说明 VLAN 管理控制台 在辅助弹性网卡列表中获取。 详细内容请参见查看辅助弹性网卡基本信息。 MAC地址 私网IP地址 网关 在辅助弹性网卡所在子网的详情页获取。 本操作以在云服务器实例(以CentOS 8.2为例,其余规格请参考操作系统帮助文档)的eth0网卡上创建VLAN子接口为例介绍具体的配置步骤。 在本示例中: VLAN:2110 私有IP地址:192.168.0.2/24 网关:192.168.0.1 MAC地址:fa:16:3e:a1:b2:** 配置步骤 登录云服务器实例,登录方式请参见Linux弹性云服务器登录方式概述。 为eth0创建VLAN子接口。 ip link add link eth0 name eth0.2110 type vlan id 2110 创建命名空间“ns2110”。 ip netns add ns2110 将VLAN子接口“eth0.2110”加入命名空间“ns2110”。 ip link set eth0.2110 netns ns2110 修改VLAN子接口的MAC地址为“fa:16:3e:a1:b2:**”。 ip netns exec ns2110 ifconfig eth0.2110 hw ether fa:16:3e:a1:b2:** 启动VLAN子接口。 ip netns exec ns2110 ifconfig eth0.2110 up 为VLAN子接口配置私网IP地址“192.168.0.2/24”。 ip netns exec ns2110 ip addr add 192.168.0.2/24 dev eth0.2110 为VLAN子接口配置默认路由,其中“192.168.0.1”为辅助弹性网卡所在子网的网关。 ip netns exec ns2110 ip route add default via 192.168.0.1 验证方法 通过在命名空间访问同一VPC下其他私网IP地址(例如a.b.c.d),验证配置辅助弹性网卡是否生效。 ip netns exec ns2110 ping a.b.c.d 图2 成功示例 图3 失败示例
    虚拟私有云 VPC
  • 虚拟私有云 VPC-虚拟IP简介:什么是虚拟IP
    什么是虚拟IP 虚拟IP(Virtual IP Address,简称VIP)是一个未分配给真实弹性云服务器网卡的IP地址。弹性云服务器除了拥有私有IP地址外,还可以拥有虚拟IP地址,用户可以通过其中任意一个IP(私有IP/虚拟IP)访问此弹性云服务器。同时,虚拟IP地址拥有私有IP地址同样的网络接入能力,包括VPC内二三层通信、VPC之间对等连接访问,以及弹性公网IP、VPN、云专线等网络接入。 您可以为多个主备部署的弹性云服务器绑定同一个虚拟IP地址,然后为虚拟IP绑定一个弹性公网IP,搭配Keepalived,实现主服务器故障后,自动切换至备服务器,打造高可用容灾组网。 通过虚拟IP和弹性云服务器构建高可用容灾组网,必须要搭配Keepalived相关配置才可以实现,具体可参考搭建Keepalived Nginx高可用Web集群。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-虚拟IP简介:典型组网
    典型组网 虚拟IP主要用在弹性云服务器的主备切换,搭配Keepalived,达到高可用性HA(High Availability)的目的。当主服务器发生故障无法对外提供服务时,动态将虚拟IP切换到备服务器,继续对外提供服务。本节介绍两种典型的组网模式。 典型组网1:HA高可用性模式 场景举例:如果您想要提高服务的高可用性,避免单点故障,可以用“一主一备”或“一主多备”的方法组合使用弹性云服务器,这些弹性云服务器对外表现为一个虚拟IP。当主服务器故障时,备服务器可以转为主服务器,继续对外提供服务。 图1 HA高可用性模式组网图 将2台同子网的弹性云服务器绑定同一个虚拟IP。 将这2台弹性云服务器配置Keepalived,实现一台为主服务器,一台为备份服务器。Keepalived可参考业内通用的配置方法,此处不做详细介绍。 典型组网2:高可用负载均衡集群 场景举例:如果您想搭建高可用负载均衡集群服务,您可以采用Keepalived + LVS(DR)来实现。 图2 高可用负载均衡集群 将2台弹性云服务器绑定同一个虚拟IP。 将绑定了虚拟IP的这2台弹性云服务器配置Keepalived+LVS(DR模式),组成LVS主备服务器。这2台服务器作为分发器将请求均衡地转发到不同的后端服务器上执行。 配置另外2台弹性云服务器作为后端RealServer服务器。 关闭2台后端RealServer弹性云服务器的源/目的检查。 检查LVS主备服务器的源/目的检查是否关闭,请参见关闭源/目的检查(适用于高可用负载均衡集群场景)。 若采用控制台方式将弹性云服务器与虚拟IP绑定,则源/目的检查自动关闭;若采用调用接口方式将弹性云服务器与虚拟IP绑定,则需要手动关闭源/目的检查。 Keepalived + LVS调度服务端安装配置以及后端RealServer服务器配置可以参考业内通用的配置方法,此处不做详细介绍。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-虚拟IP简介:约束与限制
    约束与限制 不推荐在弹性云服务器配置多个同子网网卡的场景下,使用虚拟IP功能。若在该场景下使用虚拟IP功能,弹性云服务器内部会存在路由冲突,导致虚拟IP通信异常。 虚拟IP仅能绑定到同一个子网下的云服务器。 备弹性云服务器需要关闭IP转发功能。请参见关闭备弹性云服务器IP转发功能。 虚拟IP仅支持绑定一个弹性公网IP。 一个ECS绑定的虚拟IP数量建议不超过8个。 一个虚拟IP绑定的ECS数量最多10个。 将虚拟IP绑定至ECS时,会将虚拟IP同时关联至ECS的安全组。一个虚拟IP最多可同时关联至10个安全组。 IPv6的虚拟IP仅支持绑定一个网卡(双栈网卡),如需进行服务器的主备切换,请通过调用API方式。具体请参考配置云服务器高可用的IPv6虚拟IP功能。 虚拟IP及扩展网卡不支持直接访问华为云内公共云服务,如内网DNS等,推荐使用VPCEP访问华为云公共云服务,具体参见购买连接“接口”型终端节点服务的终端节点。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-复制路由:约束与限制
    约束与限制 不同类型的路由是否支持复制的情况不同,具体请参见表1。 比如路由下一跳类型为服务器实例时,支持复制该路由到默认路由表或自定义路由表。当路由下一跳类型为云专线网关时,无法复制该路由到默认路由表,仅支持复制到自定义路由表。 表1 路由复制情况说明 下一跳类型 是否支持复制到默认路由表 是否支持复制到自定义路由表 Local 否 否 服务器实例 是 是 扩展网卡 是 是 裸金属服务器自定义网络 否 是 VPN网关 否 是 云专线网关 否 是 云连接 否 是 辅助弹性网卡 是 是 NAT网关 是 是 对等连接 是 是 虚拟IP 是 是 VPC终端节点 否 否 云容器引擎 否 否 企业路由器 是 是 云防火墙 是 是 当为手工开通方式的云专线时,不支持将下发至默认路由表中的路由复制到自定义路由表。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-绑定/解绑定辅助弹性网卡到弹性公网IP:操作场景
    操作场景 通过为辅助弹性网卡绑定弹性公网IP,您可以构建更灵活,扩展性更强的组网方案。 辅助弹性网卡本身可以提供一个私网IP,与弹性公网IP绑定后,相当于同时具备了私网IP和公网IP。辅助弹性网卡和弹性公网IP的绑定关系不随弹性网卡解绑云服务器实例而变化,当辅助弹性网卡随同挂载的弹性网卡从云服务器上迁移时,可以同时完成私网IP和公网IP的迁移。 一个弹性网卡可以挂载多个辅助弹性网卡,当为每个辅助弹性网卡分别绑定一个弹性公网IP时,这个弹性网卡所绑定的云服务器就拥有了多个弹性公网IP,可以提供更灵活的外部访问服务。 当无需使用公网IP,或想要删除辅助弹性网卡时,您可以解绑定辅助弹性网卡到弹性公网IP。 辅助弹性网卡功能目前仅在“华北-北京四”、“华东-上海一”、“华南-广州”开放。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-辅助弹性网卡简介:约束与限制
    约束与限制 单个云服务器实例支持绑定的辅助弹性网卡实例上限为256个,但不是所有规格的云服务器实例均支持绑定256个辅助弹性网卡,具体可绑定的辅助弹性网卡数量由云服务器实例规格决定。支持辅助弹性网卡的云服务器实例规格如下: 弹性云服务器规格:C7、S7、M7,规格详情请参见规格清单。 云容器节点规格:c6ne 辅助弹性网卡与挂载的弹性网卡必须在同一VPC,可以分属于不同子网以及安全组。 辅助弹性网卡当前仅支持更新其绑定的安全组,暂不支持其他属性的更新。 辅助弹性网卡不支持单独的流日志收集功能,辅助弹性网卡产生的流日志信息随挂载的弹性网卡一同生成。 辅助弹性网卡使用时需要在云服务器实例的网卡上创建VLAN子接口并配置对应规则。 云服务器实例不支持通过辅助弹性网卡的私网IP使用CloudInit。 辅助弹性网卡不支持绑定虚拟IP。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-辅助弹性网卡简介:应用场景
    应用场景 辅助弹性网卡通过VLAN子接口挂载在弹性网卡上,其组网示意图如图1所示。 图1 辅助弹性网卡示意图 单个云服务器实例支持绑定的弹性网卡数量有限,当因业务需要绑定超过弹性网卡上限的网卡时,可以通过为弹性网卡挂载辅助弹性网卡实现。 为云服务器实例配置多个分属于同一VPC内不同子网的辅助弹性网卡,每个辅助弹性网卡拥有不同的私网IP、弹性公网IP,可以分别承载云服务器实例的内网、外网和管理网流量。 辅助弹性网卡可配置独立安全组策略,从而实现网络隔离与业务流量分离。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-删除路由:约束与限制
    约束与限制 系统自动创建的路由不支持删除,即类型为“系统”的路由不支持删除。 图1 系统路由 由VPN、云专线、云连接服务自动下发到VPC默认表的中的路由不能删除,路由的下一条类型分别如下: VPN:VPN网关 云专线:云专线网关 云连接:云连接 以VPN网关路由为例,路由如下图所示,如果您需要删除该路由,请单击下一跳对应的超链接,查看并删除对应资源。 图2 VPN下发的路由 云容器引擎类型的路由不支持修改和删除。 VPC终端节点类型的路由不支持修改和删除。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-弹性网卡简介:应用场景
    应用场景 灵活迁移 通过将弹性网卡从云服务器实例解绑后再绑定到另外一台服务器实例,保留已绑定私网IP、弹性公网IP和安全组策略,无需重新配置关联关系,将故障实例上的业务流量快速迁移到备用实例,实现服务快速恢复。 业务分离管理 可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡,特定网卡分别承载云服务器实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略,弹性网卡也可配置独立安全组策略,从而实现网络隔离与业务流量分离。
    虚拟私有云 VPC 弹性网卡
  • 虚拟私有云 VPC-弹性网卡简介:约束与限制
    约束与限制 云服务器实例与扩展弹性网卡必须在同一VPC,可以分属于不同安全组。 此限制仅针对管理控制台,通过API创建弹性网卡可以指定与云服务器实例不同的VPC。 主弹性网卡不能解绑服务器。 云服务器可附加的扩展弹性网卡数量由云服务器实例规格决定。具体请参见规格清单。 弹性网卡不支持直接访问华为云内公共云服务,如内网DNS等,推荐使用VPCEP访问华为云公共云服务,具体参见购买连接“接口”型终端节点服务的终端节点。
    虚拟私有云 VPC 弹性网卡
  • 虚拟私有云 VPC-绑定弹性网卡到弹性公网IP:操作场景
    操作场景 通过将弹性公网IP与弹性网卡绑定,您可以构建更灵活,扩展性更强的IT解决方案。 弹性网卡本身提供一个私网IP,与弹性公网IP绑定后,相当于同时具备了私网IP和公网IP。弹性网卡和弹性公网IP的绑定关系不随弹性网卡解绑云服务器而变化,当弹性网卡从云服务器上迁移时,即可同时完成私网IP和公网IP的迁移。 一个云服务器可以绑定多个弹性网卡,当为每个弹性网卡分别绑定一个弹性公网IP时,这个云服务器就拥有了多个弹性公网IP,可以提供更灵活的外部访问服务。 弹性网卡功能目前仅在“华北-北京四”、“华东-上海一”、“华东-上海二”、“华南-广州”开放。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-删除安全组:约束与限制
    约束与限制 系统创建的默认安全组和您创建的自定义安全组均不收取费用。 系统自带的默认安全组不能删除,默认安全组名称为default。 图1 默认安全组 当安全组被其他服务的实例使用时,包括云服务器、云容器、云数据库等,此安全组无法删除。 请先释放对应实例或者修改实例使用的安全组,然后再尝试删除安全组。 排查安全组关联的云资源,详细内容请参见如何排查安全组关联的实例?。 如果已完成资源排查后,仍然无法正常删除安全组,请提交工单进行解决。 当安全组作为“源地址”或者“目的地址”,被添加在其他安全组的规则中时,此安全组无法删除。 需要删除该条规则或者修改规则,然后重新尝试删除安全组。 比如,安全组sg-B中有一条安全组规则的“源地址”设置为安全组sg-A,则需要删除或者更改sg-B中的该条规则,才可以删除sg-A。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-NAT64 TOA插件配置:操作场景
    操作场景 用户使用IPv6地址通信需要获取来访者的真实IPv6地址。TOA内核模块主要用来获取经NAT64转化过的来访者真实IPv6地址,该插件安装在后端服务器。 当用户需要在操作系统中编译NAT64 TOA内核模块时,可参考本文档进行配置。本操作当前仅支持华东-上海一和华北-北京四区域。 TOA不支持UDP协议。 TOA模块在以下操作系统中验证可以正常工作,其他内核版本安装方法类似。 CentOS 7/7.2 (Kernel version 3.10.0) Ubuntu 14.04.3(Kernel version 3.12.0) Ubuntu 16.04.3 (Kernel version 4.4.0)
    虚拟私有云 VPC
  • 虚拟私有云 VPC-网络ACL:网络ACL默认规则
    网络ACL默认规则 每个网络ACL都包含一组默认规则,如下所示: 默认放通同一子网内的流量。 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。 默认放通目的IP地址为169.254.169.254/32,TCP端口为80的metadata报文。用于获取元数据。 默认放通公共服务预留网段资源的报文,例如目的网段为100.125.0.0/16的报文。 除上述默认放通的流量外,其余出入子网的流量全部拒绝,如表1所示。该规则不能修改和删除。 表1 网络ACL默认规则 方向 优先级 动作 协议 源地址 目的地址 说明 入方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有入站流量 出方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有出站流量
    虚拟私有云 VPC
  • 虚拟私有云 VPC-网络ACL:应用场景
    应用场景 由于应用层需要对外提供服务,因此入方向规则必须放通所有地址,如何防止恶意用户的非正常访问呢? 解决方案:通过网络ACL添加拒绝规则,拒绝恶意IP的访问。 隔离具有漏洞的应用端口,比如Wanna Cry,关闭445端口。 解决方案:通过网络ACL添加拒绝规则,拒绝恶意协议和端口,比如TCP:445端口。 子网内的通信无防护诉求,仅有子网间的访问限制。 解决方案:通过网络ACL设置子网间的访问规则 对访问频繁的应用,调整安全规则顺序,提高性能。 解决方案:网络ACL支持规则编排,可以把访问频繁的规则置顶。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-计费说明:如何变更弹性公网IP的计费方式?
    如何变更弹性公网IP的计费方式? EIP提供多种计费方式供您灵活选择,EIP使用期间,不同的计费方式支持切换, 不同计费变更场景的详细说明,请参见表6。 变更计费方式的具体操作方法,请参见变更弹性公网IP计费方式。 变更计费方式不会更换EIP的地址,也不会中断EIP的使用,对您的业务不会产生影响。 图2 EIP计费方式变更说明 表6 弹性公网IP计费方式变更说明 计费方式变更场景 计费变更说明 包年/包月→按需计费 包年/包月EIP支持到期后直接转为按需、按带宽计费EIP。 包年/包月EIP不支持直接转为按需、按流量计费EIP。变更方法如下: 先转为按需、按带宽计费EIP。 再由按需、按带宽计费EIP转为按需、按流量计费EIP。 该变更操作成功后,不会立即生效,需要等包年/包月EIP到期后,新的计费方式才会生效。 按需计费→包年/包月 按需、按带宽计费EIP支持直接转为包年/包月EIP。 按需、按流量计费EIP不支持直接转为包年/包月EIP。变更方法如下: 先转为按需、按带宽计费的EIP。 再由按需、按带宽计费EIP转为包年/包月EIP。 该变更操作成功后,新的计费方式将立即生效。 按需计费(按流量计费)→按需计费(按带宽计费) 按需计费(按带宽计费)→按需计费(按流量计费) 按需、按流量计费EIP支持直接转为按需、按带宽计费EIP。 按需、按带宽计费EIP支持直接转为按需、按流量计费EIP。 该变更操作成功后,新的计费方式将立即生效。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-计费说明:如何为弹性公网IP续费,帐号欠费后会有什么影响?
    如何为弹性公网IP续费,帐号欠费后会有什么影响? 图3 EIP/带宽生命周期 当您的帐号欠费后,为防止相关资源被冻结或者释放对您的业务产生影响,请您及时在约定时间内支付欠款,详细操作请参考欠费还款。 当您的帐号欠费后,会对您的资源使用产生如下影响: 包年/包月资源:当您的包年/包月资源到期未续费,首先会进入宽限期。如果您在宽限期内仍未续订包年/包月资源,那么就会进入保留期。保留期到期后,包年/包月资源仍未续订,存储在该资源中的数据将被删除,包年/包月资源将被释放。 您无法对处于宽限期或者保留期的包年/包月资源执行任何操作,比如当您的带宽处于宽限期或者保留期时,您无法修改带宽大小。 因此,为了确保您的业务不受影响,请您在资源到期前,及时为弹性公网IP续费。 按需计费资源:当您的按需资源欠费时,首先会进入宽限期。如果您在宽限期内仍未缴清按需资源的欠费,那么就会进入保留期。保留期到期后,按需资源仍未充值缴清欠款,存储在该资源中的数据将被删除,按需资源也将被删除。 您可以对处于宽限期的按需计费资源正常执行操作,当进入保留期后,您无法对该资源执行任何操作。 关于宽限期和保留期的详细内容,请参见宽限期保留期。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-计费说明:修改带宽大小如何收费?
    修改带宽大小如何收费? 弹性公网IP未加入共享带宽时,不管哪种计费方式,一律使用的是独享带宽。弹性公网IP加入共享带宽后,以共享带宽的费用为准。 修改独享带宽大小 修改共享带宽大小 当您修改带宽大小时,不同计费方式的带宽收费和生效时间不同,请您参考表5了解详情,适用于独享带宽和共享带宽两种情况。 降低带宽大小,可能会影响业务流量造成丢包,请确认对业务产生的影响,谨慎操作。 表5 修改带宽大小的费用情况 计费模式 计费方式 变更操作 对费用的影响 包年/包月 按带宽计费 增加带宽大小(补差价升配) 升配后,新带宽大小将在原来已有的时间周期内立即生效。 您需要按照与原带宽的价格差,结合使用周期内的剩余时间,补齐差价。 例如:(以下价格仅作示例,实际价格以控制台显示为准) 客户于2018/11/1 购买了1Mbit/s的带宽,购买时长为1个月,此时价格为18.4元/月,客户使用余额支付18.4元,实付金额为18.4元。 客户在2018/11/24 将带宽升级为5Mbit/s,价格为92元/月。 这时,剩余天数为 30 - 24 = 6天,升配费用=92 / 30 * 6 - 18.4 / 30 * 6 = 14.72元。 了解更多变更资源计费信息,请参见变更资源费用说明。 按带宽计费 降低带宽大小(续费降配) 降配后,新带宽大小不会立即生效。 你需要选择续费时长并根据新的带宽大小进行续费,续费成功后,新带宽大小在新的计费周期内生效。 续费降配订单在资源未生效前支持退订。 续费降配后,当前计费周期的剩余时间内不能再对带宽进行任何修改,请谨慎操作。 按带宽计费 临时增加带宽大小(使用带宽加油包临时升配) 带宽加油包单独计费,您可以在带宽的使用周期内选择任意时间段使用带宽加油包临时增加带宽,带宽加油包到期后带宽自动回落。 按需计费 按带宽计费 增加/降低带宽大小 增加/降低带宽大小后,新的带宽大小和计费方式将立即生效。 按流量计费 增加/降低带宽大小 增加/降低带宽大小后,新的带宽大小将立即生效。 按流量计费的EIP,带宽仅做限速使用,带宽大小不影响实际费用。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-弹性网卡:约束与限制
    约束与限制 云服务器实例与扩展弹性网卡必须在同一VPC,可以分属于不同安全组。 此限制仅针对管理控制台,通过API创建弹性网卡可以指定与云服务器实例不同的VPC。 主弹性网卡不能解绑服务器。 云服务器可附加的扩展弹性网卡数量由云服务器实例规格决定。具体请参见规格清单。 弹性网卡不支持直接访问华为云内公共云服务,如内网DNS等,推荐使用VPCEP访问华为云公共云服务,具体参见购买连接“接口”型终端节点服务的终端节点。
    虚拟私有云 VPC
  • 虚拟私有云 VPC-IP地址组
    IP地址组 IP地址组是一个或者多个IP地址的集合,可关联至安全组、网络ACL,用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址,您可以将其添加到一个IP地址组内。IP地址组无法独立使用,需要将IP地址组关联至对应的资源,可关联IP地址组的资源说明如表1所示。 表1 IP地址组关联资源说明 资源 说明 示例 安全组 添加安全组规则的时候,源地址和目的地址可以选择IP地址组。 如图1所示,安全组sg-A的的入方向规则的源地址使用IP地址组ipGroup-A。 网络ACL 添加网络ACL规则的时候,源地址和目的地址可以选择IP地址组。 如图1所示,网络ACLfw-A的的入方向规则的源地址使用IP地址组ipGroup-A。 图1 IP地址组使用场景 父主题: 基本概念
    虚拟私有云 VPC
  • 虚拟私有云 VPC-辅助弹性网卡:约束与限制
    约束与限制 单个云服务器实例支持绑定的辅助弹性网卡实例上限为256个,但不是所有规格的云服务器实例均支持绑定256个辅助弹性网卡,具体可绑定的辅助弹性网卡数量由云服务器实例规格决定。支持辅助弹性网卡的云服务器实例规格如下: 弹性云服务器规格:C7、S7、M7,规格详情请参见规格清单。 云容器节点规格:c6ne 辅助弹性网卡与挂载的弹性网卡必须在同一VPC,可以分属于不同子网以及安全组。 辅助弹性网卡当前仅支持更新其绑定的安全组,暂不支持其他属性的更新。 辅助弹性网卡不支持单独的流日志收集功能,辅助弹性网卡产生的流日志信息随挂载的弹性网卡一同生成。 辅助弹性网卡使用时需要在云服务器实例的网卡上创建VLAN子接口并配置对应规则。 云服务器实例不支持通过辅助弹性网卡的私网IP使用CloudInit。 辅助弹性网卡不支持绑定虚拟IP。
    虚拟私有云 VPC
共100000条
undefined

搜索反馈

您找到想要的内容了吗?

是的 没有

意见反馈

0/200

提交 取消

提交成功!非常感谢您的反馈,我们会继续努力做到更好 反馈提交失败!请稍后重试!
精选内容
推荐文章