网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出 入子网的数据流。
图10-11 安全组与网络 ACL
网络ACL与安全组类似,都是安全防护策略,当您想增加额外的安全防护层时,就可以 启用网络ACL。安全组对云服务器、云容器、云数据库等实例进行防护,网络ACL对子 网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制。
网络 ACL 基本信息
● 您的VPC默认没有网络ACL。当您需要时,可以创建自定义的网络ACL并将其与子 网关联。关联子网后,网络ACL默认拒绝所有出入子网的流量,直至添加放通规 则。
● 网络ACL可以关联多个子网,但一个子网同一时间只能关联一个网络ACL。
● 每个新创建的网络ACL最初都为未激活状态,直至您关联子网为止。
● 网络ACL是有状态的。如果您发送一个出站请求,且该网络ACL的出站规则是放通 的话,那么无论其入站规则如何,都将允许该出站请求的响应流量流入。同理,
如果您发送一个入站请求,且该网络ACL的入站规则是放通的,那无论出站规则 如何,都将允许该入站请求的响应流量可以出站。
不同协议的连接跟踪老化时间不同,已建立连接状态的TCP协议连接老化时间是 600s,ICMP协议老化时间是30s。对于其他协议,如果两个方向都收到了报文,
连接老化时间是180s,如果只是单方向收到了一个或多个包,另一个方向没有收 到包时,老化时间是30s。对于除TCP、UDP或ICMP以外的协议,仅跟踪IP地址和 协议编号。
网络 ACL 默认规则
每个网络ACL都包含一组默认规则,如下所示:
● 默认放通同一子网内的流量。
产品介绍 10 基本概念
● 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信 息。
● 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。
● 默认放通目的IP地址为169.254.169.254/32,TCP端口为80的metadata报文。用 于获取元数据。
● 默认放通公共服务预留网段资源的报文,例如目的网段为100.125.0.0/16的报文。
● 除上述默认放通的流量外,其余出入子网的流量全部拒绝,如表10-3所示。该规
部 0.0.0.0/0 0.0.0.0/
0 拒绝所有入站流量 出方向 * 拒
绝 全
部 0.0.0.0/0 0.0.0.0/
0 拒绝所有出站流量
● 隔离具有漏洞的应用端口,比如Wanna Cry,关闭445端口
解决方案:通过网络ACL添加拒绝规则,拒绝恶意协议和端口,比如TCP:445端 口。
● 子网内的通信无防护诉求,仅有子网间的访问限制。
解决方案:通过网络ACL设置子网间的访问规则
●
同样的网络接入能力,包括VPC内二三层通信、VPC之间对等连接访问,以及弹性公网 IP、VPN、云专线等网络接入。
您可以为多个主备部署的弹性云服务器绑定同一个虚拟IP地址,然后为虚拟IP绑定一个 弹性公网IP,搭配Keepalived,实现主服务器故障后,自动切换至备服务器,打造高可 用容灾组网。
须知
通过虚拟IP和弹性云服务器构建高可用容灾组网,必须要搭配Keepalived相关配置才可 以实现,具体可参考搭建Keepalived Nginx高可用Web集群。
典型组网
虚拟IP主要用在弹性云服务器的主备切换,搭配Keepalived,达到高可用性HA(High Availability)的目的。当主服务器发生故障无法对外提供服务时,动态将虚拟IP切换 到备服务器,继续对外提供服务。本节介绍两种典型的组网模式。
● 典型组网1:HA高可用性模式
场景举例:如果您想要提高服务的高可用性,避免单点故障,可以用“一主一 备”或“一主多备”的方法组合使用弹性云服务器,这些弹性云服务器对外表现 为一个虚拟IP。当主服务器故障时,备服务器可以转为主服务器,继续对外提供 服务。
图10-12 HA 高可用性模式组网图
– 将2台同子网的弹性云服务器绑定同一个虚拟IP。
– 将这2台弹性云服务器配置Keepalived,实现一台为主服务器,一台为备份服 务器。Keepalived可参考业内通用的配置方法,此处不做详细介绍。
● 典型组网2:高可用负载均衡集群
场景举例:如果您想搭建高可用负载均衡集群服务,您可以采用Keepalived + LVS(DR)来实现。
产品介绍 10 基本概念
图10-13 高可用负载均衡集群
– 将2台弹性云服务器绑定同一个虚拟IP。
– 将绑定了虚拟IP的这2台弹性云服务器配置Keepalived+LVS(DR模式),组 成LVS主备服务器。这2台服务器作为分发器将请求均衡地转发到不同的后端 服务器上执行。
– 配置另外2台弹性云服务器作为后端RealServer服务器。
– 关闭2台后端RealServer弹性云服务器的源/目的检查。
Keepalived + LVS调度服务端安装配置以及后端RealServer服务器配置可以参考业 内通用的配置方法,此处不做详细介绍。
应用场景
● 场景一:通过弹性公网IP访问虚拟IP。
您的应用需要具备高可用性并通过Internet对外提供服务,推荐使用弹性公网IP绑 定虚拟IP功能。
● 场景二:通过VPN/云专线/对等连接访问虚拟IP。
您的应用需要具备高可用性并且需要通过Internet访问,同时需要具备安全性
(VPN),保证稳定的网络性能(云专线),或者需要通过其他VPC访问(对等 连接)。
10.8 弹性网卡
● 扩展弹性网卡:您可以创建扩展弹性网卡,将其附加到云服务器实例上,您也可
● 弹性网卡不支持直接访问华为云内公共云服务,如内网DNS等,推荐使用VPCEP 访问华为云公共云服务,具体参见购买连接“接口”型终端节点服务的终端节 点。
10.9 辅助弹性网卡
辅助弹性网卡(Submission Elastic Network Interfaces,以下简称SubENI)是一种基 于弹性网卡的衍生资源,用于解决单个云服务器实例挂载的弹性网卡超出上限,不满
图10-14 辅助弹性网卡示意图
单个云服务器实例支持绑定的弹性网卡数量有限,当因业务需要绑定超过弹性网卡上 限的网卡时,可以通过为弹性网卡挂载辅助弹性网卡实现。
● 为云服务器实例配置多个分属于同一VPC内不同子网的辅助弹性网卡,每个辅助 弹性网卡拥有不同的私网IP、弹性公网IP,可以分别承载云服务器实例的内网、外 网和管理网流量。
● 辅助弹性网卡可配置独立安全组策略,从而实现网络隔离与业务流量分离。
约束与限制
● 单个云服务器实例支持绑定的辅助弹性网卡实例上限为256个,具体每种规格支持 的SubENI数量由云服务器实例决定。
目前仅支持c7(公测中,需要申请)、c6ne(仅用于容器)两种规格支持辅助弹 性网卡功能,规格详细信息请参见规格清单。
● 辅助弹性网卡与挂载的弹性网卡必须在同一VPC,可以分属于不同子网以及安全 组。
● 辅助弹性网卡当前仅支持更新其绑定的安全组,暂不支持其他属性的更新。
● 辅助弹性网卡不支持单独的流日志收集功能,辅助弹性网卡产生的流日志信息随 挂载的弹性网卡一同生成。
● 辅助弹性网卡使用时需要在云服务器实例的网卡上创建VLAN子接口并配置对应规 则。
当云服务器实例重启时,需要重新创建VLAN子接口并配置私网IP地址、默认路由 等规则,详细内容请参见配置辅助弹性网卡。
层互通问题,允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部
● 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计 算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为 通用Region和专属Region,通用Region指面向公共租户提供通用云服务的 Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用 Region。
● 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,
有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。
一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统 的需求。
图10-16阐明了区域和可用区之间的关系。
产品介绍 10 基本概念
图10-16 区域和可用区
目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和 可用区。更多信息请参见华为云全球站点。
如何选择区域?
选择区域时,您需要考虑以下几个因素:
● 地理位置
一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络 时延,提高访问速度。不过,在基础设施、BGP网络品质、资源的操作与配置等 方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可 以不用考虑不同区域造成的网络时延问题。
– 在除中国大陆以外的亚太地区有业务的用户,可以选择“中国-香港”、“亚 太-曼谷”或“亚太-新加坡”区域。
– 在非洲地区有业务的用户,可以选择“非洲-约翰内斯堡”区域。
– 在欧洲地区有业务的用户,可以选择“欧洲-巴黎”区域。
– 在拉丁美洲地区有业务的用户,可以选择“拉美-圣地亚哥”区域。
说明
“拉美-圣地亚哥”区域位于智利。
● 资源的价格
不同区域的资源价格可能有差异,请参见华为云服务价格详情。
如何选择可用区?
是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。
● 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区