用户指南

Size: px

Start display at page:

Download "用户指南"

恨暗忧公羊
5 years ago
Views:

1 虚拟私有云用户指南文档版本 21 发布日期华为技术有限公司

2 版权所有华为技术有限公司 2018 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播商标声明和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标, 由各自的所有人拥有注意您购买的产品服务或特性等应受华为公司商业合同和条款的约束, 本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定, 华为公司对本文档内容不做任何明示或默示的声明或保证由于产品版本升级或其他原因, 本文档内容会不定期进行更新除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述信息和建议不构成任何明示或暗示的担保华为技术有限公司地址 : 深圳市龙岗区坂田华为总部办公楼邮编 : 网址 : 客户服务邮箱 : support@huawei.com 客户服务电话 : 文档版本 21 ( ) 版权所有华为技术有限公司 i

3 目录目录 1 虚拟私有云和子网网络规划创建虚拟私有云基本信息及默认子网修改虚拟私有云基本信息为虚拟私有云创建新的子网修改子网网络信息删除虚拟私有云删除 VPN 连接删除子网删除虚拟私有云基本信息管理虚拟私有云标签管理子网标签导出虚拟私有云列表 IPv4/IPv6 双栈网络 ( 公测 ) 安全性安全组与网络 ACL 区别安全组安全组概述默认安全组和规则创建安全组添加安全组规则快速添加多条安全组规则复制安全组规则修改安全组规则删除安全组规则导入 / 导出安全组规则删除安全组实例加入 / 移出安全组查看弹性云服务器的安全组变更弹性云服务器的安全组弹性云服务器常用端口安全组配置示例安全组配置示例简介文档版本 21 ( ) 版权所有华为技术有限公司 ii

4 目录不同安全组内的弹性云服务器内网互通仅允许特定 IP 地址远程连接弹性云服务器 SSH 远程连接 Linux 弹性云服务器 RDP 远程连接 Windows 弹性云服务器公网 ping ECS 弹性云服务器弹性云服务器作 Web 服务器弹性云服务器作 DNS 服务器使用 FTP 上传或下载文件网络 ACL 创建网络 ACL 添加网络 ACL 规则将子网和网络 ACL 关联解除关联子网修改网络 ACL 规则生效顺序修改网络 ACL 规则开启 / 关闭网络 ACL 规则删除网络 ACL 规则查看网络 ACL 修改网络 ACL 开启 / 关闭网络 ACL 删除网络 ACL 弹性公网 IP 为弹性云服务器申请和绑定弹性公网 IP 解绑定和释放弹性云服务器的弹性公网 IP 管理弹性公网 IP 地址标签修改弹性公网 IP 的带宽 IPv6 弹性公网 IP( 公测 ) 共享带宽共享带宽简介购买共享带宽添加弹性公网 IP 到共享带宽从共享带宽中移出弹性公网 IP 修改共享带宽删除共享带宽共享流量包共享流量包简介购买共享流量包自定义路由自定义路由简介 VPC 内自定义路由示例 VPC 外自定义路由示例文档版本 21 ( ) 版权所有华为技术有限公司 iii

5 目录 6.4 配置 SNAT 服务器添加路由查询路由修改路由删除路由 VPC 对等连接对等连接创建流程对等连接路由配置方案创建同一租户下的对等连接创建不同租户下的对等连接查看对等连接修改对等连接删除对等连接在对等连接详情中查看对等连接路由查看对等连接路由表在对等连接路由详情界面删除对等连接路由在对等连接路由表中删除对等连接路由云专线虚拟 IP 虚拟 IP 简介申请虚拟 IP 地址为虚拟 IP 地址绑定弹性公网 IP 或弹性云服务器通过弹性公网 IP 访问虚拟 IP 通过 VPN 访问虚拟 IP 通过云专线访问虚拟 IP 通过对等连接访问虚拟 IP 关闭源 / 目的检查 ( 适用于高可用负载均衡集群场景 ) 删除虚拟 IP 地址 NAT 网关监控支持的监控指标查看监控指标创建告警规则审计支持审计的关键操作查看审计日志 A 修订记录文档版本 21 ( ) 版权所有华为技术有限公司 iv

6 1 虚拟私有云和子网 1 虚拟私有云和子网 1.1 网络规划在创建 VPC 之前, 您需要根据具体的业务需求规划 VPC 的数量子网的数量 IP 网段划分和互连互通方式等如何规划 VPC 数量? VPC 具有区域属性, 默认情况下, 不同区域的 VPC 之间内网不互通, 同区域的不同 VPC 内网不互通, 同一个 VPC 下的不同可用区之间内网互通一个 VPC 当各业务之间没有网络隔离需求时, 您可以只使用一个 VPC 即可多个 VPC 当您在当前区域下有多套业务部署, 且希望不同业务之间进行网络隔离时, 则可为每个业务在当前区域建立相应的 VPC 两个 VPC 之间可以采用对等连接进行互连如图 1-1 所示图 1-1 对等连接最多可以创建多少个 VPC? 默认情况下一个用户下支持创建 5 个 VPC, 如果配额不满足实际需求, 可以提工单申请扩容文档版本 21 ( ) 版权所有华为技术有限公司 1

7 1 虚拟私有云和子网如何规划子网? 子网是 VPC 内的 IP 地址块,VPC 中的所有云产品都必须部署在子网内同一个 VPC 下, 子网网段不可重复子网创建成功后, 网段无法修改 VPC 支持的网段如下表, 子网的网段须在 VPC 网段范围内, 且子网的掩码范围为 16~28 表 1-1 VPC 网段网段可用私网 IP 数量 ( 不包括系统保留 ) /8~ /12~ /16~ 规划子网如果只是 VPC 的子网规划, 不涉及和基础网络或者 IDC 的网络通信, 则可以选择上述任何一个网段进行新建子网如果要通过 VPN/ 云专线与线下 IDC 进行互通, 本端网段 (VPC 网段 ) 和对端网段 ( 您的 IDC 网段 ) 不能重叠, 所以在新建 VPC 及子网的时候务必避开对端网段在划分网段时还应考虑该网段的 IP 容量, 即有多少可用的 IP 数最后, 建议在同个 VPC 下的业务内可按照业务模块分别划分子网, 例如子网 1 用于 Web 层, 子网 2 用于逻辑层, 子网 3 用于数据层, 有利于结合网络 ACL 进行访问控制和过滤最多可以创建多少个子网? 一个用户可以创建 100 个子网, 如果无法满足实际需求, 可以提工单申请扩容如何规划路由策略? 如何连接本地 IDC? 路由表由一系列路由规则组成, 用于控制 VPC 内子网的出流量走向用户创建 VPC 时, 系统会自动为其生成一个默认路由表, 该默认路由表含义为 VPC 内网互通如果不需要对子网的流量走向进行特殊控制, 默认 VPC 内网互通的情况下, 则使用默认路由表即可, 无需配置自定义路由策略 ; 如果需要对 VPC 内的网络流量走向进行特殊控制, 则可以对路由表进行自定义路由配置当您有 VPC 与本地 IDC 互通的需求时, 确保 VPC 的网段和要互通的网络的网段都不冲突如下图所示, 比如您在华北有 VPC1 一个 VPC, 华东有 VPC2 和 VPC3 两个 VPC VPC1 需要连接用户北京 IDC, 通过 VPN 走 Internet 互连 VPC2 需要连接用户上海 IDC, 通过云专线连接同时在华东 Region 的 VPC3 与 VPC2 通过对等连接建立连接文档版本 21 ( ) 版权所有华为技术有限公司 2

8 1 虚拟私有云和子网图 1-2 IDC 连接如何连接 Internet? 此例中, 各 VPC 网段划分需要注意以下几点 : VPC1 的网段 (CIDR) 不能与北京 IDC 的网段有重叠 VPC2 的网段 (CIDR) 不能与上海 IDC 的网段有重叠 VPC3 和 VPC2 的网段也不能有重叠少量弹性云服务器通过弹性公网 IP 连接 Internet 当您仅有少量弹性云服务器访问 Internet 时, 您可将弹性公网 IP(EIP) 绑定到弹性云服务器上, 弹性云服务器即可连接公网您还可以通过动态解绑它, 再绑定到 NAT 网关弹性负载均衡上, 使这些云产品连接公网, 管理非常简单不同弹性公网 IP 还可以共享带宽, 减少您的带宽成本大量弹性云服务器通过 NAT 网关连接 Internet 当您有大量弹性云服务器需要访问 Internet 时, 单纯使用弹性公网 IP 管理成本过高, 公有云 NAT 网关来帮您, 它提供 SNAT 和 DNAT 两种功能 SNAT 可轻松实现同一 VPC 内的多个弹性云服务器共享一个或多个弹性公网 IP 主动访问公网, 有效降低管理成本, 减少了弹性云服务器的弹性公网 IP 直接暴露的风险支持最大 100 万并发连接 3 万新建连接 DNAT 功能还可以实现端口级别的转发, 将弹性公网 IP 的端口映射到不同弹性云服务器的端口上, 使 VPC 内多个弹性云服务器共享同一弹性公网 IP 和带宽面向互联网提供服务海量高并发场景通过弹性负载均衡连接 Internet 对于电商等高并发访问的场景, 您可以通过弹性负载均衡 (ELB) 将访问流量均衡分发到多台弹性云服务器上, 支撑海量用户访问弹性负载均衡采用集群化部署, 支持多可用区的同城双活容灾同时, 无缝集成了弹性伸缩服务, 能够根据业务流量自动扩容, 保证业务稳定可靠自有 IDC 场景通过虚拟专用网络 / 云专线连接 Internet 对于自建 IDC 机房的用户, 由于利旧和平滑演进的原因, 并非所有的业务都能放置在云上, 这个时候就可以基于虚拟专用网络 (VPN) 或云专线 (DC) 产品, 实现云上 VPC 文档版本 21 ( ) 版权所有华为技术有限公司 3

9 1 虚拟私有云和子网与云下 IDC 之间的互联 VPN 走 Internet, 公网的价格私网的享受云专线走专属线路, 带给您更高的传输效率和更私密的用户体验 1.2 创建虚拟私有云基本信息及默认子网虚拟私有云可以为您的弹性云服务器构建隔离的用户自主配置和管理的虚拟网络环境创建虚拟私有云时可以同时创建一个或多个子网, 请根据需要添加子网 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在总览界面, 单击 " 创建虚拟私有云 " 5. 在 " 创建虚拟私有云 " 页面, 根据界面提示配置虚拟私有云参数表 1-2 虚拟私有云参数说明参数说明取值样例区域不同区域的资源之间内网不互通请选择靠近您客户的区域, 可以降低网络时延提高访问速度华北 - 北京一名称 VPC 名称 VPC-001 网段企业项目标签 VPC 的地址范围,VPC 内的子网地址必须在 VPC 的地址范围内目前支持网段范围 : /8~ /12~ /16~24 VPC 归属的企业项目, 默认归属于 Default 项目虚拟私有云的标示, 包括键和值可以为虚拟私有云创建 10 个标签标签的命名规则请参考表 /16 Default 键 :vpc_key1 值 :vpc-01 子网名称子网的名称 Subnet 文档版本 21 ( ) 版权所有华为技术有限公司 4

10 1 虚拟私有云和子网参数说明取值样例子网网段子网的地址范围, 需要在 VPC 的地址范围内 /24 网关子网的网关 DNS 服务器地址子网标签默认情况下使用网络外部 DNS 服务器地址, 如果需要修改 DNS 服务器地址, 请确保配置的 DNS 服务器地址可用子网的标示, 包括键和值可以为子网创建 10 个标签标签的命名规则请参考表键 :subnet_key1 值 :subnet-01 表 1-3 虚拟私有云标签命名规则参数规则样例键值不能为空对于同一虚拟私有云键值唯一长度不超过 36 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格长度不超过 43 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格 vpc_key1 vpc-01 表 1-4 子网标签命名规则参数规则样例键值不能为空对于同一子网键值唯一长度不超过 36 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格长度不超过 43 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格 subnet_key1 subnet 检查当前配置, 单击立即创建文档版本 21 ( ) 版权所有华为技术有限公司 5

11 1 虚拟私有云和子网 1.3 修改虚拟私有云基本信息当虚拟私有云的 CIDR 和 VPN 子网地址有冲突时, 可以通过修改虚拟私有云基本信息来调整 VPC 的地址范围 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表中待修改的虚拟私有云所在行的操作列下单击修改 6. 在修改虚拟私有云页面, 根据界面提示修改参数可以修改虚拟私有云的名称 VPC 网段如图 1-3 所示图 1-3 修改虚拟私有云 7. 单击确定 1.4 为虚拟私有云创建新的子网申请 VPC 时会创建子网, 当该 VPC 还需要添加其他子网时, 可以通过创建新的子网来为 VPC 增加用户自己的私有网络创建的子网默认配置 DHCP 协议, 即使用该 VPC 的弹性云服务器启动过后, 会通过 DHCP 协议自动获取到 IP 地址文档版本 21 ( ) 版权所有华为技术有限公司 6

12 1 虚拟私有云和子网 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表中, 单击需要创建子网的虚拟私有云名称 6. 在子网页签中, 单击创建子网 7. 在创建子网提示框中, 根据界面提示配置参数表 1-5 参数说明参数说明取值样例名称子网的名称 Subnet 子网网段子网的地址范围, 需要在 VPC 的地址范围内 /24 网关子网的网关标签子网的标示, 包括键和值可以为子网创建 10 个标签标签的命名规则请参考表 1-6 键 : subnet_key1 值 :subnet-01 表 1-6 子网标签命名规则参数规则样例键值不能为空对于同一子网键值唯一长度不超过 36 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格长度不超过 43 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格 subnet_key1 subnet 默认情况下使用网络外部 DNS 服务器地址, 如果需要修改 DNS 服务器地址, 请单击自定义配置进行配置请确保配置的 DNS 服务器地址可用 9. 单击确定文档版本 21 ( ) 版权所有华为技术有限公司 7

13 1 虚拟私有云和子网注意事项子网创建成功后, 有 5 个系统保留地址您不能使用以 /24 的子网为例, 默认的系统保留地址如下 : : 网络地址 : 网关地址 : 系统接口, 用于 VPC 对外通信 :DHCP 服务地址 : 广播地址如果您在创建子网时选择了自定义配置, 系统保留地址可能与上面默认的不同, 系统会根据您的配置进行自动分配 1.5 修改子网网络信息当最初创建子网时设置的 DHCP 策略或 DNS 服务器地址需要修改, 可通过修改子网网络信息的方式进行调整 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表中, 单击需要修改子网的虚拟私有云名称 6. 在子网列表待修改子网所在行, 单击修改根据界面提示修改参数如图 1-4 所示图 1-4 修改子网文档版本 21 ( ) 版权所有华为技术有限公司 8

14 1 虚拟私有云和子网表 1-7 参数说明参数说明取值样例名称子网的名称 Subnet DNS 服务器地址 1 DNS 服务器地址 2 DNS 地址 1, 可以设置为空, 默认情况下使用网络外部的 DNS DNS 地址 2, 可以设置为空, 默认情况下使用网络外部的 DNS 单击确定 1.6 删除虚拟私有云删除 VPN 连接当无需使用 VPN 网络需要释放网络资源时, 可删除 VPN 连接 2. 在系统首页, 单击网络 > 虚拟专用网络 3. 在左侧导航栏选择虚拟专用网络 > VPN 连接 4. 在 VPN 连接界面所需删除的 VPN 连接所在行, 单击删除 5. 单击确定删除子网前提条件当无需使用子网需要释放网络资源时, 可删除子网当需要删除子网已经被 ECS VPN 或私有 IP 等资源使用时, 不能删除子网需要删掉这些使用子网的资源后, 才能删除子网已经删除使用该子网的以下资源弹性云服务器裸金属服务器 CCE 集群 RDS 实例 Workspace 文档版本 21 ( ) 版权所有华为技术有限公司 9

15 1 虚拟私有云和子网 MRS 集群 DCS 实例弹性负载均衡器 VPN 私有 IP 地址自定义路由 NAT 网关请在管理控制台上相关资源所在页面进行排查和删除 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表中, 单击需要删除子网的虚拟私有云名称 6. 在子网界面待删除子网所在行, 单击删除 7. 单击确定删除虚拟私有云基本信息系统影响当无需使用网络资源, 需要释放对应的虚拟私有云时, 可以删除虚拟私有云当 VPC 中存在子网 VPN 专线自定义路由或对等连接路由时,VPC 不能删除需要删掉这些资源后, 才能进行 VPC 删除删除子网请参见删除子网删除 VPN 连接请参见删除 VPN 连接关闭专线请参考云专线用户指南自定义路由删除请参考 6.8 删除路由删除对等连接请参见 7.7 删除对等连接当存在弹性公网 IP 资源时, 最后一个 VPC 不能删除 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云文档版本 21 ( ) 版权所有华为技术有限公司 10

16 1 虚拟私有云和子网 5. 在虚拟私有云列表中, 单击待删除的虚拟私有云所在行操作列下的删除 6. 单击确定 1.7 管理虚拟私有云标签应用场景私有云标签是虚拟私有云的标识为虚拟私有云添加标签, 可以方便用户识别和管理拥有的虚拟私有云您可以在创建虚拟私有云的时候增加标签, 或者在已经创建的虚拟私有云详情页添加标签, 最多可以给虚拟私有云添加 10 个标签标签共由两部分组成 : 键和值, 其中, 键和值的命名规则如表 1-8 所示表 1-8 虚拟私有云标签命名规则参数规则样例键值不能为空对于同一虚拟私有云键值唯一长度不超过 36 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格长度不超过 43 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格 vpc_key1 vpc-01 在虚拟私有云列表页, 按标签的键或值搜索目标虚拟私有云 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择网络 > 虚拟私有云 4. 在左侧导航栏单击虚拟私有云 5. 单击虚拟私有云列表右上角的标签搜索, 展开查询页 6. 输入待查询虚拟私有云的标签值键和值均不能为空, 当键和值全匹配时, 系统可以自动查询到目标虚拟私有云 7. 单击 +, 添加输入的标签值系统支持添加多个标签值, 并取各个标签值的交集, 对目标虚拟私有云进行搜索 8. 单击搜索系统根据标签的键和值搜索目标虚拟私有云在虚拟私有云的标签页, 执行标签的增删改查操作文档版本 21 ( ) 版权所有华为技术有限公司 11

17 1 虚拟私有云和子网 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择网络 > 虚拟私有云 4. 在左侧导航栏单击虚拟私有云 5. 在虚拟私有云列表中, 单击待管理标签的虚拟私有云名称系统跳转至该虚拟私有云详情页面 6. 选择标签页签, 对虚拟私有云的标签执行增删改查查看在标签页, 可以查看当前虚拟私有云的标签详情, 包括标签个数, 以及每个标签的键和值添加单击左上角的添加标签, 在弹出的添加标签窗口, 输入新添加标签的键和值, 并单击确定修改单击标签所在行操作列下的编辑, 在弹出的编辑标签窗口, 输入修改后标签的键和值, 并单击确定删除单击标签所在行操作列下的删除, 如果确认删除, 在弹出的删除标签窗口, 单击确定 1.8 管理子网标签应用场景子网标签是子网的标识为子网添加标签, 可以方便用户识别和管理拥有的子网您可以在创建子网时增加标签或者在已经创建的子网详情页添加标签, 最多可以给子网添加 10 个标签标签共由两部分组成 : 键和值, 其中, 键和值的命名规则如表 1-9 所示表 1-9 子网标签命名规则参数规则样例键值不能为空对于同一子网键值唯一长度不超过 36 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格长度不超过 43 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格 subnet_key1 subnet-01 文档版本 21 ( ) 版权所有华为技术有限公司 12

18 1 虚拟私有云和子网在子网列表页, 按标签的键或值搜索目标子网 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择网络 > 虚拟私有云 4. 在左侧导航栏单击虚拟私有云 5. 在虚拟私有云列表中, 单击待查询子网所在的虚拟私有云名称 6. 单击子网列表右上角的标签搜索, 展开查询页 7. 输入待查询子网的标签值键和值均不能为空, 当键和值全匹配时, 系统可以自动查询到目标子网 8. 单击 +, 添加输入的标签值系统支持添加多个标签值, 并取各个标签值的交集, 对目标子网进行搜索 9. 单击搜索系统根据标签的键和值搜索目标子网在子网的标签页, 执行标签的增删改查操作 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择网络 > 虚拟私有云 4. 在左侧导航栏单击虚拟私有云 5. 在虚拟私有云列表中, 单击待查询子网所在的虚拟私有云名称 6. 单击待管理的子网名称 7. 在子网详情页面, 选择标签页签, 对子网的标签执行增删改查查看在标签页, 可以查看当前子网的标签详情, 包括标签个数, 以及每个标签的键和值添加单击左上角的添加标签, 在弹出的添加标签窗口, 输入新添加标签的键和值, 并单击确定修改单击标签所在行操作列下的编辑, 在弹出的编辑标签窗口, 输入修改后标签的键和值, 并单击确定删除单击标签所在行操作列下的删除, 如果确认删除, 在弹出的删除标签窗口, 单击确定文档版本 21 ( ) 版权所有华为技术有限公司 13

19 1 虚拟私有云和子网 1.9 导出虚拟私有云列表您可以将当前帐号下拥有的所有虚拟私有云信息, 以 Excel 文件的形式导出至本地该文件记录了虚拟私有云的名称 ID 状态网段子网个数等 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表页, 单击右上角的系统会将您帐号下, 当前 Region 的所有虚拟私有云信息自动导出为 Excel 文件, 并下载至本地 1.10 IPv4/IPv6 双栈网络 ( 公测 ) 简介应用场景申请公测 IPv4/IPv6 双栈可为您的实例 ( 例如 :ECS) 提供两个不同版本的 IP 地址 :IPv4 地址和 IPv6 地址, 这两个 IP 地址都可以进行内网 / 公网访问通过 IPv4 私网地址在 ECS 之间进行内网访问通过 IPv4 私网地址绑定弹性公网 IP 的方式访问互联网通过 IPv6 地址在双栈 ECS 之间进行内网访问 ( 同 VPC) 通过 IPv6 地址与互联网上的 IPv6 网络进行访问如果您的应用需要为使用 IPv6 终端的用户提供访问服务, 则您可使用 :IPv6 弹性公网 IP 或 IPv6 双栈如果您的应用既需要为使用 IPv6 终端的用户提供访问服务, 又需要对这些访问来源进行数据分析处理, 则您必须使用 IPv6 双栈如果您的应用系统与其他系统 ( 例如 : 数据库系统 ) 应用系统之间需要使用 IPv6 进行内网访问, 则您必须使用 IPv6 双栈该功能目前正在公测中, 您可以在管理控制台选择网络 > 虚拟私有云, 单击 IPv6 双栈进入公测申请页面, 如图 1-5 所示申请通过后, 就可以开始体验 IPv4/ IPv6 双栈网络文档版本 21 ( ) 版权所有华为技术有限公司 14

20 1 虚拟私有云和子网图 1-5 公测入口基本操作说明 IPv4/IPv6 双栈网络的基本操作与之前的 IPv4 网络相同只有部分页面的配置参数会略有差异, 具体请以管理控制台显示为准创建 IPv6 子网参考 1.4 为虚拟私有云创建新的子网创建子网, 勾选开启 IPv6, 将自动为子网分配 IPv6 网段该功能一旦开启, 将不能关闭暂不支持自定义设置 IPv6 网段图 1-6 创建 IPv6 子网查看已使用 IPv6 地址在子网列表中单击子网名称, 在已用 IP 地址页签可以查看已经使用的 IPv4 地址和 IPv6 地址添加 IPv6 安全组规则参考添加安全组规则添加安全组规则, 类型选择 IPv6, 源地址或目的地址填写 IPv6 地址文档版本 21 ( ) 版权所有华为技术有限公司 15

21 1 虚拟私有云和子网图 1-7 添加 IPv6 安全组规则添加 IPv6 网络 ACL 规则参考添加网络 ACL 规则添加网络 ACL 规则, 类型选择 IPv6, 源地址或目的地址填写 IPv6 地址图 1-8 添加 IPv6 网络 ACL 规则购买 IPv6 弹性公网 IP 您可以购买 IPv6 弹性公网 IP, 或者将已有 IPv4 弹性公网 IP 转换为 IPv6 弹性公网 IP, 详情请参见 3.5 IPv6 弹性公网 IP( 公测 ) 添加 IPv6 弹性公网 IP/IPv6 双栈网卡到共享带宽参考 4.3 添加弹性公网 IP 到共享带宽将 IPv6 弹性公网 IP IPv6 双栈网卡添加到共享带宽文档版本 21 ( ) 版权所有华为技术有限公司 16

24 2 安全性表 2-1 安全组和网络 ACL 对比项防护对象配置策略优先级应用操作报文组安全组弹性云服务器级别操作仅支持允许策略多个规则冲突, 取其并集生效创建弹性云服务器默认必须选择安全组, 默认安全组自动应用到弹性云服务器仅支持报文三元组 ( 即协议端口和对端地址 ) 过滤网络 ACL 子网级别操作支持允许拒绝策略多个规则冲突, 优先级高的规则优先生效创建子网没有网络 ACL 选项, 必须创建网络 ACL 添加关联子网添加出入规则, 并启用网络 ACL, 才可应用到关联子网及子网下的弹性云服务器支持报文五元组 ( 即协议源端口目的端口源地址和目的地址 ) 过滤 2.2 安全组安全组概述安全组安全组规则安全组是一个逻辑上的分组, 为同一个 VPC 内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略安全组创建后, 用户可以在安全组中定义各种访问规则, 当弹性云服务器加入该安全组后, 即受到这些访问规则的保护系统会为每个用户默认创建一个默认安全组, 默认安全组的规则是在出方向上的数据报文全部放行, 入方向访问受限, 安全组内的弹性云服务器无需添加规则即可互相访问默认安全组您可以直接使用, 详情请参见默认安全组和规则您也可以根据需要创建自定义的安全组, 请参见创建安全组安全组创建后, 您可以在安全组中设置出方向入方向规则, 这些规则会对安全组内部的弹性云服务器出入方向网络流量进行访问控制, 当弹性云服务器加入该安全组后, 即受到这些访问规则的保护每个安全组都自带默认安全组规则, 详情请参见表 2-2 您也可以自定义添加安全组规则, 请参见添加安全组规则文档版本 21 ( ) 版权所有华为技术有限公司 19

安全组的限制默认情况下, 一个用户可以创建 100 个安全组默认情况下, 一个安全组最多只允许拥有 50 条安全组规则默认情况下, 一个弹性云服务器或辅助网卡最多只能被添加到 5 个安全组中 2 安全性在创建私网弹性负载均衡时, 需要选择弹性负载均衡所在的安全组请勿删除默认规则或者确保满足以下规则 : 出方向 : 允许发往同一个安全组的报文可以通过, 或者允许对端负载均衡器报文通过

25 安全组的限制默认情况下, 一个用户可以创建 100 个安全组默认情况下, 一个安全组最多只允许拥有 50 条安全组规则默认情况下, 一个弹性云服务器或辅助网卡最多只能被添加到 5 个安全组中 2 安全性在创建私网弹性负载均衡时, 需要选择弹性负载均衡所在的安全组请勿删除默认规则或者确保满足以下规则 : 出方向 : 允许发往同一个安全组的报文可以通过, 或者允许对端负载均衡器报文通过入方向 : 允许来自同一个安全组的报文可以通过, 或者允许对端负载均衡器报文通过默认安全组和规则系统会为每个用户默认创建一个安全组, 默认安全组的规则是在出方向上的数据报文全部放行, 入方向访问受限, 安全组内的弹性云服务器无需添加规则即可互相访问, 如图 2-2 所示图 2-2 默认安全组默认安全组规则如表 2-2 所示 : 表 2-2 默认安全组规则方向协议端口范围目的地址 / 源地址说明出方向 All All 目的地址 : /0 允许所有出站流量的数据报文通过入方向 All All 源地址 : 当前安全组 ID ( 例如 :sg-xxxxx) 仅允许安全组内的弹性云服务器彼此通信, 丢弃其他入站流量的全部数据报文文档版本 21 ( ) 版权所有华为技术有限公司 20

26 2 安全性方向协议端口范围目的地址 / 源地址说明入方向入方向 TCP 22 源地址 : /0 允许所有 IP 地址通过 SSH 远程连接到 Linux 弹性云服务器 TCP 3389 源地址 : /0 允许所有 IP 地址通过 RDP 远程连接到 Windows 弹性云服务器创建安全组您可以创建安全组并定义安全组中的规则, 将 VPC 中的弹性云服务器划分成不同的安全域, 以提升弹性云服务器访问的安全性建议您将不同公网访问策略的弹性云服务器划分到不同的安全组 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击创建安全组 6. 在创建安全组下拉区域, 根据界面提示配置参数, 参数说明参考表 2-3 表 2-3 参数说明参数名称企业项目描述参数说明安全组的名称, 必填项安全组的名称只能由中文英文字母数字 _ - 和. 组成, 且不能有空格, 长度不能大于 64 个字符说明安全组名称创建后可以修改, 建议不要重名安全组归属的企业项目, 默认归属于 Default 项目安全组的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < 和 > 取值样例 sg-318b Default - 文档版本 21 ( ) 版权所有华为技术有限公司 21

2 安全性 7. 单击确定 2.2.4 添加安全组规则安全组创建后, 您可以在安全组中设置出方向入方向规则, 这些规则会对安全组内部的弹性云服务器出入方向网络流量进行访问控制, 当弹性云服务器加入该安全组后, 即受到这些访问规则的保护入方向 : 指从外部访问安全组规则下的弹性云服务器出方向 : 指安全组规则下的弹性云服务器访问安全组外的实例常用的安全组规则配置示例请参见安全组配置示例简介 2.

27 2 安全性 7. 单击确定添加安全组规则安全组创建后, 您可以在安全组中设置出方向入方向规则, 这些规则会对安全组内部的弹性云服务器出入方向网络流量进行访问控制, 当弹性云服务器加入该安全组后, 即受到这些访问规则的保护入方向 : 指从外部访问安全组规则下的弹性云服务器出方向 : 指安全组规则下的弹性云服务器访问安全组外的实例常用的安全组规则配置示例请参见安全组配置示例简介 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击操作列的配置规则, 进入安全组详情界面 6. 在入方向规则页签, 单击添加规则, 添加入方向规则单击 + 可以依次增加多条入方向规则图 2-3 添加入方向规则表 2-4 入方向参数说明参数协议端口和源地址说明网络协议端口 : 允许远端地址访问弹性云服务器指定端口, 取值范围为 :1~65535 常用端口请参见弹性云服务器常用端口取值样例 TCP 22 或文档版本 21 ( ) 版权所有华为技术有限公司 22

28 2 安全性参数描述说明源地址 : 可以是 IP 地址, 也可以是安全组例如 : xxx.xxx.xxx.xxx/32(ipv4 地址 ) xxx.xxx.xxx.0/24( 子网 ) /0( 任意地址 ) 安全组规则的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < 和 > 取值样例 /0 default - 7. 在出方向规则页签, 单击添加规则, 添加出方向规则单击 + 可以依次增加多条出方向规则图 2-4 添加出方向规则表 2-5 出方向参数说明参数协议端口和目的地址描述说明网络协议端口 : 允许弹性云服务器访问远端地址的指定端口, 取值范围为 :1~65535 常用端口请参见弹性云服务器常用端口目的地址 : 可以是 IP 地址, 也可以是安全组例如 : xxx.xxx.xxx.xxx/32(ipv4 地址 ) xxx.xxx.xxx.0/24( 子网 ) /0( 任意地址 ) 安全组规则的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < 和 > 取值样例 TCP 22 或 /0 default - 文档版本 21 ( ) 版权所有华为技术有限公司 23

29 2 安全性结果验证安全组规则配置完成后, 我们需要验证对应的规则是否生效假设您在弹性云服务器上部署了网站, 希望用户能通过 HTTP(80 端口 ) 访问到您的网站, 您添加了一条入方向规则, 如表 2-6 所示表 2-6 安全组规则协议方向端口范围源地址 TCP 入方向 80(HTTP) /0 Linux 弹性云服务器 Linux 弹性云服务器上验证该安全组规则是否生效的步骤如下所示 1. 登录弹性云服务器 2. 运行如下命令查看 TCP 80 端口是否被监听 netstat -an grep 80 如果返回结果如图 2-5 所示, 说明 TCP 80 端口已开通图 2-5 Linux TCP 80 端口验证结果 3. 在浏览器地址栏里输入弹性云服务器的弹性公网 IP 地址如果访问成功, 说明安全组规则已经生效 Windows 弹性云服务器 Windows 弹性云服务器上验证该安全组规则是否生效的步骤如下所示 1. 登录弹性云服务器 2. 选择开始 > 附件 > 命令提示符 3. 运行如下命令查看 TCP 80 端口是否被监听 netstat -an findstr 80 如果返回结果如图 2-6 所示, 说明 TCP 80 端口已开通图 2-6 Windows TCP 80 端口验证结果 4. 在浏览器地址栏里输入弹性云服务器的弹性公网 IP 地址如果访问成功, 说明安全组规则已经生效快速添加多条安全组规则支持快速添加多条不同协议端口的安全组规则文档版本 21 ( ) 版权所有华为技术有限公司 24

30 2 安全性 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击操作列的配置规则, 进入安全组详情界面 6. 在入方向规则页签, 单击快速添加规则, 同时添加多条不同协议端口的安全组入方向规则图 2-7 快速添加入方向规则 7. 在出方向规则页签, 单击快速添加规则, 同时添加多条不同协议端口的安全组出方向规则文档版本 21 ( ) 版权所有华为技术有限公司 25

31 2 安全性图 2-8 快速添加出方向规则复制安全组规则复制已有的安全组规则, 然后生成一条新的安全组规则复制时, 支持自定义修改规则 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击安全组名, 进入安全组详情界面 6. 找到需要复制的安全组规则, 单击规则所在行的复制您可以根据需要修改安全组规则, 然后快速生成一条新的安全组规则文档版本 21 ( ) 版权所有华为技术有限公司 26

32 2 安全性修改安全组规则修改已存在的安全组规则删除安全组规则 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击安全组名, 进入安全组详情界面 6. 找到您想修改的安全组规则, 单击规则所在行的修改当安全组规则入方向出方向源地址 / 目的地址有变化时, 可以通过先删除安全组规则之后重新添加安全组规则的方式进行安全组规则的更新说明由于安全组规则是白名单规则, 因此删除安全组规则后, 可能会导致弹性云服务器的网络访问出现异常, 请谨慎操作 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击安全组名, 进入安全组详情界面 6. 当不需要安全组规则时, 单击规则所在行的删除 7. 单击确定批量删除多条安全组规则您还可以同时勾选多条安全组规则, 单击列表上方的删除, 批量删除多条安全组规则导入 / 导出安全组规则如果您想将某个安全组的规则快速应用到另外一个安全组, 或者批量修改当前安全组的规则, 可以使用安全组规则的导入 / 导出功能来实现安全组的出方向入方向规则导出为 Excel 格式的文件文档版本 21 ( ) 版权所有华为技术有限公司 27

33 2 安全性说明导出修改时, 只能基于模板已有字段进行内容修改, 不能新增字段和修改字段名称, 否则会导入失败删除安全组 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击安全组名, 进入安全组详情界面 6. 导出 / 导入安全组规则单击, 将当前安全组规则导出为 Excel 文件单击, 将 Excel 文件中的安全组规则导入到当前安全组当安全组未被弹性云服务器使用释放资源时, 可以删除安全组说明系统自带的默认安全组不能删除 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择虚拟私有云 5. 在安全组界面待删除的安全组所在行, 选择删除 6. 单击确定实例加入 / 移出安全组当您创建好安全组后, 可以将弹性云服务器扩展网卡等实例加入到该安全组, 使这些实例受到安全组的保护当您不需要时, 也可以从该安全组移出对应实例支持批量添加移出操作加入安全组文档版本 21 ( ) 版权所有华为技术有限公司 28

34 2 安全性 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击操作列的关联实例 6. 在服务器页签, 单击添加, 将一个或多个服务器加入到当前安全组中 7. 在扩展网卡页签, 单击添加, 将一个或多个扩展网卡加入到当前安全组中移出安全组 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树选择安全组 5. 在安全组界面, 单击操作列的关联实例 6. 在服务器页签, 找到需要移出的服务器, 单击操作列的移出, 将服务器从当前安全组中移出 7. 在扩展网卡页签, 找到需要移出的扩展网卡, 单击操作列的移出, 将扩展网卡从当前安全组中移出批量移出安全组同时勾选多个服务器, 单击列表上方的移出, 将多个服务器从当前安全组中全部移出同时勾选多个扩展网卡, 单击列表上方的移出, 将多个扩展网卡从当前安全组中全部移出查看弹性云服务器的安全组查看弹性云服务器所属的安全组出方向入方向的规则详情 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择计算 > 弹性云服务器 4. 在弹性云服务器列表中, 单击弹性云服务器名称 5. 选择安全组页签, 查看弹性云服务器所属的安全组详情变更弹性云服务器的安全组变更弹性云服务器网卡所属的安全组文档版本 21 ( ) 版权所有华为技术有限公司 29

35 2 安全性 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择计算 > 弹性云服务器 4. 在弹性云服务器列表中, 单击待变更安全组的弹性云服务器名称 5. 选择安全组页签, 并单击更改安全组 6. 选择新的安全组您可以同时勾选多个安全组, 此时, 弹性云服务器的访问规则遵循几个安全组规则的并集说明使用多个安全组可能会影响弹性云服务器的网络性能, 建议您选择安全组的数量不多于 5 个 7. 单击确定弹性云服务器常用端口弹性云服务器常用端口如表 1 所示您可以通过配置安全组规则放通弹性云服务器对应的端口, 详情请参见添加安全组规则表 2-7 弹性云服务器常用端口协议端口说明 FTP 21 FTP 服务上传和下载文件 SSH 22 远程连接 Linux 弹性云服务器 Telnet 23 使用 Telnet 协议远程登录弹性云服务器 HTTP 80 使用 HTTP 协议访问网站 POP3 110 使用 POP3 协议接收邮件 IMAP 143 使用 IMAP 协议接收邮件 HTTPS 443 使用 HTTPS 服务访问网站 SQL Server SQL Server Oracle MySQL SQL Server 的 TCP 端口, 用于供 SQL Server 对外提供服务 SQL Server 的 UDP 端口, 用于返回 SQL Server 使用了哪个 TCP/IP 端口 Oracle 通信端口, 弹性云服务器上部署了 Oracle SQL 需要放行的端口 MySQL 数据库对外提供服务的端口文档版本 21 ( ) 版权所有华为技术有限公司 30

36 2 安全性协议 Windows Server Remote Desktop Services 端口说明 Windows 远程桌面服务端口, 通过这个端口可以连接 Windows 弹性云服务器代理 NetBIOS 端口常用于 WWW 代理服务, 实现网页浏览如果您使用了 8080 端口, 访问网站或使用代理服务器时, 需要在 IP 地址后面加上 :8080 安装 Apache Tomcat 服务后, 默认服务端口为 8080 NetBIOS 协议常被用于 Windows 文件打印机共享和 Samba :UDP 端口, 通过网上邻居传输文件时使用的端口 139: 通过这个端口进入的连接试图获得 NetBIOS/SMB 服务无法访问公有云某些端口问题现象 : 访问公有云特定端口, 在部分地区部分运营商无法访问, 而其它端口访问正常问题分析 : 部分运营商判断如下表的端口为高危端口, 默认被屏蔽表 2-8 高危端口协议端口 TCP UDP 135~ 解决方案 : 建议您修改敏感端口为其它非高危端口来承载业务 2.3 安全组配置示例安全组配置示例简介介绍常见的安全组配置示例不同安全组内的弹性云服务器内网互通在同一个 VPC 内, 用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时, 用户可以将两台弹性云服务器设置为内网互通后再拷贝资源安全组配置请参见不同安全组内的弹性云服务器内网互通文档版本 21 ( ) 版权所有华为技术有限公司 31

37 2 安全性仅允许特定 IP 地址远程连接弹性云服务器为了防止弹性云服务器被网络攻击, 用户可以修改远程登录端口号, 并设置安全组规则只允许特定的 IP 地址远程登录到弹性云服务器安全组配置请参见仅允许特定 IP 地址远程连接弹性云服务器 SSH 远程连接 Linux 弹性云服务器创建好 Linux 弹性云服务器后, 为了通过 SSH 远程连接到弹性云服务器, 您可以添加安全组规则安全组配置请参见 SSH 远程连接 Linux 弹性云服务器 RDP 远程连接 Windows 弹性云服务器创建好 Windows 弹性云服务器后, 为了通过 RDP 远程连接弹性云服务器, 您可以添加安全组规则安全组配置请参见 RDP 远程连接 Windows 弹性云服务器公网 ping ECS 弹性云服务器创建好弹性云服务器后, 为了使用 ping 程序测试弹性云服务器之间的通讯状况, 您需要添加安全组规则安全组配置请参见公网 ping ECS 弹性云服务器弹性云服务器作 Web 服务器如果您在弹性云服务器上部署了网站, 即弹性云服务器作 Web 服务器用, 希望用户能通过 HTTP 或 HTTPS 服务访问到您的网站, 您需要在弹性云服务器所在安全组中添加以下安全组规则安全组配置请参见弹性云服务器作 Web 服务器弹性云服务器作 DNS 服务器如果您将弹性云服务器设置为 DNS 服务器, 则必须确保 TCP 和 UDP 数据可通过 53 端口访问您的 DNS 服务器您需要在弹性云服务器所在安全组中添加以下安全组规则安全组配置请参见弹性云服务器作 DNS 服务器使用 FTP 上传或下载文件如果您需要使用 FTP 软件向弹性云服务器上传或下载文件, 您需要添加安全组规则安全组配置请参见使用 FTP 上传或下载文件不同安全组内的弹性云服务器内网互通场景举例 : 在同一个 VPC 内, 用户需要将某个安全组内一台弹性云服务器上的资源拷贝到另一个安全组内的弹性云服务器上时, 用户可以将两台弹性云服务器设置为内网互通后再拷贝资源安全组配置方法 : 由于同一个 VPC 内, 在同一个安全组内的弹性云服务器默认互通, 无需配置但是, 在不同安全组内的弹性云服务器默认无法通信, 此时需要添加安全组规则, 使得不同安全组内的弹性云服务器内网互通在两台弹性云服务器所在安全组中分别添加一条入方向安全组规则, 放通来自另一个安全组内的实例的访问, 实现内网互通, 安全组规则如下所示文档版本 21 ( ) 版权所有华为技术有限公司 32

38 2 安全性协议方向端口范围 /ICMP 协议类型源地址设置内网互通时使用的协议类型 ( 支持 TCP/UDP/ICMP/ All) 入方向设置端口范围或者 ICMP 协议类型 IPv4 地址 IPv4 CIDR 或者另一个安全组的 ID 仅允许特定 IP 地址远程连接弹性云服务器场景举例 : 为了防止弹性云服务器被网络攻击, 用户可以修改远程登录端口号, 并设置安全组规则只允许特定的 IP 地址远程登录到弹性云服务器安全组配置方法 : 以仅允许特定 IP 地址 ( 例如, ) 通过 SSH 协议访问 Linux 操作系统的弹性云服务器的 22 端口为例, 安全组规则如下所示协议方向端口范围源地址 SSH (22) 入方向 22 IPv4 地址 IPv4 CIDR 或者另一个安全组的 ID 例如 : SSH 远程连接 Linux 弹性云服务器场景举例 : 创建好 Linux 弹性云服务器后, 为了通过 SSH 远程连接到弹性云服务器, 您可以添加安全组规则说明默认安全组中已经配置了该条规则, 如您使用默认安全组, 无需重复配置安全组配置方法 : 协议方向端口范围源地址 SSH(22) 入方向 / RDP 远程连接 Windows 弹性云服务器场景举例 : 创建好 Windows 弹性云服务器后, 为了通过 RDP 远程连接弹性云服务器, 您可以添加安全组规则说明默认安全组中已经配置了该条规则, 如您使用默认安全组, 无需重复配置安全组配置方法 : 文档版本 21 ( ) 版权所有华为技术有限公司 33

39 2 安全性协议方向端口范围源地址 RDP(3389) 入方向 / 公网 ping ECS 弹性云服务器场景举例 : 创建好弹性云服务器后, 为了使用 ping 程序测试弹性云服务器之间的通讯状况, 您需要添加安全组规则安全组配置方法 : 协议方向端口范围源地址 ICMP 入方向 All / 弹性云服务器作 Web 服务器场景举例 : 如果您在弹性云服务器上部署了网站, 即弹性云服务器作 Web 服务器用, 希望用户能通过 HTTP 或 HTTPS 服务访问到您的网站, 您需要在弹性云服务器所在安全组中添加以下安全组规则安全组配置方法 : 协议方向端口范围源地址 TCP 入方向 80(HTTP) /0 TCP 入方向 443(HTTPS) / 弹性云服务器作 DNS 服务器场景举例 : 如果您将弹性云服务器设置为 DNS 服务器, 则必须确保 TCP 和 UDP 数据可通过 53 端口访问您的 DNS 服务器您需要在弹性云服务器所在安全组中添加以下安全组规则安全组配置方法 : 协议方向端口范围源地址 TCP 入方向 /0 UDP 入方向 / 使用 FTP 上传或下载文件场景举例 : 如果您需要使用 FTP 软件向弹性云服务器上传或下载文件, 您需要添加安全组规则文档版本 21 ( ) 版权所有华为技术有限公司 34

40 2 安全性说明您需要在弹性云服务器上先安装 FTP 服务器程序, 再查看端口是否正常工作安装 FTP 服务器的操作请参见搭建 FTP 站点 (Windows) 搭建 FTP 站点 (Linux) 安全组配置方法 : 协议方向端口范围源地址 FTP 入方向 /0 2.4 网络 ACL 创建网络 ACL 您可以创建自定义网络 ACL 默认情况下, 创建的网络 ACL 没有关联子网和出入规则且处于停用状态每个用户默认可以创建 200 个网络 ACL 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在页面右侧区域, 单击创建网络 ACL 6. 在创建网络 ACL 对话框中, 根据提示, 填写网络 ACL 参数, 如图 2-9 所示, 参数参见表 2-9 图 2-9 创建网络 ACL 文档版本 21 ( ) 版权所有华为技术有限公司 35

41 2 安全性表 2-9 参数说明参数参数说明取值样例名称描述网络 ACL 的名称, 必填项网络 ACL 的名称只能由中文英文字母数字下划线中划线组成, 且不能有空格, 长度不能大于 64 个字符网络 ACL 的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < > 符号 fw-92d3-7. 单击确定按钮, 完成创建添加网络 ACL 规则您可根据自身网络需求, 在出方向和入方向添加相应规则 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您需要修改的网络 ACL 名称进入网络 ACL 详情页面 6. 在入方向规则或出方向规则页签, 单击添加规则, 添加入方向或出方向规则单击 + 可以依次增加多条规则表 2-10 参数说明参数参数说明取值样例策略协议网络 ACL 策略必选项, 单击下拉按钮可选择网络 ACL 支持的协议必选项, 单击下拉按钮可选择目前只支持选择 TCP UDP 全部 ICMP 协议, 当选择全部或者 ICMP 时, 端口信息不可填写允许 TCP 文档版本 21 ( ) 版权所有华为技术有限公司 36

42 2 安全性参数参数说明取值样例源地址源端口范围目的地址目的端口范围描述此方向允许的源地址默认值为 /0, 代表支持所有的 IP 地址例如 : xxx.xxx.xxx.xxx/32(ip 地址 ) xxx.xxx.xxx.0/24( 子网 ) /0( 任意地址 ) 源端口范围, 取值范围是 1~65535 的数字表示某一范围时, 两个数字必须以短划线分隔例如,1-100 选择 TCP 或 UDP 协议时必须填写此方向允许的目的地址默认值为 /0, 代表支持所有的 IP 地址例如 : xxx.xxx.xxx.xxx/32(ip 地址 ) xxx.xxx.xxx.0/24( 子网 ) /0( 任意地址 ) 目的端口范围, 取值范围是介于 1~65535 的数字表示某一范围时, 两个数字必须以短划线分隔例如,1-100 选择 TCP 或 UDP 协议时必须填写网络 ACL 规则的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < > 符号 /0 22 或 /0 22 或单击确定, 添加网络 ACL 规则将子网和网络 ACL 关联当用户需进行子网关联时, 可进入该网络 ACL 详情页面的添加关联子网关联子网后, 网络 ACL 默认拒绝弹性云服务器所有出入子网的流量, 直至添加放通规则 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您需要关联的网络 ACL 名称进入网络 ACL 详情页面文档版本 21 ( ) 版权所有华为技术有限公司 37

43 2 安全性 6. 在详情页面, 单击关联子网页签 7. 在关联子网页签区域, 单击关联按钮, 弹出添加关联子网页面如图 2-10 所示图 2-10 关联子网 8. 在弹出的关联子网页面, 勾选需要进行关联的子网, 单击确定, 完成子网关联说明解除关联子网已关联网络 ACL 的子网将不会展示在添加关联子网页面中, 即暂不支持一键式解绑子网与关联子网操作, 若用户需要关联已绑定网络 ACL 的子网, 需要先解除绑定再进行关联您可根据自身网络需求, 解除网络 ACL 与子网关联 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您需要修改的网络 ACL 名称进入网络 ACL 详情页面 6. 在详情页面, 单击关联子网页签 7. 在关联子网页签详情区域, 选择对应子网的操作列, 单击取消关联 8. 单击确认文档版本 21 ( ) 版权所有华为技术有限公司 38

44 2 安全性修改网络 ACL 规则生效顺序多个网络 ACL 规则冲突, 更靠前的规则优先生效若某个规则需要优先或落后生效, 可在对应规则 ( 需要优先或落后于某个规则生效的规则 ) 前面或后面插入此规则 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您需要修改的网络 ACL 名称进入网络 ACL 详情页面 6. 在入方向规则或出方向规则页签, 选择需要优先或落后生效规则的操作列, 单击向前插规则或向后插规则 7. 根据弹出框提示, 填写需要插入规则的参数, 单击确认插入规则修改网络 ACL 规则您可根据自身网络需求, 修改出方向和入方向的规则 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您需要修改的网络 ACL 名称进入网络 ACL 详情页面 6. 在入方向规则或出方向规则页签, 单击操作列的修改, 根据界面提示修改相关参数参数说明参见表 2-11 表 2-11 参数说明参数参数说明取值样例策略协议网络 ACL 策略必选项, 单击下拉按钮可选择网络 ACL 支持的协议必选项, 单击下拉按钮可选择目前只支持选择 TCP UDP 全部 ICMP 协议, 当选择全部或者 ICMP 时, 端口信息不可填写允许 TCP 文档版本 21 ( ) 版权所有华为技术有限公司 39

45 2 安全性参数参数说明取值样例源地址源端口范围目的地址目的端口范围描述此方向允许的源地址默认值为 /0, 代表支持所有的 IP 地址例如 : xxx.xxx.xxx.xxx/32(ip 地址 ) xxx.xxx.xxx.0/24( 子网 ) /0( 任意地址 ) 源端口范围, 取值范围是 1~65535 的数字表示某一范围时, 两个数字必须以短划线分隔例如,1-100 选择 TCP 或 UDP 协议时必须填写此方向允许的目的地址默认值为 /0, 代表支持所有的 IP 地址例如 : xxx.xxx.xxx.xxx/32(ip 地址 ) xxx.xxx.xxx.0/24( 子网 ) /0( 任意地址 ) 目的端口范围, 取值范围是介于 1~65535 的数字表示某一范围时, 两个数字必须以短划线分隔例如,1-100 选择 TCP 或 UDP 协议时必须填写网络 ACL 规则的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < > 符号 /0 22 或 /0 22 或单击确定, 修改网络 ACL 规则开启 / 关闭网络 ACL 规则您可根据自身网络需求, 开启或关闭已创建的出方向和入方向的规则 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您需要修改的网络 ACL 名称进入网络 ACL 详情页面文档版本 21 ( ) 版权所有华为技术有限公司 40

46 2 安全性 6. 在入方向规则或出方向规则页签, 单击操作的开启或者关闭 7. 单击确定, 确认开启或关闭此规则删除网络 ACL 规则您可根据自身网络需求, 删除已创建的出方向和入方向的规则 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您需要修改的网络 ACL 名称进入网络 ACL 详情页面 6. 在入方向规则或出方向规则页签, 单击操作列的删除 7. 单击确定查看网络 ACL 您可以随时查看已创建网络 ACL 的详细信息修改网络 ACL 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您对应网络 ACL 名称进入网络 ACL 详情页面 6. 在详情页面, 单击关联子网入方向规则出方向规则页签可查看详细的关联子网入方向或出方向的详细信息您可根据自身网络需求, 修改已创建的网络 ACL 的名称描述 2. 在管理控制台左上角单击图标, 选择区域和项目文档版本 21 ( ) 版权所有华为技术有限公司 41

47 2 安全性 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的名称列, 单击您对应网络 ACL 名称进入网络 ACL 详情页面 6. 在详情页面, 单击名称后的, 编辑网络 ACL 名称 7. 单击, 保存网络 ACL 名称 8. 单击描述后的, 编辑网络 ACL 说明内容 9. 单击, 保存网络 ACL 描述开启 / 关闭网络 ACL 您可根据自身网络需求, 开启或关闭已创建的出方向和入方向的规则删除网络 ACL 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择对应网络 ACL 的操作列, 单击开启或关闭, 启用或关闭此网络 ACL 6. 根据弹出框中警告信息, 单击确定, 确认启动或关闭此网络 ACL 您可以随时删除已创建网络 ACL 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏单击网络 ACL 5. 在右侧在网络 ACL 列表区域, 选择网络 ACL 的操作列, 单击删除 6. 单击确定, 删除网络 ACL 说明删除网络 ACL 同时解除与网络 ACL 关联的子网, 删除网络 ACL 中已添加的规则文档版本 21 ( ) 版权所有华为技术有限公司 42

48 3 弹性公网 IP 3 弹性公网 IP 3.1 为弹性云服务器申请和绑定弹性公网 IP 可以通过申请弹性公网 IP 并将弹性公网 IP 绑定到弹性云服务器上, 实现弹性云服务器访公网的目的申请弹性公网 IP 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航树, 单击弹性公网 IP 5. 在弹性公网 IP 界面, 单击购买弹性公网 IP 6. 根据界面提示配置参数表 3-1 参数说明参数说明取值样例当前区域不同区域的资源之间内网不互通请选择靠近您客户的区域, 可以降低网络时延提高访问速度华北 - 北京一文档版本 21 ( ) 版权所有华为技术有限公司 43

49 3 弹性公网 IP 参数说明取值样例类型全动态 BGP: 可以根据设定的寻路协议实时自动优化网络结构, 以保持客户使用的网络持续稳定高效静态 BGP: 网络结构发生变化时, 无法实时自动调整网络设置以保障用户体验全动态 BGP 计费模式计费模式分为以下两种 : 包年包月按需计费按需计费标签带宽选择用于标示弹性公网 IP 地址包括键和值标签的命名规则请参考表 3-2 选择新建带宽或者使用已有带宽键 :Ipv4_key1 值 : 新建带宽带宽名称带宽的名称 bandwidth 带宽类型带宽类型分为以下两种 : 独享 : 带宽只能被一个弹性公网 IP 地址使用共享 : 带宽可以加入多个弹性公网 IP, 带宽被多个弹性公网 IP 地址共用独享计费方式按带宽计费或按流量计费按带宽计费带宽大小带宽大小, 单位 Mbit/s 100 购买量企业项目选择包年包月计费模式时, 需要选择购买时长选择按需计费模式时, 需要选择弹性公网 IP 数量弹性公网 IP 归属的企业项目, 默认归属于 Default 项目 1 Default 文档版本 21 ( ) 版权所有华为技术有限公司 44

50 3 弹性公网 IP 表 3-2 弹性公网 IP 地址标签命名规则参数规则样例键值不能为空对于同一弹性公网 IP 地址键值唯一长度不超过 36 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格长度不超过 43 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格 Ipv4_key 说明对于按需计费的弹性公网 IP, 当带宽类型选择共享带宽时, 只能在带宽名称的下拉选项中选择已有的共享带宽加入如果带宽名称不可选, 说明您没有可用共享带宽, 请先创建 7. 单击立即购买 8. 单击提交当申请选择新建带宽时, 需要同时购买带宽绑定 9. 在弹性公网 IP 界面待绑定弹性公网 IP 地址所在行, 单击绑定 10. 选择实例 11. 单击确定 3.2 解绑定和释放弹性云服务器的弹性公网 IP 当弹性云服务器无需继续使用弹性公网 IP, 可通过解绑定和释放弹性公网 IP 来释放网络资源在弹性负载均衡服务下创建并绑定的弹性公网 IP 地址, 在虚拟私有云的弹性公网 IP 地址列表中可以显示, 但是不能进行解绑定操作未绑定的弹性公网 IP 地址才可释放, 已绑定的弹性公网 IP 地址需要先解绑定后才能释放解绑单独弹性公网 IP 文档版本 21 ( ) 版权所有华为技术有限公司 45

51 3 弹性公网 IP 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏, 单击弹性公网 IP 5. 在弹性公网 IP 界面待解绑定弹性公网 IP 地址所在行, 单击解绑 6. 单击确定释放单独弹性公网 IP 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏, 单击弹性公网 IP 5. 在弹性公网 IP 界面待释放弹性公网 IP 地址所在行, 单击释放 6. 单击确定批量解绑弹性公网 IP 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏, 单击弹性公网 IP 5. 在弹性公网 IP 列表中勾选待解绑定的多个弹性公网 IP 地址 6. 单击列表左上方的解绑 7. 单击确定批量释放弹性公网 IP 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏, 单击弹性公网 IP 5. 在弹性公网 IP 列表中勾选多个待释放弹性公网 IP 6. 单击列表上方的释放 7. 单击确定 3.3 管理弹性公网 IP 地址标签应用场景为弹性公网 IP 地址添加标签, 可以方便用户识别和管理拥有的弹性公网 IP 地址您可以在申请弹性公网 IP 地址时增加标签, 或者在已经创建的弹性公网 IP 地址详情页添加标签, 最多可以给弹性公网 IP 地址添加 10 个标签标签共由两部分组成 : 键和值, 其中, 键和值的命名规则如表 3-3 所示文档版本 21 ( ) 版权所有华为技术有限公司 46

52 3 弹性公网 IP 表 3-3 弹性公网 IP 地址标签命名规则参数规则样例键值不能为空对于同一弹性公网 IP 地址键值唯一长度不超过 36 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格长度不超过 43 个字符不能包含 = * < > \\, 和 /, 且首尾字符不能为空格 Ipv4_key 在弹性公网 IP 列表页, 按标签的键或值搜索目标弹性公网 IP 地址 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择网络 > 虚拟私有云 4. 在左侧导航栏单击弹性公网 IP 5. 单击弹性公网 IP 地址列表右上角的标签搜索, 展开查询页 6. 输入待查询弹性公网 IP 地址的标签值键和值均不能为空, 当键和值全匹配时, 系统可以自动查询到目标弹性公网 IP 地址 7. 单击 +, 添加输入的标签值系统支持添加多个标签值, 并取各个标签值的交集, 对目标弹性公网 IP 地址进行搜索 8. 单击搜索系统根据标签的键和值搜索目标弹性公网 IP 地址在弹性公网 IP 地址的标签页, 执行标签的增删改查操作 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 选择网络 > 虚拟私有云 4. 在左侧导航栏单击弹性公网 IP 5. 在弹性公网 IP 地址列表中, 单击待管理标签的弹性公网 IP 地址名称 6. 在弹性公网 IP 地址详情页面, 选择标签页签, 对弹性公网 IP 地址的标签执行增删改查查看在标签页, 可以查看当前弹性公网 IP 地址的标签详情, 包括标签个数, 以及每个标签的键和值文档版本 21 ( ) 版权所有华为技术有限公司 47

53 3 弹性公网 IP 添加单击左上角的添加标签, 在弹出的添加标签窗口, 输入新添加标签的键和值, 并单击确定修改单击标签所在行操作列下的编辑, 在弹出的编辑标签窗口, 输入修改后标签的键和值, 并单击确定删除单击标签所在行操作列下的删除, 如果确认删除, 在弹出的删除标签窗口, 单击确定 3.4 修改弹性公网 IP 的带宽查看弹性公网 IP 的带宽, 修改带宽的名称大小等参数 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 选择网络 > 虚拟私有云 4. 在左侧导航树, 单击弹性公网 IP 5. 在操作列, 选择修改带宽 6. 根据界面提示修改带宽参数 7. 单击确定 3.5 IPv6 弹性公网 IP( 公测 ) 简介申请公测弹性公网 IP 支持 IPv4 地址和 IPv6 地址, 您可以申请一个全新的 IPv6 弹性公网 IP, 也可以将已有的 IPv4 弹性公网 IP 转换为 IPv6 的开启 IPv6 转换后, 将提供 IPv4 和 IPv6 弹性公网 IP 地址, 原有 IPv4 业务可以快速为 IPv6 用户提供访问能力该功能目前正在公测中, 您可以在管理控制台选择网络 > 弹性公网 IP, 单击 IPv6 EIP 进入公测申请页面, 如图 3-1 所示申请通过后, 就可以开始体验 IPv6 弹性公网 IP 文档版本 21 ( ) 版权所有华为技术有限公司 48

54 3 弹性公网 IP 图 3-1 IPv6 弹性公网 IP 公测入口说明申请 IPv6 弹性公网 IP 安全组和 NAT 网关暂时不支持 IPv6 地址的弹性公网 IP 参考 3.1 为弹性云服务器申请和绑定弹性公网 IP 申请弹性公网 IP, 在申请页面配置参数时, 请将 IPv6 转换设置为开启, 如图 3-2 所示, 就可以申请一个全新的 IPv6 弹性公网 IP 图 3-2 开启 IPv6 转换开启 IPv6 转换配置安全组当已有的 IPv4 地址的弹性公网 IP 需要增加 IPv6 地址时, 可以在弹性公网 IP 列表页面, 找到想转换的 IPv4 地址弹性公网 IP, 单击操作列的开启 IPv6 转换, 即可将已有的 IPv4 弹性公网 IP 转换为 IPv6 的转换后, 该弹性公网 IP 将同时拥有 IPv4 和 IPv6 地址开启弹性公网 IP 的 IPv6 转换后, 请务必在安全组的出方向和入方向中放通 /16 网段的 IP 地址, 如表 3-4 所示因为 IPv6 弹性公网 IP 采用 NAT64 技术, 入方向的源 IP 地址经过 NAT64 转换后, 会从 IPv6 地址转换为 /16 之间的某个 IPv4 地址, 源端口随机, 目的 IP 为本机的内部私有 IPv4 地址, 目的端口不变表 3-4 安全组规则方向协议端口和地址入方向全部源地址 : /16 出方向全部目的地址 : /16 文档版本 21 ( ) 版权所有华为技术有限公司 49

56 4 共享带宽 4 共享带宽 4.1 共享带宽简介共享带宽可以实现多个弹性公网 IP 共同使用一条带宽提供 Region 级别的带宽共享及复用能力, 同一 Region 下的所有已绑定弹性公网 IP 的弹性云服务器裸金属服务器弹性负载均衡等实例共用一条带宽资源客户有大量业务在云上时, 如果每个弹性云服务器单独使用一条带宽, 则需要较多的带宽实例, 并且总的带宽费用会较高, 如果所有实例共用一条带宽, 就可以节省企业的网络运营成本, 同时方便运维统计节省带宽使用成本提供 Region 级别的带宽复用共享能力, 节省带宽使用的运营及运维成本操作灵活不区分弹性公网 IP 类型及绑定实例类型, 随时从共享带宽中增加或移出按需计费的弹性公网 IP 计费方式灵活提供包年包月按需计费两种计费模式 4.2 购买共享带宽共享带宽需要购买才能使用 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 选择网络 > 虚拟私有云 4. 在左侧导航栏, 单击共享带宽 5. 在页面右上角, 单击购买共享带宽, 按照提示配置参数文档版本 21 ( ) 版权所有华为技术有限公司 51

57 4 共享带宽表 4-1 参数说明参数说明取值样例计费模式区域购买共享带宽时使用的计费模式, 分为以下两种 : 包年包月 : 在使用前一次性支付一定期限 ( 如 1 个月 1 年等 ) 的费用, 后续使用期限内不再针对此共享带宽资源扣费按需计费 : 按照共享带宽的使用时长进行计费不同区域的资源之间内网不互通请选择靠近您客户的区域, 可以降低网络时延提高访问速度包年包月华北 - 北京一带宽名称共享带宽的名称 Bandwidth-001 计费方式共享带宽的计费方式支持按带宽计费按带宽计费带宽大小共享带宽的大小, 单位 Mbit/s,5M 起售 10 企业项目购买量共享带宽归属的企业项目, 默认归属于 Default 项目包年包月场景需要选择, 购买共享带宽的时长 Default 2 个月 6. 单击立即购买 4.3 添加弹性公网 IP 到共享带宽添加弹性公网 IP 到共享带宽中, 共享带宽资源一个共享带宽中可以同时添加多个弹性公网 IP 说明弹性公网 IP 添加到共享带宽后, 原本的带宽大小无效, 将使用共享带宽进行限速弹性公网 IP 原本的独享带宽将会被删除, 不再计费, 不会额外计算流量和带宽费用不支持包年包月的弹性公网 IP 添加到共享带宽 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 选择网络 > 虚拟私有云 4. 在左侧导航栏, 单击共享带宽 5. 在共享带宽列表中找到您想添加弹性公网 IP 的共享带宽, 在操作列选择添加弹性公网 IP, 勾选您想添加的弹性公网 IP 文档版本 21 ( ) 版权所有华为技术有限公司 52

58 4 共享带宽 4.4 从共享带宽中移出弹性公网 IP 您可以根据需要将不需要的弹性公网 IP 从共享带宽中移出说明弹性公网 IP 移出共享带宽后会默认以移出前共享带宽的带宽大小进行限速, 按流量进行计费如果共享带宽的大小超过按流量计费的带宽上限, 移出后的带宽大小为按流量计费的带宽上限包年包月的弹性公网 IP 不能从共享带宽中移出 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 选择网络 > 虚拟私有云 4. 在左侧导航栏, 单击共享带宽 5. 在共享带宽列表中找到您想移出弹性公网 IP 的共享带宽, 选择更多 > 移出弹性公网 IP, 勾选您想移出的弹性公网 IP 4.5 修改共享带宽您可以根据需要修改共享带宽的名称计费方式和带宽大小 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 选择网络 > 虚拟私有云 4. 在左侧导航栏, 单击共享带宽 5. 在共享带宽列表中找到您想修改的共享带宽, 在操作列单击修改, 修改共享带宽的参数 4.6 删除共享带宽对于按需计费的共享带宽, 当您不需要时可以直接删除说明对于包年包月的共享带宽, 您可以退订, 但不能直接删除文档版本 21 ( ) 版权所有华为技术有限公司 53

59 4 共享带宽前提条件删除共享带宽前您需要先移出共享带宽内的弹性公网 IP, 详情请参见 4.4 从共享带宽中移出弹性公网 IP 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 选择网络 > 虚拟私有云 4. 在左侧导航栏, 单击共享带宽 5. 在共享带宽列表中找到您想删除的按需计费的共享带宽, 在操作列选择更多 > 删除, 删除该共享带宽文档版本 21 ( ) 版权所有华为技术有限公司 54

60 5 共享流量包 5 共享流量包 5.1 共享流量包简介共享流量包是一款带宽流量套餐产品, 使用方便, 价格实惠购买共享流量包后立即生效, 并自动抵扣按需按流量计费的 EIP 带宽产生的流量资费, 直到流量包用完或到期支持两种类型的共享流量包, 静态 BGP 类型支持抵扣按需按流量的静态 BGP 带宽流量资费, 动态 BGP 类型支持抵扣按需按流量的动态 BGP 带宽流量资费共享流量包支持包月和包年两种规格, 包年价格更优惠, 支持购买多个共享流量包, 优先抵扣快到期的流量包使用限制流量包不支持退订流量包对所有按需按流量的 EIP 带宽生效, 不支持对指定的某一个 EIP 带宽生效 5.2 购买共享流量包共享流量包需要购买才能使用 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 选择网络 > 虚拟私有云 4. 在左侧导航栏, 单击共享流量包 5. 在页面右上角, 单击购买共享流量包, 按照提示配置参数文档版本 21 ( ) 版权所有华为技术有限公司 55

61 5 共享流量包表 5-1 参数说明参数说明取值样例区域类型套餐有效期购买共享流量包规格不同区域的资源之间内网不互通请选择靠近您客户的区域, 可以降低网络时延提高访问速度根据弹性公网 IP 的带宽类型进行设置动态 BGP: 支持类型为动态 BGP 的按需按流量计费带宽静态 BGP: 支持类型为静态 BGP 的按需按流量计费带宽套餐时长请根据您的需要选择合适的套餐时长, 流量包不支持退订, 流量包购买成功后即刻生效, 超过有效期后未用完的流量将无法使用共享流量包的大小, 单位 GB 华北 - 北京一静态 BGP 1 个月 10GB 购买时长套餐时长 Default 购买数量共享流量包的数量 1 6. 单击立即购买文档版本 21 ( ) 版权所有华为技术有限公司 56

62 6 自定义路由 6 自定义路由 6.1 自定义路由简介自定义路由允许在虚拟私有云内添加用户自定义的路由规则通过该路由规则使得虚拟私有云内没有绑定弹性公网 IP 的弹性云服务器能够访问 Internet 6.2 VPC 内自定义路由示例 VPC 内自定义路由, 用于将同一个 VPC 内弹性云服务器发起的流量, 路由到该 VPC 内的指定的弹性云服务器主要包含以下两个场景 : 当 VPC 内的云服务器需要访问 Internet, 用户可以添加自定义路由, 通过绑定弹性公网 IP 的服务器访问 Internet 网络在通过自定义路由访问 Internet 网络时, 目的地址配置为默认的 /0( 不能配置为具体的公网网段 ), 下一跳为本 VPC 内 ECS 绑定了 EIP 的私有 IP 或者绑定了 EIP 的虚拟 IP 当 VPC 内的云服务器需要访问容器网络时, 用户可以添加自定义路由, 通过配置了容器的服务器访问容器网络在通过自定义路由访问 ECS 内部容器网络时, 目的地址可以配置为默认的 /0, 也可以配置为容器网络的网段, 下一跳为本 VPC 下已经配置了容器网络的 ECS 的私有 IP 或者虚拟 IP 每条路由信息的目的地址不能重复通过自定义路由访问 Internet 网络场景举例一个 VPC 内创建了两个弹性云服务器 ECS1 和 ECS2,ECS1 绑定了弹性公网 IP,ECS2 没有绑定弹性公网 IP, 您可以添加 VPC 的自定义路由, 使得 ECS2 可以通过 ECS1 访问 Internet 网络文档版本 21 ( ) 版权所有华为技术有限公司 57

0.0.0/0, 不能配置为具体的公网网段如果下一跳地址是虚拟 IP, 则虚拟 IP 必须绑定弹性公网 IP, 否则无法通过虚拟 IP 访问 Internet 网络 2. 参考 6.

63 6 自定义路由图 6-1 通过自定义路由访问 Internet 网络配置方法 1. VPC 的自定义路由配置如表 6-1, 目的地址配置为默认 /0, 下一跳地址为 ECS1 绑定了 EIP 的私有 IP 或者绑定了 EIP 的虚拟 IP 表 6-1 自定义路由目的地址下一跳地址 /0 ECS1 的私有 IP 地址 / 虚拟 IP 地址说明通过自定义路由访问 Internet 网络时, 目的地址配置为默认 /0, 不能配置为具体的公网网段如果下一跳地址是虚拟 IP, 则虚拟 IP 必须绑定弹性公网 IP, 否则无法通过虚拟 IP 访问 Internet 网络 2. 参考 6.4 配置 SNAT 服务器为下一跳 ECS 配置 SNAT 服务器通过自定义路由访问 ECS 内部容器网络场景举例一个 VPC 内创建了两个弹性云服务器 ECS1 和 ECS2,ECS1 内部配置了容器网络,ECS2 想要访问 ECS1 的容器网络, 您可以添加 VPC 的自定义路由, 使得 ECS2 可以通过 ECS1 访问容器网络图 6-2 通过自定义路由访问 ECS 内部容器网络配置方法文档版本 21 ( ) 版权所有华为技术有限公司 58

64 6 自定义路由 1. VPC 的自定义路由配置如表 6-2, 目的地址可以配置为默认 /0, 也可以配置为容器网络所在的网段, 下一跳地址为 ECS1 绑定了 EIP 的私有 IP, 或者绑定了 EIP 的虚拟 IP 表 6-2 自定义路由目的地址下一跳地址 /0 ECS1 的私有 IP/ 虚拟 IP 2. 参考 6.4 配置 SNAT 服务器为下一跳 ECS 配置 SNAT 服务器 6.3 VPC 外自定义路由示例 VPC 间自定义路由 VPC 外自定义路由, 用于将 VPC 外部发起的流量, 路由到 VPC 内的指定弹性云服务器在设置自定义路由时, 目的地址可以配置为默认的 /0, 也可以配置为其他网段 ( 不能与本 VPC 下子网网段冲突 ), 每条路由信息的目的地址不能配置重复场景举例两个 VPC 之间建立了对等连接, 您可以添加 VPC 的自定义路由, 使得 VPC2 下的弹性云服务器可以通过对端 VPC1 下绑定了 EIP 的弹性云服务器访问 Internet 图 6-3 VPC 间自定义路由配置方法 VPC1 和 VPC2 建立对等连接, 如图 6-4 所示文档版本 21 ( ) 版权所有华为技术有限公司 59

6 自定义路由图 6-4 VPC1 和 VPC2 建立对等连接对等连接路由配置, 如表 6-3 和表 6-4 所示表 6-3 VPC1 对等连接路由表目的地址下一跳地址 192.168.10.0/24 pc-01 表 6-4 VPC2 对等连接路由表目的地址下一跳地址 192.168.1.0/24 pc-01 0.

65 6 自定义路由图 6-4 VPC1 和 VPC2 建立对等连接对等连接路由配置, 如表 6-3 和表 6-4 所示表 6-3 VPC1 对等连接路由表目的地址下一跳地址 /24 pc-01 表 6-4 VPC2 对等连接路由表目的地址下一跳地址 /24 pc /0 pc-01 说明其中 pc-01 为对等连接的 ID, 自动生成, 不可配置自定义路由配置, 如表 6-5 所示表 6-5 VPC1 自定义路由表目标网段下一跳地址 /0 ECS1 的私有 IP/ 虚拟 IP 文档版本 21 ( ) 版权所有华为技术有限公司 60

66 6 自定义路由说明 VPC 与云专线间的路由通过自定义路由访问 Internet 网络时, 目的地址配置为默认 /0, 不能配置为具体的公网网段如果下一跳地址是虚拟 IP, 则虚拟 IP 必须绑定弹性公网 IP, 否则无法通过虚拟 IP 访问 Internet 网络场景举例您可以添加 VPC 的自定义路由, 将云专线进来的所有报文路由到 VPC 内的指定主机除了云专线的配置外,VPC 需要按照表 6-6 添加自定义路由图 6-5 VPC 与云专线间的路由配置方法 VPC 的自定义路由配置如表 6-6, 目的地址配置为默认 /0, 下一跳为 ECS 的私有 IP 或者虚拟 IP 表 6-6 VPC 自定义路由表目的地址下一跳地址 /0 ECS 的私有 IP/ 虚拟 IP 文档版本 21 ( ) 版权所有华为技术有限公司 61

67 6 自定义路由 6.4 配置 SNAT 服务器当您在使用 VPC 的路由表功能时, 需要在弹性云服务器上部署 SNAT, 使得 VPC 内其他没有绑定 EIP 的弹性云服务器可以通过它访问 Internet 该配置对 VPC 内所有子网生效前提条件已拥有需要部署 SNAT 的弹性云服务器待部署 SNAT 的弹性云服务器操作系统为 Linux 操作系统待部署 SNAT 的弹性云服务器网卡已配置为单网卡 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击计算 > 弹性云服务器 4. 在右侧弹性云服务器界面, 单击需要设置 SNAT 的弹性云服务器名称, 进入云服务器详情页面 5. 在弹性云服务器详情页面单击网卡页签 6. 单击网卡 IP 地址, 在展开的网卡详情区域内设置源 / 目的检查状态为关闭默认情况下, 源 / 目的检查状态为启用, 系统会检查弹性云服务器发送的报文中源 IP 地址是否正确, 否则不允许弹性云服务器发送该报文这有助于防止伪装报文攻击, 提升安全性但在 SNAT 场景中,SNAT 实例起转发作用, 这种保护机制会导致报文的发送者无法接收到返回的报文这种保护机制可以通过设置源 / 目的检查状态为禁用 7. 绑定 EIP 为弹性云服务器的私有 IP 绑定 EIP, 详情请参见 3.1 为弹性云服务器申请和绑定弹性公网 IP 为弹性云服务器的虚拟 IP 绑定 EIP, 详情请参见 9.3 为虚拟 IP 地址绑定弹性公网 IP 或弹性云服务器 8. 打开待配置 SNAT 弹性云服务器详情页面, 通过 remote login 登录服务器 9. 执行如下命令, 输入 root 密码, 切换至 root su - root 10. 执行如下命令, 检测弹性云服务器是否可以正常连接 Internet 说明执行如下命令前, 关闭 SNAT 服务器上响应的 IPtables 规则, 开放安全组规则 ping 回显如下所示, 表示弹性云服务器可以正常连接 Internet [root@localhost ~]# ping PING (xxx.xxx.xxx.xxx) 56(84) bytes of data. 文档版本 21 ( ) 版权所有华为技术有限公司 62

6 自定义路由 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=1 ttl=51 time=9.34 ms 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=2 ttl=51 time=9.11 ms 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=3 ttl=51 time=8.99 ms 11.

发送的报文带有公共发送者的 IP 地址, 而返回的报文能够原路返回, 这种方式称为 SNAT 操作系统需要跟踪转换过 IP 地址的报文, 确保返回的报文中目的 IP 地址可以被重写, 且报文能够转发给原始的报文发送者这一过程实现需要启用 IP 转发功能, 并设置 SNAT 规则 12. 使用 vi 打开 /etc/sysctl.conf 文件, 修改 net.ipv4.

68 6 自定义路由 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=1 ttl=51 time=9.34 ms 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=2 ttl=51 time=9.11 ms 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=3 ttl=51 time=8.99 ms 11. 执行如下命令, 查看 Linux 操作系统的 IP 转发功能是否已开启 cat /proc/sys/net/ipv4/ip_forward 回显结果 :1 为开启,0 为关闭, 默认为 0 是, 执行 14 否, 执行 12, 开启 Linux 的 IP 转发功能许多操作系统支持路由报文操作系统需要在转发报文前将报文的源 IP 地址转换成操作系统的 IP 地址, 因此, 发送的报文带有公共发送者的 IP 地址, 而返回的报文能够原路返回, 这种方式称为 SNAT 操作系统需要跟踪转换过 IP 地址的报文, 确保返回的报文中目的 IP 地址可以被重写, 且报文能够转发给原始的报文发送者这一过程实现需要启用 IP 转发功能, 并设置 SNAT 规则 12. 使用 vi 打开 /etc/sysctl.conf 文件, 修改 net.ipv4.ip_forward = 1, 按 :wq 保存退出 13. 执行如下命令, 使修改生效 sysctl -p /etc/sysctl.conf 14. 配置 SNAT 执行如下命令, 允许网段 ( 例如 : /24) 内所有云服务器内访外配置实例如图 6-6 所示 iptables -t nat -A POSTROUTING -o eth0 -s subnet -j SNAT --to nat-instance-ip 图 6-6 配置 SNAT 15. 执行如下命令, 查看是否配置成功如图 6-7 所示, 则表示配置成功 ( 例如 : /24) iptables -t nat --list 图 6-7 验证设置 16. 添加自定义路由, 详见 6.5 添加路由目的地址是 /0, 下一跳地址是 SNAT 服务器的私有 IP 或者虚拟 IP( 例如 : ) 文档版本 21 ( ) 版权所有华为技术有限公司 63

69 6 自定义路由 SNAT 服务器与 NAT 网关服务差异 NAT 网关 (NAT Gateway) 能够为虚拟私有云内的云主机 ( 弹性云服务器裸金属服务器云桌面 ) 或者通过云专线 /VPN 接入虚拟私有云的本地数据中心的服务器, 提供网络地址转换服务, 使多个弹性云服务器可以共享弹性公网 IP 访问 Internet 或使弹性云服务器提供互联网服务对比 SNAT 服务器实例,NAT 网关具有配置简单灵活易用支持跨子网部署跨可用区部署支持多种网关规格等优势, 您可以在管理控制台选择网络 > NAT 网关进行体验更多内容请参见 NAT 网关用户指南 6.5 添加路由当 VPC 内的云服务器需要访问 Internet, 用户可以添加自定义路由, 通过绑定弹性公网 IP 的服务器访问 Internet 网络 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表中, 单击需要添加路由的虚拟私有云名称 6. 在路由表页签, 单击添加路由信息 7. 根据弹出框中提示, 填写路由信息目的地址是目的网段, 默认是 /0, 如果是 VPC 内部发起的流量, 则 " 目的地址 " 可以为该 VPC 下的子网地址如果是 VPC 外部发起的流量, 则 " 目的地址 " 不能与该 VPC 下子网网段冲突但是, 每条路由信息的目的地址不能重复下一跳地址是 VPC 内的私有 IP 地址或虚拟 IP 说明如果下一跳地址是虚拟 IP, 这个虚拟 IP 必须绑定 EIP, 否则无法通过自定义路由到虚拟 IP 访问 Internet 8. 单击确定按钮, 完成创建 6.6 查询路由已经创建的路由表, 您可以随时查询文档版本 21 ( ) 版权所有华为技术有限公司 64

70 6 自定义路由 6.7 修改路由 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表中, 单击需要查询路由的虚拟私有云名称 6. 在路由表列中查看单个路由表或者所有路由表信息已经创建的路由表有变动时, 您可以修改路由表信息 6.8 删除路由 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表中, 单击需要修改路由的虚拟私有云名称 6. 在路由表页签中, 单击需要修改的路由信息所在行的操作列下的修改根据弹出框提示, 修改路由信息 7. 单击确定, 完成修改您可以随时删除已创建的路由 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择虚拟私有云 5. 在虚拟私有云列表中, 单击需要删除路由的虚拟私有云名称 6. 在路由表页签中, 单击需要删除的路由信息所在行的操作列下的删除 7. 单击确定, 完成删除文档版本 21 ( ) 版权所有华为技术有限公司 65

71 7 VPC 对等连接 7 VPC 对等连接 7.1 对等连接创建流程对等连接是指两个 VPC 之间的网络连接您可以使用私有 IP 地址在两个 VPC 之间进行通信, 就像两个 VPC 在同一个网络中一样同一区域内, 您可以在自己的 VPC 之间创建对等连接, 也可以在自己的 VPC 与其他租户的 VPC 之间创建对等连接不同区域间的 VPC 之间不能创建对等连接同租户的 VPC 创建对等连接流程图 7-1 同租户的 VPC 创建对等连接流程在同一个租户下, 创建对等连接后, 状态是已接受您需要在两端 VPC 内添加对等连接路由信息, 才能使两个 VPC 互通跨租户的 VPC 创建对等连接流程文档版本 21 ( ) 版权所有华为技术有限公司 66

72 7 VPC 对等连接图 7-2 跨租户的 VPC 创建对等连接流程跨租户创建 VPC 对等连接时, 一端 VPC 发起创建对等连接请求, 对等连接状态为待接受待对方接受该创建请求后, 对等连接状态变为已接受, 请求方和接受方须分别配置对等连接路由信息, 才能使两个 VPC 互通添加对等连接路由信息时, 如果两个 VPC 网段有重叠, 这个对等连接添加的路由将可能会失效如果要在具有重叠 CIDR 的 VPC 间建立对等连接, 确保两个 VPC 下的所有子网 CIDR 都不重叠, 此时, 您可以通过 VPC 对等连接建立子网之间的对等关系对等连接创建完成后, 可以使用 ping 命令可以检查网络两端网络是否连通 7.2 对等连接路由配置方案当您需要两个 VPC 互相通信时, 可以通过在 VPC 间建立对等连接的方式实现拥有不同 CIDR 的 VPC 可创建指向整个 VPC 的对等连接路由, 具有重叠 CIDR 的 VPC 只能针对子网创建对等连接路由指向整个 VPC 的对等连接路由配置指向整个 VPC 的对等连接包含以下几种情况 : 两个 VPC 之间建立对等连接, 多个 VPC 之间建立对等连接不论是哪种情况, 只要是指向整个 VPC 的对等连接路由配置, 建立对等连接的所有 VPC 的 CIDR 都不能重叠, 否则连接失效路由不通指向整个 VPC 的对等连接的路由配置, 目的地址为对端 VPC 的 CIDR, 下一跳地址为对等连接 ID 指向子网的对等连接路由配置如果 VPC 间的 CIDR 有重叠, 建立对等连接时, 只能针对子网建立对等关系如果 VPC 下的子网网段有重叠, 那么该对等关系不生效建立对等连接时, 请确保 VPC 之间没有重叠的子网文档版本 21 ( ) 版权所有华为技术有限公司 67

7 VPC 对等连接假设 VPC1 和 VPC2 的 CIDR 相同且相互之间子网没有重叠, 那么, 可以在两个不同的子网间建立对等连接, 具体是哪些子网具有对等关系, 是在路由表里体现的对等关系如图 7-3 图中 VPC1 的子网 A 和 VPC2 的子网 X 需要通过添加路由来建立对等关系图 7-3 子网 A 和子网 X 的建立对等连接子网 A 和子网 X 的对等连接路由配置如图

73 7 VPC 对等连接假设 VPC1 和 VPC2 的 CIDR 相同且相互之间子网没有重叠, 那么, 可以在两个不同的子网间建立对等连接, 具体是哪些子网具有对等关系, 是在路由表里体现的对等关系如图 7-3 图中 VPC1 的子网 A 和 VPC2 的子网 X 需要通过添加路由来建立对等关系图 7-3 子网 A 和子网 X 的建立对等连接子网 A 和子网 X 的对等连接路由配置如图 7-4 所示, 配置完成后, 子网 A 与子网 X 就建立了对等关系, 可以相互通信图 7-4 子网 A 和子网 X 的对等连接路由表如果两个 VPC 之间的子网网段有重叠, 那么建立的对等连接将无效, 无法相互通信如图 7-5 所示, 由于子网 B 与子网 Y 的网段相同, 因此子网 A 和子网 Y 无法建立对等关系文档版本 21 ( ) 版权所有华为技术有限公司 68

7 VPC 对等连接图 7-5 无效的对等连接当 VPC1 与多个 VPC ( 比如 :VPC2 VPC3 VPC4) 建立对等连接时,VPC1 与这些 VPC 下的子网 CIDR 都不能重叠如果 VPC2 VPC3 VPC4 具有重叠子网, 重叠子网不能同时作为对等子网与 VPC1 的子网建立对等关系 1 个子网与其他 N 个子网建立对等关系时, 所有子网的网段彼此都不能重叠 7.

74 7 VPC 对等连接图 7-5 无效的对等连接当 VPC1 与多个 VPC ( 比如 :VPC2 VPC3 VPC4) 建立对等连接时,VPC1 与这些 VPC 下的子网 CIDR 都不能重叠如果 VPC2 VPC3 VPC4 具有重叠子网, 重叠子网不能同时作为对等子网与 VPC1 的子网建立对等关系 1 个子网与其他 N 个子网建立对等关系时, 所有子网的网段彼此都不能重叠 7.3 创建同一租户下的对等连接前提条件创建对等连接首先要向需要建立对等连接的 VPC 发送请求, 您可以和自己租户内相同 Region 的其他 VPC 申请对等连接, 同租户内同 Region 的 VPC 创建对等连接, 默认自动接受已创建相同 Region 内的两个 VPC 创建 VPC 对等连接 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择对等连接 5. 在界面右侧详情区域单击创建对等连接 6. 根据界面提示配置参数, 其中租户选择当前租户, 相关参数如表 7-1 所示文档版本 21 ( ) 版权所有华为技术有限公司 69

75 7 VPC 对等连接图 7-6 创建对等连接表 7-1 参数说明参数说明取值样例名称本端 VPC 对等连接名称由汉字英文字母数字中划线下划线等构成, 一般不超过 64 个字符本端 VPC 可在下拉框中选择 peering-001 vpc_002(0a396cff-8bc b9-267cae5ac460) 本端 VPC 网段本端 VPC 网段 /24 租户建立对等连接的帐号 : 当前租户 : 表示在同一个租户内同一个 Region 下的不同 VPC 间建立对等连接其他租户 : 表示在同一个 Region 下的不同租户的 VPC 间建立对等连接当前租户项目名称项目名称, 默认为当前项目的项目名称 aaa 文档版本 21 ( ) 版权所有华为技术有限公司 70

76 7 VPC 对等连接参数说明取值样例对端 VPC 对端 VPC 网段对端 VPC 同租户 Peer VPC 可在下拉框中选择对端 VPC 网段对端 VPC 网段不能和本端 VPC 网段相同或有重叠网段, 否则对等连接路由可能会失效 vpc_fab1(65d062b3-40fa f527d2ab) /24 7. 单击确定添加 VPC 对等连接路由相同租户创建 VPC 对等连接, 默认接受请求, 要使对等连接的 VPC 可以路由数据, 还需要添加 VPC 对等连接路由信息 1. 在系统首页, 单击网络 > 虚拟私有云 2. 在左侧导航栏选择对等连接 3. 在已创建对等连接列表, 查找需要添加路由信息对等连接名图 7-7 对等连接列表 4. 单击对等连接名称链接, 进入对等连接详情页面 5. 在 VPC 对等连接详情页面, 单击本端路由 6. 在本端路由页签区域, 单击添加本端路由添加本端路由信息, 参数说明参考表 7-2 图 7-8 添加本端路由文档版本 21 ( ) 版权所有华为技术有限公司 71

77 7 VPC 对等连接表 7-2 路由参数说明参数说明取值样例目的地址下一跳地址目的地址, 对端 VPC 或子网的网段下一跳地址, 即对等连接 ID, 默认不用配置 /24 65d062b3-40fa a 7. 单击确定, 回到对等连接详情界面 8. 在对等连接详情界面, 单击对端路由 9. 在对端路由页签区域, 单击添加对端路由添加对端路由信息 10. 单击确定, 完成添加 VPC 对等连接路由信息对等连接建立后, 您可以使用私有 IP 地址在两个 VPC 之间进行通信您可以使用 ping 命令可以检查网络两端网络是否连通如果两个 VPC 不能互通, 请参考为什么对等连接创建完成后不能互通? 检查相关配置 7.4 创建不同租户下的对等连接 VPC 支持租户与其他租户内相同 Region 的 VPC 创建对等连接与其他租户内相同 Region 的 VPC 创建对等连接时, 需要对端租户同意要建立有效对等连接, 才能建立有效对等连接创建 VPC 对等连接 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择对等连接 5. 在界面右侧详情区域单击创建对等连接 6. 根据界面提示配置参数, 其中租户选择其他租户, 相关参数如表 7-3 所示表 7-3 参数说明参数说明取值样例名称对等连接名称由汉字英文字母数字中划线下划线等构成, 一般不超过 64 个字符 peering-001 文档版本 21 ( ) 版权所有华为技术有限公司 72

78 7 VPC 对等连接参数说明取值样例本端 VPC 本端 VPC 可在下拉框中选择 0a396cff-8bc b9-267cae5ac460 本端 VPC 网段本端 VPC 网段 /24 租户建立对等连接的帐号 : 当前租户 : 表示在同一个租户内同一个 Region 下的不同 VPC 间建立对等连接其他租户 : 表示在同一个 Region 下的不同租户的 VPC 间建立对等连接对端项目 ID 选择其他租户时, 有该参数项目 ID 获取参考如何获取项目 ID 对端 VPC ID 选择其他租户时, 有该参数对端 VPC ID d062b3-40fa f527d2ab 7. 单击确定接受对等连接不同租户创建对等连接, 由于本端租户没有对端租户权限, 要使对等连接生效, 需对端租户接受对等连接 1. 对端租户登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择对等连接 4. 在已创建对等连接列表, 查找需要添加路由信息对等连接名图 7-9 对等连接列表 5. 单击要接受的对端连接所在行的操作列的接受请求 6. 单击确定接受对等连接拒绝对等连接不同租户创建对等连接, 由于本端租户没有对端租户权限, 对端租户如果不同意创建对等连接, 可以选择拒绝对等连接请求, 拒绝后本次创建对等连接结束拒绝的对等连接, 需要删除后, 才能再次发起请求文档版本 21 ( ) 版权所有华为技术有限公司 73

79 7 VPC 对等连接 1. 对端租户登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择对等连接 4. 在界面右侧详情区域查看对等连接列表 5. 单击要拒绝的对等连接右侧的拒绝 6. 单击确定拒绝对等连接添加 VPC 对等连接路由不同租户创建 VPC 对等连接, 接受请求后, 要使对等连接的 VPC 可以相互通信, 还需要添加 VPC 对等连接路由信息由于本端租户没有对端租户权限, 本端租户只可以添加本端路由信息, 对端路由信息需要对端租户添加相应路由信息本端租户添加路由信息和对端租户添加路由信息操作相同, 具体操作如下 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择对等连接 4. 在已创建对等连接列表, 查找需要添加路由信息对等连接名 5. 单击对等连接名称链接, 进入对等连接详情页面 6. 在 VPC 对等连接详情页面, 单击本端路由 7. 在本端路由页签区域, 单击添加本端路由添加本端路由信息, 参数说明参考表 7-4 图 7-10 添加本端路由表 7-4 路由参数说明参数说明取值样例目的地址下一跳地址目的地址, 对端 VPC 或子网的网段下一跳地址, 即对等连接 ID, 默认不用配置 /24 65d062b3-40fa a 8. 单击确定, 完成添加 VPC 对等连接路由信息文档版本 21 ( ) 版权所有华为技术有限公司 74

80 7 VPC 对等连接如何获取项目 ID 对等连接建立后, 您可以使用私有 IP 地址在两个 VPC 之间进行通信您可以使用 ping 命令可以检查网络两端网络是否连通在管理控制台上获取到项目编号步骤如下 : 2. 在用户名的下拉列表中, 单击我的凭证 3. 在项目列表页签中查看项目 ID 7.5 查看对等连接已申请的对等连接或申请已接受的对等连接, 两端租户均可在对等连接中查看对等连接信息 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择对等连接 5. 在界面右侧详情区域可通过申请的对等连接状态或对等连接名称筛选查看对等连接图 7-11 对等连接列表 6. 单击对应的对等连接名称, 进入对等连接详情界面, 可查看对等连接路由等详细信息 7.6 修改对等连接对等连接在任何状态下, 两端租户均有权限修改对等连接目前仅支持修改对等连接的名称 2. 在管理控制台左上角单击图标, 选择区域和项目文档版本 21 ( ) 版权所有华为技术有限公司 75

81 7 VPC 对等连接 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择对等连接 5. 在界面右侧详情区域可通过申请的对等连接状态或对等连接名称筛选查看对等连接图 7-12 对等连接列表 6. 单击需要修改对等连接右侧的更多 7. 单击修改, 修改对等连接信息 8. 单击确定, 完成信息修改 7.7 删除对等连接对等连接在任何状态下, 两端租户均有权限删除对等连接对等连接删除时, 会自动删除两端 VPC 关联的路由信息 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择对等连接 5. 在界面右侧详情区域可通过申请的对等连接状态或对等连接名称筛选查看对等连接图 7-13 对等连接列表 6. 单击需要删除对等连接右侧的更多 7. 单击删除, 删除对等连接信息 8. 单击确定 7.8 在对等连接详情中查看对等连接路由对等连接路由信息添加后, 两端租户均有权限在对等连接详情界面查看对等连接路由信息文档版本 21 ( ) 版权所有华为技术有限公司 76

82 7 VPC 对等连接 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择对等连接 5. 在已创建对等连接列表, 查找需要添加路由信息对等连接名图 7-14 对等连接列表 6. 单击对等连接名称链接, 进入对等连接详情页面 7. 在 VPC 对等连接详情页面, 单击本端路由页签, 可查看此对等连接的本端路由信息 8. 在对等连接详情界面, 单击对端路由页签, 可查看此对等连接的对端路由信息 7.9 查看对等连接路由表对等连接路由信息添加后, 两端租户均有权限在对等连接路由表中查看对等连接路由信息 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择对等连接 5. 单击对等连接名称 6. 在路由表详情区域查看对等连接路由表信息 7.10 在对等连接路由详情界面删除对等连接路由对等连接路由添加后, 两端租户均有权限在对等连接详情界面删除对等连接路由信息文档版本 21 ( ) 版权所有华为技术有限公司 77

83 7 VPC 对等连接 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏选择对等连接 5. 在已创建对等连接列表, 查找需要添加路由信息对等连接名图 7-15 对等连接列表 6. 单击对等连接名称链接, 进入对等连接详情页面 7. 在对等连接详情页面, 单击本端路由页签, 可查看此对等连接的本端路由信息 8. 在本端路由页签, 选中需要删除的本端路由信息, 单击操作列的删除, 弹出删除告警框 9. 单击确定, 确认删除 10. 在对等连接详情界面, 单击对端路由页签, 可查看此对等连接的对端路由信息 11. 在对端路由页签, 选中需要删除的对端路由信息, 单击操作列的删除, 弹出删除告警框 12. 单击确定, 确认删除 7.11 在对等连接路由表中删除对等连接路由对等连接路由添加后, 两端租户均有权限在对等连接路由表中删除对等连接路由信息 2. 在管理控制台左上角单击图标, 选择区域和项目 3. 在系统首页, 单击网络 > 虚拟私有云 4. 在左侧导航栏, 单击对等连接 5. 在对等连接列表中单击需要删除路由的对等连接名称 6. 单击路由信息后面的删除链接, 删除路由信息 7. 单击确定, 确认删除路由信息文档版本 21 ( ) 版权所有华为技术有限公司 78

85 9 虚拟 IP 9 虚拟 IP 9.1 虚拟 IP 简介什么是虚拟 IP 典型组网虚拟 IP 是一个未分配给真实云服务器网卡的 IP 地址云服务器除了拥有私有 IP 地址外, 还可以拥有虚拟 IP 地址, 用户可以通过其中任意一个 IP( 私有 IP/ 虚拟 IP) 访问此云服务器同时, 虚拟 IP 地址拥有私有 IP 地址同样的网络接入能力, 包括 VPC 内二三层通信 VPC 之间对等连接访问, 以及弹性公网 IP VPN 云专线等 Internet 接入虚拟 IP 主要用在云服务器的主备切换, 达到高可用性 HA(High Availability) 的目的当主服务器发生故障无法对外提供服务时, 动态将虚拟 IP 切换到备服务器, 继续对外提供服务本节介绍两种典型的组网模式典型组网 1:HA 高可用性模式场景举例 : 如果您想要提高服务的高可用性, 避免单点故障, 可以用一主一备或一主多备的方法组合使用云服务器, 这些云服务器对外表现为一个虚拟 IP 当主服务器故障时, 备服务器可以转为主服务器, 继续对外提供服务图 9-1 HA 高可用性模式组网图文档版本 21 ( ) 版权所有华为技术有限公司 80

9 虚拟 IP 将 2 台同子网的云服务器绑定同一个虚拟 IP 将这 2 台云服务器配置 Keepalived, 实现一台为主服务器, 一台为备份服务器 Keepalived 可参考业内通用的配置方法, 此处不做详细介绍典型组网 2: 高可用负载均衡集群场景举例 : 如果您想搭建高可用负载均衡集群服务, 您可以采用 Keepalived + LVS(DR) 来实现图 9-2

86 9 虚拟 IP 将 2 台同子网的云服务器绑定同一个虚拟 IP 将这 2 台云服务器配置 Keepalived, 实现一台为主服务器, 一台为备份服务器 Keepalived 可参考业内通用的配置方法, 此处不做详细介绍典型组网 2: 高可用负载均衡集群场景举例 : 如果您想搭建高可用负载均衡集群服务, 您可以采用 Keepalived + LVS(DR) 来实现图 9-2 高可用负载均衡集群将 2 台云服务器绑定同一个虚拟 IP 将绑定了虚拟 IP 的这 2 台云服务器配置 Keepalived+LVS(DR 模式 ), 组成 LVS 主备服务器这 2 台服务器作为分发器将请求均衡地转发到不同的后端服务器上执行配置另外 2 台云服务器作为后端 RealServer 服务器关闭 2 台后端 RealServer 云服务器的源 / 目的检查 Keepalived + LVS 调度服务端安装配置以及后端 RealServer 服务器配置可以参考业内通用的配置方法, 此处不做详细介绍应用场景注意事项场景一 : 通过弹性公网 IP 访问虚拟 IP 您的应用需要具备高可用性并通过 Internet 对外提供服务, 推荐使用弹性公网 IP 绑定虚拟 IP 功能场景二 : 通过 VPN/ 云专线 / 对等连接访问虚拟 IP 您的应用需要具备高可用性并且需要通过 Internet 访问, 同时需要具备安全性 (VPN), 保证稳定的网络性能 ( 云专线 ), 或者需要通过其他 VPC 访问 ( 对等连接 ) 不推荐在云服务器配置多个同子网网卡的场景下, 使用虚拟 IP 功能若在该场景下使用虚拟 IP 功能, 云服务器内部会存在路由冲突, 导致虚拟 IP 通信异常文档版本 21 ( ) 版权所有华为技术有限公司 81

展开

天翼云 3.0 虚拟私有云用户使用指南中国电信股份有限公司云计算分公司

天翼云 3.0 虚拟私有云用户使用指南中国电信股份有限公司云计算分公司天翼云 3.0 虚拟私有云用户使用指南中国电信股份有限公司云计算分公司修订记录修改时间修改说明 2018-12-24 初次更新目录目录 1 产品介绍... 4 1.1 虚拟私有云 (CT-VPC)... 4 1.1.1 产品优势... 4 1.1.2 应用场景... 5 1.1.3 公网连接... 5 1.1.4 关联业务... 5 1.2 子网... 6 1.3 弹性 IP... 6