VPC网段、子网的网段是否可以修改?
不可以
VPC网段、子网的网段一旦创建,不能进行修改。
您可以将云主机、物理机等计算实例更换子网或者更换VPC来实现网段更换,具体参考如何修改内网IP、切换VPC
子网被相关资源占用时,会导致无法删除子网,如何排查相关资源?
虚拟私有云的子网被弹性云主机、物理机、虚拟IP、NAT网关、弹性负载均衡、路由表等资源使用时,子网无法删除。请根据子网信息排查子网中是否含有以上资源,先删除子网中的全部资源,再删除子网。
什么是安全组?
安全组是一种虚拟防火墙,用来控制弹性云服务器进出流量,加强弹性云服务器的安全保护。安全组创建后,用户可以在安全组中定义各种访问规则,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。
安全组规则支持哪些协议?
安全组规则支持配置TCP、UDP、ICMP和Any,Any表示对所有协议生效。选择TCP、UDP协议时,配置允许该协议访问安全组的端口范围为1-65535。当您选择ICMP协议时,可以在下拉列表中指定ICMP协议类型,此时默认类型是Any。
安全组默认规则作用是什么?
安全组规则入方向表示从外部访问弹性云服务器,出方向表示弹性云服务器访问外部。弹性云服务器加入安全组后,如果安全组中没有任何规则,则弹性云服务器无法访问外部网络,同时外部网络也无法访问弹性云服务器。安全组默认出方向规则表示弹性云服务器可以访问外部,默认入方向规则表示弹性云服务器可以被同一安全组内其他弹性云服务器访问。
需要注意的是,安全组不能解决网络故障或网络配置错误类问题。例如,因为网络原因,两个弹性云服务器之间本来就无法互相访问,即使配置了允许他们互相访问安全组规则,这两个弹性云服务器仍无法通信。
如何设置安全组规则?
安全组规则支持入方向和出方向。
针对入方向规则,限制源地址为安全组或者网段(CIDR),对于可用区资源池来说,源地址若为安全组,则仅可以选同一VPC下的安全组;对于地域资源池来说,源地址若为安全组,则可以选择该资源池内所有可用安全组。
针对出方向规则,限制目的地址为安全组或网段(CIDR),对于可用区资源池来说,目的地址若为安全组,则仅可以选择同一VPC下的安全组;对于地域资源池来说,目的地址若为安全组,则可以选择该资源池内所有可用安全组。源地址和目的地址是否支持安全组的情况以控制台展现为主。
两个相同优先级的安全组规则,一个规则拒绝、一个规则允许,哪条规则生效?
在安全组规则优先级相同的情况下,一个规则拒绝、一个规则允许,拒绝优于允许,默认拒绝(drop)规则生效。
当云服务器绑定一个或多个安全组的时候,存在多条安全组规则,安全组规则的排序策略是:
- 首先,考虑规则的优先级,安全组规则优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,级别越高。安全组规则的优先级支持修改,具体请参考“修改安全组规则”。请您合理设置安全组规则的优先级。
- 其次,在相同优先级时,考虑授权策略,遵循拒绝(Drop)规则优先原则,授权策略为拒绝(Drop)的规则总是排在授权策略为允许(Accept)的规则之前。
- 最后,流量按照协议、端口、远端地址等信息匹配每条规则,如果成功匹配某条规则,将会对流量执行规则授权策略指定的动作,允许或拒绝流量通行。
- 当规则优先级且授权策略相同时,如果存在安全组规则远端地址重叠的情况,安全组取其并集生效。例如,您配置一条策略为允许、端口为22、IP地址为0.0.0.0/0的入向安全组规则及一条策略为允许、端口为22、IP地址为192.168.0.0/32的入向安全组规则,那么安全组的生效策略是允许端口为22的全部网段流量进入云服务器。
筛选条件被镜像会话引用时支持修改吗?
支持。
筛选条件被引用时,也允许添加、编辑、删除出/入方向规则。
创建镜像会话时关联筛选条件,镜像会话创建成功后开启镜像会话,则筛选规则将会镜像符合条件的流量。当您的筛选条件以不能满足您的镜像需求时,您可以直接在筛选条件中变更您的筛选规则,或者您可以变更镜像会话所引用的筛选条件。
镜像会话中是否支持变更筛选条件?
支持。
仅停止状态支持变更筛选条件,运行中状态禁止变更。
创建镜像会话时关联筛选条件,镜像会话创建成功后开启镜像会话,所有符合筛选条件的网络流量都会被镜像。当您的筛选条件以不能满足您的镜像需求时,您可以直接变更筛选条件或者在筛选条件中变更您的筛选规则。单个筛选条件下最多可以增加20个筛选规则(出/入方向各10个)。
如何让云主机中不生效系统默认追加的DNS?
用户通过DHCP选项集或是在子网属性中配置的DNS后,为了确保用户上网业务正常,系统会自动追加低优先级的DNS :114.114.114.114
在linux操作系统下,可登录云主机,通过以下命令,让云主机忽略dhcp下发的IPv4 DNS,只生效指定的DNS。
sudo nmcli con mod "eth0" ipv4.dns "1.2.3.4" // eth0为云主机的网口名称;1.2.3.4为用户指定生效的DNS,如有多个IP地址,空格分隔就行,如 sudo nmcli con mod "eth0" ipv4.dns "1.2.3.4 1.2.3.5"
sudo nmcli con mod "eth0" ipv4.ignore-auto-dns yes // eth0为云主机的网口名称;
sudo nmcli con up "eth0" // eth0为云主机的网口名称;
弹性网卡是否支持修改MAC地址?
不支持。
弹性网卡创建后,MAC地址就固定了,不支持修改;如果需要云主机的主网卡MAC地址保持不变,可通过做虚机迁移的方式切换到其他VPC网络,以保持主网卡的MAC地址不变。
DHCP选项集中的DNS、租约时间修改后是否立即生效?
否。
DHCP选项集中的DNS、租约时间修改后不会立即生效,需要等待关联VPC下的实例自动续租后生效,实例会根据情况,在DHCP租约到期前,触发续租。
如果需要DNS、租约时间配置立即生效,可以通过手动重启使其生效,以下方法任意选择一种即可
- 重启云服器
- 重启DHCP Client服务:service dhcpd restart
- 重启网络服务:service network restart
注意手动重启云服务、重启DHCP Client服务、重启网络服务可能会导致业务中断,请评估后谨慎操作。
说明对于不同操作系统的云服务器,重启DHCP Client服务、重启网络服务的命令不同,此处命令仅供您参考。
已绑定云资源的弹性网卡,释放或新分配IPv6地址是否立即生效?
否。
由于云主机操作系统中的IPv6地址是通过DHCP下发的,当弹性网卡变更IPv6地址后,需要等到云主机下次续约时才能生效。如果需要让变更后的IPv6地址立即生效,可通过以下几个方法,任选其一:
- 重启云服器
- 解绑弹性网卡重新绑定
- 重启DHCP Client服务:service dhcpd restart
- 重启网络服务:service network restart
注意以上几个立即生效的方法,可能会导致业务中断,请评估后谨慎操作。
