华为云虚拟私有云 VPC用户指南-IP地址组概述
IP地址组
IP地址组是一个或者多个IP地址的集合,可关联至安全组、网络ACL,用于简化网络架构中IP地址的配置和管理。
对于需要统一管理的IP网段、单个IP地址,您可以将其添加到一个IP地址组内。IP地址组无法独立使用,需要将IP地址组关联至对应的资源,可关联IP地址组的资源说明如表1所示。
关联资源 |
说明 |
示例 |
|---|---|---|
|
安全组 |
添加安全组规则的时候,源地址和目的地址可以选择IP地址组。 |
如图1所示,安全组sg-A的的入方向规则的源地址使用IP地址组ipGroup-A。 |
|
网络ACL |
添加网络ACL规则的时候,源地址和目的地址可以选择IP地址组。 |
如图1所示,网络ACLfw-A的入方向规则的源地址使用IP地址组ipGroup-A。 |
图1 IP地址组使用场景
IP地址组应用示例
对于安全策略相同的多个IP地址,您可以将其添加到一个IP地址组内统一管理,并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时,您只需要在IP地址组内修改IP地址,那么IP地址组对应的安全组规则将会随之变更,无需逐次修改安全组内的规则,降低了安全组管理的难度,提升效率。具体方法,请参见使用IP地址组提升安全组规则管理效率。
IP地址组的使用限制
- 对于关联IP地址组的安全组,其中IP地址组相关的规则对某些类型的云服务器不生效,不支持的规则如下:
- 通用计算型(S1型、C1型、C2型 )
- 内存优化型(M1型)
- 高性能计算型(H1型)
- 磁盘增强型( D1型)
- GPU加速型(G1型、G2型)
- 超大内存型(E1型、E2型、ET2型)
- 在网络ACL的规则中使用IP地址组时,有以下限制:
- 对于入方向规则,源地址和目的地址只能有一方使用IP地址组。
- 对于出方向规则,源地址和目的地址只能有一方使用IP地址组。
比如网络ACL入方向规则中的源地址已使用IP地址组,则目的地址只能是IP地址,无法选择IP地址组。
