-
华为云虚拟私有云 VPC用户指南-IPv4/IPv6双栈网络
IPv4/IPv6双栈网络介绍 IPv4/IPv6双栈网络,表示为您的实例提供两个版本的IP地址,包括IPv4 IP地址和IPv6 IP地址。以ECS为例,IPv4/IPv6双栈网络架构如图1所示。 图1 IPv6双栈网络架构图(VPC/EIP) 表1 IPv6双栈网络构建说明(VPC/EIP)步骤 说明 1 在创建虚拟私有云VPC子网时,开启IPv6功能,则系统会自动为子网分配IPv6网段,当前不支持自定义IPv6网段。 2 相同VPC内的不同子网之间网络默认互通,网络ACL可以防护子网的网络…
-
华为云虚拟私有云 VPC用户指南-边缘网关是什么?
边缘网关 边缘网关是指在同一个虚拟私有云内,用来连接本地可用区子网和中心可用区子网之间的云内网络。 说明: 当前“非洲-约翰内斯堡”区域支持边缘网关功能。 边缘网关功能当前暂不收费。待后续启动收费时,将会提前通知您。 边缘网关应用场景 图1 边缘网关组网架构图 表 VPC及子网资源规划说明介绍了边缘网关云内资源的规划。 表1 VPC及子网资源规划说明虚拟私有云 子网 可用区 区域 VPC-EG1 Subnet1 本地可用区AZ1 本地区域A Subnet2 本地可用区AZ2 Center-Sub…
-
华为云虚拟私有云 VPC用户指南-共享VPC概述
共享VPC 共享VPC功能支持多个账号在一个集中管理、共享的VPC内创建云资源,比如ECS、ELB、RDS等。共享VPC基于资源访问管理(Resource Access Manager,简称RAM)服务的机制,VPC的所有者可以将VPC内的子网共享给一个或者多个账号使用。通过共享VPC功能,可以简化网络配置,帮助您统一配置和运维多个账号下的资源,有助于提升资源的管控效率,降低运维成本。 以下为您详细介绍共享VPC的使用场景,如图1所示。 账号A:企业的IT管理账号,共享VPC和子网的所有者。 账…
-
华为云虚拟私有云 VPC用户指南-对等连接概述
对等连接 对等连接是建立在两个VPC之间的网络连接,不同VPC之间网络不通,通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC,您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 对等连接用于连通同一个区域的VPC,如果您要连通不同区域的VPC,请使用云连接。 您可以通过对等连接构建不同的组网,常见的使用示例请参见对等连接使用示例。 接下来,通过图1中简单的组网示例,为您介绍对等连接的使用场景。 在区域A内,您的两个VPC分别为VPC-A和VPC-B,…
-
华为云虚拟私有云 VPC用户指南-IP地址组概述
IP地址组 IP地址组是一个或者多个IP地址的集合,可关联至安全组、网络ACL,用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址,您可以将其添加到一个IP地址组内。IP地址组无法独立使用,需要将IP地址组关联至对应的资源,可关联IP地址组的资源说明如表1所示。 表1 IP地址组关联资源说明关联资源 说明 示例 安全组 添加安全组规则的时候,源地址和目的地址可以选择IP地址组。 如图1所示,安全组sg-A的的入方向规则的源地址使用IP地址组ipGroup-A。 网…
-
华为云虚拟私有云 VPC用户指南-如何将子网关联至网络ACL?
操作场景 您需要将子网关联至网络ACL,并且当网络ACL状态为“已开启”时,网络ACL规则会对出入子网的流量生效。 当您将子网关联至网络ACL时,关联操作会影响子网的网络流量走向,请您谨慎评估后再执行修改,避免对业务造成影响。 约束与限制 网络ACL可以同时关联多个子网,但一个子网只能关联一个网络ACL。 子网关联网络ACL后,系统自带的默认规则将会拒绝所有出入子网的流量,需要您添加自定义规则放通流量,具体请参见添加网络ACL规则。 操作步骤 进入虚拟私有云列表页面。 您可以通过以下两个操作入口…
-
华为云虚拟私有云 VPC用户指南-如何添加网络ACL规则?
操作场景 您可以在网络ACL中添加入方向和出方向规则,用于控制流入和流出子网的流量。添加网络ACL规则时,您可以使用系统默认的规则生效顺序,也可以指定规则生效顺序,详细如下: 添加网络ACL规则(默认生效顺序):系统会按照规则添加的时间生成生效顺序,先添加的规则排序靠前,即优先匹配流量,不支持您指定生效顺序。 如表1所示,网络ACL入方向中已有两条自定义规则(规则A、规则B)和一条默认规则,自定义规则A的生效顺序为1,自定义规则B的生效顺序为2,默认规则的生效顺序排在末尾。此时添加规则C,则系统…
-
华为云虚拟私有云 VPC用户指南-如何创建网络ACL?
操作场景 网络ACL与安全组的防护范围不同,安全组对云服务器、云容器、云数据库等实例进行防护,网络ACL对子网进行防护。安全组是必选的安全防护层,当您还想增加额外的安全防护层时,可以参考以下章节创建网络ACL。两者结合起来,可以实现更精细、更复杂的安全访问控制。 网络ACL创建完成后,您需要根据实际业务场景(如允许/禁止特定端口、IP地址段的访问),自定义添加访问控制规则。然后将配置好规则的网络ACL关联至子网,以防护子网内实例。具体操作如下: 步骤一:创建网络ACL 步骤二:添加网络ACL规则…
-
华为云虚拟私有云 VPC用户指南-什么是网络ACL?
网络ACL 网络ACL是一个子网级别的可选安全防护层,您可以在网络ACL中设置入方向和出方向规则,并将网络ACL绑定至子网,可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同,安全组对云服务器、云容器、云数据库等实例进行防护,网络ACL对整个子网进行防护。安全组是必选的安全防护层,当您还想增加额外的安全防护层时,就可以启用网络ACL。两者结合起来,可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则,您可以针对每条规则指定协议、来源端口和地址、目的端口和地址…
-
华为云虚拟私有云 VPC用户指南-跨区域及跨账号迁移安全组指南
安全组为云上实例(云服务器、云容器、云数据库等)提供访问策略控制能力,用于管理实例的入方向和出方向流量。随着业务的拓展,例如需要跨区域部署资源,或者因组织架构调整导致的账号变更时,您可能需要将安全组从一个区域迁移到另一个区域,或者从一个账号迁移到另一个账号。为了高效完成迁移任务,推荐您使用安全组的导入导出或安全组克隆功能,表1提供两种迁移方法的详细介绍。 表1 跨区域及跨账号迁移安全组资源说明方法 适用场景 说明 约束与限制 操作指导 导入/导出安全组规则 账号:同账号或者跨账号均可 区域:同区…
