约束与限制
更新时间 2024-11-14 09:55:54
最近更新时间: 2024-11-14 09:55:54
本章节向您介绍使用VPC产品时的约束与限制。
VPC服务配额限制
配额是在某一区域下最多可同时拥有的某种资源的数量。
天翼云为防止资源滥用,对云服务每个区域的用户资源数量和容量做了配额限制。
如需查看每个配额项目支持的默认配额,可登录控制台查询您的配额详情。如需扩大资源配额,可提交天翼云客服工单进行配额扩大申请。
| 配额名称 | 是否支持调整 |
|---|---|
| 一个用户在单个区域可创建的虚拟私有云数量 | 是 |
| 一个用户在单个区域可创建的子网数量 | 是 |
| 一个用户在单个区域内,单个VPC可关联的路由表数量 | 是 |
| 一个用户在单个区域内,单个路由表可添加的路由数量 | 否 |
| 一个用户在单个区域可创建的安全组数量 | 是 |
| 一个用户在单个区域可添加的安全组规则数量 | 是 |
| 一个用户在单个区域可创建的网络ACL数量 | 是 |
| 一个用户在单个区域可创建的IP地址组数量 | 是 |
| 一个用户在单个区域可创建的对等连接数量 | 否 |
| 一个用户在单个区域可创建的VPC流日志数量 | 否 |
| 一个用户在单个区域可创建的镜像会话数量 | 否 |
安全组的使用限制
- 为了确保良好的网络性能体验,建议一个实例最多关联5个安全组。
- 默认情况下,一个安全组最多只允许拥有50条安全组规则。
- 默认情况下,一个云服务器或扩展网卡最多只能被添加到5个安全组中,安全组规则取并集生效。
- 建议一个安全组关联的实例数量不应超过6000个,否则有可能引起安全组性能下降,甚至造成安全组策略失效。
- 在一个安全组中,对于入方向规则来说,源地址是安全组的规则数量+源地址是IP地址组的规则数量+端口是不连续端口号的规则数量≤120条,否则超过数量的安全组规则将不生效。当同时存在IPv4和IPv6类型的安全组规则时,两种类型的安全组规则单独计算,即IPv4规则和IPv6规则可以各有120条。对于安全组出方向规则来说,目的地址和端口存在一样的限制。以安全组Sg-A的入方向IPv4规则为例,下表中提供了部分符合限制条件的规则供您参考。其中,当一条安全组规则同时符合多个限制时,比如规则A02既使用了不连续端口,又使用了安全组作为源地址,此时只占用一条配额。
| 规则编号 | 策略 | 类型 | 协议端口 | 源地址 |
|---|---|---|---|---|
| 规则A01 | 允许 | IPv4 | 全部 | 当前安全组:Sg-A |
| 规则A02 | 允许 | IPv4 | TCP: 22,25,27 | 其他安全组:Sg-B |
| 规则A03 | 允许 | IPv4 | TCP: 80-82 | IP地址组:ipGroup-A |
| 规则A04 | 允许 | IPv4 | TCP: 22-24,25 | IP地址: 192.168.0.0/16 |
- 当您的组网中,ELB实例的监听器开启“获取客户端IP”功能时,来自ELB的流量将不受网络ACL和安全组规则的限制。比如规则已明确拒绝来自ELB实例的流量进入后端云主机,此时该规则无法拦截来自ELB的流量,流量依然会抵达后端云主机。
实践建议
- 请您遵循白名单原则配置安全组规则,即安全组内实例默认拒绝所有外部的访问请求,通过添加允许规则放通指定的网络流量。
- 添加安全组规则时,请遵循最小授权原则。例如,放通22端口用于远程登录云主机时,建议仅允许指定的IP地址登录,谨慎使用0.0.0.0/0(所有IP地址)。
- 请您尽量保持单个安全组内规则的简洁,通过不同的安全组来管理不同用途的实例。如果您使用一个安全组管理您的所有业务实例,可能会导致单个安全组内的规则过于冗余复杂,增加维护管理成本。
- 您可以将实例按照用途加入到不同的安全组内。例如,当您具有面向公网提供网站访问的业务时,建议您将运行公网业务的Web服务器加入到同一个安全组,此时仅需要放通对外部提供服务的特定端口,例如80、443等,默认拒绝外部其他的访问请求。同时,请避免在运行公网业务的Web服务器上运行内部业务,例如MySQL、Redis等,建议您将内部业务部署在不需要连通公网的云主机上,并将这些云主机关联至其他安全组内。
- 对于安全策略相同的多个IP地址,您可以将其添加到一个IP地址组内统一管理,并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时,您只需要在IP地址组内修改IP地址,那么IP地址组对应的安全组规则将会随之变更,无需逐次修改安全组内的规则,降低了安全组管理的难度,提升效率。
- 请您尽量避免直接修改已运行业务的安全组规则。如果您需要修改使用中的安全组规则,建议您先克隆一个测试安全组,然后在测试安全组上进行调试,确保测试安全组内实例网络正常后,再修改使用中的安全组规则,减少对业务的影响。
- 您在安全组内新添加实例,或者修改安全组的规则后,此时不需要重启实例,安全组规则会自动生效。
网络ACL的使用限制
- 同一区域内,单个用户最多可以创建200个网络ACL。
- 建议一个网络ACL单方向拥有的规则数量不要超过20条,否则会引起网络性能下降,如网络转发性能及新建连接效率降低。当超过120条后,网络ACL规则可能出现失效情况。
- 在一个网络ACL的入方向中,最多可以有124条规则关联IP地址组,出方向同理。
- 在一个网络ACL中,对于入方向规则来说,源地址是IP地址组的规则数量+目的地址是IP地址组的规则数量+源端口是不连续端口号的规则数量+目的端口是不连续端口号的规则数量 ≤ 120条,否则超过数量的网络ACL规则将不生效。当同时存在IPv4和IPv6类型的网络ACL规则时,两种类型的网络ACL规则单独计算,即IPv4规则和IPv6规则可以各有120条。
- 对于网络ACL出方向规则来说,源地址、目的地址、源端口和目的端口存在一样的限制。
以网络ACL Fw-A的入方向IPv4规则为例,下表提供了部分符合限制条件的规则供您参考。其中,当一条网络ACL规则同时符合多个限制时,比如规则A02即使用了不连续端口作为源端口,又使用了IP地址组作为源地址,此时只占用一条配额。
| 规则编号 | 生效顺序 | 类型 | 策略 | 协议 | 源地址 | 源端口范围 | 目的地址 | 目的端口范围 |
|---|---|---|---|---|---|---|---|---|
| 规则A01 | 1 | IPv4 | 拒绝 | TCP | 0.0.0.0/0 | 22,25,27 | 0.0.0.0/0 | 1-65535 |
| 规则A02 | 2 | IPv4 | 允许 | TCP | IP地址组:ipGroup-A | 22-24,25 | 0.0.0.0/0 | 1-65535 |
| 规则A03 | 3 | IPv4 | 允许 | 全部 | 0.0.0.0/0 | 全部 | IP地址组:ipGroup-B | 全部 |
| 规则A04 | 4 | IPv4 | 允许 | UDP | 0.0.0.0/0 | 1-65535 | 0.0.0.0/0 | 80-83,87 |
- 当您的组网中,ELB实例的监听器开启“获取客户端IP”功能时,来自ELB的流量将不受网络ACL和安全组规则的限制。比如规则已明确拒绝来自ELB实例的流量进入后端云主机,此时该规则无法拦截来自ELB的流量,流量依然会抵达后端云主机。
IP地址组的使用限制
在网络ACL的规则中使用IP地址组时,有以下限制:
- 对于入方向规则,源地址和目的地址只能有一方使用IP地址组。
- 对于出方向规则,源地址和目的地址只能有一方使用IP地址组。
比如网络ACL入方向规则中的源地址已使用IP地址组,则目的地址只能是IP地址,无法选择IP地址组。
路由表和路由的使用限制
当您创建VPC时,系统会同步为VPC创建一个默认路由表。除此之外,您还可以创建自定义路由表。
- 在一个VPC内,最多可关联5个路由表,包括1个默认路由表和4个自定义路由表。
- 在一个VPC内的所有路由表中,最多可容纳1000条路由。系统自动创建的路由,即类型为“系统”的路由不占用该配额。
在VPC路由表中,存在系统添加的Local路由以及自定义路由。
- 通常情况下,自定义路由的目的地址不能与系统添加的Local路由的目的地址重叠。Local路由的目的地址一般有子网网段地址,以及系统内部通信的网段地址。
- 您无法在VPC路由表中添加目的地址相同的两条自定义路由,即使路由的下一跳类型不同也不行。
在VPC路由表中,路由优先级说明如下:
- Local路由:类型为“系统”,用于VPC内通信的系统默认路由,优先级高于自定义路由。
- 自定义路由:类型为“自定义”,是用户自己添加的路由或者创建其他实例自动下发的路由。当VPC路由中存在多条自定义路由规则可以匹配上流量的目的地址时,流量遵循最长匹配原则,即优先采用掩码最长,最精确匹配的一条路由并确定下一跳。比如流量的目的地址为192.168.1.12/32,路由A的目的地址为192.168.0.0/16,下一跳为ECS-A,路由B的目的地址为192.168.1.0/24,下一跳为对等连接Peering-AB,则该流量优先匹配路由B。当路由表中存在目的地址为0.0.0.0/0的自定义路由,且子网内的ECS关联了EIP,则EIP的优先级高,此时默认会通过EIP访问公网。
虚拟IP的使用限制
- 当云主机具有多个网卡,并且这些网卡都归属一个子网时,不推荐使用虚拟IP功能。如果在该场景下使用虚拟IP功能,弹性云主机内部会存在路由冲突,导致虚拟IP通信异常。
- 虚拟IP是从VPC子网内划分的一个内网地址,因此仅支持将虚拟IP绑定至当前子网内的云主机,不支持跨子网绑定云主机。
- 使用IPv6地址的虚拟IP仅支持绑定一个网卡。
- 虚拟IP及扩展弹性网卡不支持直接访问天翼云内网云服务,如内网DNS等。
- 虚拟IP与弹性IP绑定将受弹性IP相关配额限制,具体可参看弹性IP服务约束与限制内容。
说明将虚拟IP绑定至ECS时,会将虚拟IP同时关联至ECS的安全组。一个虚拟IP最多可同时关联至10个安全组。
对等连接的使用限制
- 对等连接仅可以连通同节点内的VPC,不同节点的VPC之间不能创建对等连接。
- 配置对等连接时,当您的本端VPC和对端VPC存在网段重叠的情况时,那么您的对等连接可能会不生效。
- VPC-A和VPC-B之间创建对等连接,默认情况下,VPC-B不能通过VPC-A的EIP访问公网。您可以使用NAT网关服务或配置SNAT服务器,使得VPC-B下的弹性云主机可以通过VPC-A下绑定了EIP的弹性云主机访问Internet。
IPv4/IPv6双栈网络的使用限制
- 当前IPv4/IPv6双栈网络暂不收费,后续定价会根据中国电信收费策略的变化进行调整。
- 弹性云主机ECS部分规格支持IPv6网络,只有选择支持IPv6的ECS,才可以使用IPv4/IPv6双栈网络。
VPC流日志的使用限制
- 一个账户在单个节点内,最多可创建10个VPC流日志。
流量镜像的使用限制
- 流量镜像的报文采用标准的VXLAN报文格式封装。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时,系统会对报文进行截断。为了防止报文被截断,建议您在IPv4场景下,设置弹性网卡的MTU值比链路支持的MTU值至少小64字节。
- 当镜像源为弹性网卡时,仅支持c7n、m7n规格的ECS弹性网卡作为镜像源。
- 如果一个弹性网卡已被用作镜像源,则镜像目的不能使用该弹性网卡。
- 流量镜像会占用弹性网卡绑定实例的带宽,并且不做独立限速。
- 当一个镜像目的实例需要接收来自多个镜像源的流量镜像时,为了确保正常使用,请您根据业务实际需要合理规划云主机的规格。
- 根据流量镜像的匹配规则,同一个镜像源的同一个报文同时符合多个筛选条件规则,也仅会被匹配一次,并且根据采集策略决定是否镜像到目的实例。
- 对于镜像源弹性网卡已被安全组或者网络ACL拦截丢弃的报文,流量镜像不会镜像该部分报文。
当镜像源的报文符合筛选条件被镜像时,该报文不受镜像源安全组或者网络ACL出方向规则约束,即您无需在镜像源的安全组或者网络ACL做额外配置。但是如果需要将报文镜像到镜像目的实例时,则需要为镜像目的实例所在的安全组和网络ACL配置以下规则:
- 安全组规则:允许来自镜像源的UDP协议报文访问镜像目的的4789端口。
- 假如镜像源弹性网卡的私有IP地址为192.168.0.27,则安全组规则配置示例下表所示。
| 规则类别 | 策略 | 类型 | 协议端口 | 源地址 |
|---|---|---|---|---|
| 入方向规则 | 允许 | IPv4 | 自定义UDP:4789 | IP地址:192.168.0.27/32 此处仅为示例,请根据实际情况配置。 |
- 不同的虚拟私有云VPC之间网络不通,如果镜像源和镜像目的实例不在同一个VPC内,则您需要使用VPC对等连接连通VPC之间的网络。
弹性网卡的使用限制
- 云主机可绑定的扩展弹性网卡数量由云主机实例规格决定。
- 扩展弹性网卡不支持直接访问华为云内公共云服务,如内网DNS等。
辅助弹性网卡的使用限制
- 单个云主机实例支持绑定的辅助弹性网卡实例数量,由云主机实例规格决定。
- 辅助弹性网卡不支持绑定虚拟IP。
- 不支持单独收集辅助弹性网卡的流日志,辅助弹性网卡的流日志信息跟随所属的弹性网卡一同生成。
VPC IPv4扩展网段的使用限制
- 创建子网时候,您可以基于主网段或者扩展网段来分配子网网段,但是一个子网网段,要么属于主网段,要么属于扩展网段,不能两个网段混用。
- 同一个VPC内的子网默认互通,基于主网段的子网和基于扩展网段的子网也是默认互通。
- 扩展网段的子网地址与VPC路由表中已有路由的目的地址相同或者重叠,会导致已有路由不生效。
- 在扩展网段中创建子网时,系统会为该子网生成一条目的地址为子网网段,下一跳为Local的路由,Local路由属于VPC内部路由,优先级高于VPC路由表中添加的其他路由。比如,VPC路由表已有某个下一跳为对等连接的路由,其目的地址为100.20.0.0/24;新增扩展网段子网的路由,其目的地址为100.20.0.0/16,100.20.0.0/16和100.20.0.0/24网段重叠,流量优先通过扩展网段子网的路由转发,会导致对等连接的路由失效。
