文档中心

专有网络VPC用户指南

最近更新时间：

3 操作指南

3.1 权限管理

权限管理支持通过统一身份认证服务（Identity and Access Management，IAM）或组织管理进行配置。

IAM 权限管理仅在“组织管理”未开启状态下可用。“组织管理”功能开启后，资源标签和 IAM权限管理功能将不再可用。若需使用组织管理功能进行权限管理，详细描述请参见《控制台快速入门》的“组织管理”章节。

3.1.1 IAM 权限

IAM 权限简介

身份认证与访问管理服务（Identity and Access Management，IAM）提供用户身份认证、权限分配、访问控制等功能，通过创建多个 IAM 用户并授权不同资源权限策略，可实现不同 IAM 用户之间的

权限隔离。

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM用户，需将其加入用户组，且该用户组已添加 IAM 权限策略。

IAM 权限策略是一组资源权限集，VPC 支持“系统策略”和“自定义策略”。

系统策略

系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。VPC 支持的系统策略如下：

自定义权限策略

自定义策略是由系统开放资源授权项（Action），支持自主创建、更新和删除策略。目前支持“可视化配置”和“脚本配置”两种方式创建自定义权限策略：

•可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

•脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

专有网络 VPC 支持的资源授权项如下：

3.1.2 设置 IAM 权限

3.1.2.1 任务简介

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM用户，可选择直接给用户添加 IAM 权限策略；也可选择需将其加入用户组，且该用户组已添加 IAM权限策略。

本小节主要介绍如何设置 IAM 权限，授权 IAM 用户使用 VPC 资源。

3.1.2.2 前提条件

给用户组授权之前，已了解用户需具备的 VPC 权限，并已掌握权限策略授权范围。

3.1.2.3 创建 IAM 用户

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)单击页面右上角的“创建用户”，进入创建用户页面。

(4)配置 IAM 用户账号信息和访问方式。

- 账号信息：可根据需要输入用户名、显示名、手机号、邮箱和备注信息。

单击“添加用户”可继续创建 IAM 用户，一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

- 访问方式：可根据需要选择控制台访问或编程访问。

− 控制台访问：用户使用账号密码访问云平台。选择该项后，可根据需要设置控制台密码生成方式。

− 编程访问：启用 AccessKey ID 和 AccessKeySecret，支持通过 API 或其他开发工具访问。

(5)单击“确定”，弹出 IAM 用户创建成功窗口。

(6)单击“确定”，下载用户密码至本地保存，且可查看新创建的用户列表。

3.1.2.4 IAM 用户授权

1. 授权单个 IAM 用户使用 VPC

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)单击 IAM 用户对应操作列的“添加权限”，弹出添加权限窗口。

(4)在“授权范围”区域，选择权限范围。可选择“整个云账号”或“指定资源组”。

(5)在“被授权主体类型”区域，确认被授权主体类型为 IAM 用户，并确认被授权主体为当前IAM 用户。

(6)在权限策略区域，选择一个或多个 VPC 权限策略后，单击 0.2.png ，将其移入已选择区域，表示要为该 IAM 用户添加的权限。

- 您也可以将已配置的权限策略移除。

- 权限策略区域列表中包含该账号下全量的系统策略和自定义策略。

(7)单击“确定”，完成为单个 IAM 用户的授权操作。

2. 授权用户组使用 VPC

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)在左侧导航栏选择“用户组”，进入用户组页面。

(4)创建用户组。

a. 单击页面右上角的“创建用户组”，弹出创建用户组窗口。

b. 可根据需要输入用户组名称和备注信息。

c. 单击“确定”，完成创建用户组操作。

(5)添加组成员。

a. 单击用户组对应操作列的“添加组成员”，弹出添加组成员窗口。

b. 在用户区域，选择一个或多个 IAM 用户后，单击 0.2.png ，将其移入已选择区域。

− 您也可以将已添加的用户从用户组移除。

− 用户区域列表包含该账号下已创建的全部 IAM 用户。

− 已被添加至其他用户组的用户置灰，不能被添加到新用户组。

c. 单击“确定”，完成添加用户组成员操作。

(6)添加用户组权限。

a. 单击用户组对应操作列的“添加权限”，弹出添加权限窗口。

b. 在权限策略区域，选择一个或多个 VPC 权限策略后，单击 0.2.png ，将其移入已选择区域，表示要为该 IAM 用户添加的权限。

− 您也可以将已配置的权限从用户组移除。

− 权限策略列框包含该账号下全量系统策略和自定义策略。

c. 单击“确定”，完成添加用户组权限操作。

3.1.2.5 IAM 用户登录并验证权限

(1)使用 IAM 用户账号登录专属云控制台。

(2)鼠标悬浮在页面左上角的 0.1.png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)对专有网络 VPC 里的相关资源执行相应操作，确认权限策略是否生效。

3.1.3 创建 IAM 自定义权限策略

3.1.3.1 任务简介

IAM 权限策略是一组资源权限集，专有网络 VPC 支持“系统策略”和“自定义策略”。

如果预置的专有网络 VPC 系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对专有网络 VPC 资源进行精细的权限管理。目前支持“可视化配置”和“脚本配置”两种方式创建自定义权限策略。

•可视化配置：按可视化导航栏选择权限策略效力、云产品/服务、操作、资源、请求条件等内容，自动生成权限策略。

•脚本配置：提供基本权限策略模板，可根据需要输入权限策略内容。

本小节主要介绍如何在管理控制台创建自定义策略。

3.1.3.2 可视化配置自定义策略

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)在左侧导航栏选择“权限策略管理”，进入权限策略管理页面。

(4)单击“创建自定义权限策略”，进入创建自定义权限策略页面。

(5)配置权限策略的基本信息。

- 权限策略名称：根据需要输入权限策略的名称。

- 备注：可根据需要输入权限策略的备注信息。

(6)配置方式：选择“可视化配置”。

(7)配置权限策略内容。

a. 配置权限策略效力，可选择“允许”或“拒绝”。

− 允许：表示该策略为允许操作效力。

− 拒绝：表示该策略为拒绝操作效力。

b. 配置云服务，选择“专有网络 VPC”。

c. 配置云服务操作，根据需要选择操作权限。

d. 配置资源，可选择“全部资源”或“特定资源”。

e. （可选）配置请求条件。

单击“添加请求条件”，在弹出窗口中根据下表中的参数说明进行配置后，单击“确定”。

(8)确认配置信息无误后，单击“确定”，完成可视化配置自定义策略操作。

3.1.3.3 脚本配置自定义策略

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)在左侧导航栏选择“权限策略管理”，进入权限策略管理页面。

(4)单击“创建自定义权限策略”，进入创建自定义权限策略页面。

(5)配置权限策略的基本信息。

- 权限策略名称：根据需要输入权限策略的名称。

- 备注：可根据需要输入权限策略的备注信息。

(6)配置方式：选择“脚本配置”。

(7)在权限策略内容区域，可根据需要直接编辑脚本，也可基于已有策略进行修改。

(8)确认配置信息无误后，单击“确定”，完成脚本配置自定义策略操作。

3.2 专有网络

3.2.1 创建专有网络

任务简介

每个 VPC 代表一个私有网络，与其他 VPC 逻辑隔离。如果您有多个业务系统（例如生产环境和测试环境）要严格进行隔离，那么可以使用多个 VPC 进行业务隔离。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0.1.png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)单击页面右上角的“创建专有网络”，进入创建专有网络 VPC 页面。

(4)根据下表中的参数说明进行配置，完成后单击“免费创建”。

3.2.2 导出专有网络

任务简介

支持将专有网络 VPC 的信息导出为.xlsx 文件。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0.1.png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)单击页面右上角的“导出”，弹出导出窗口。

(4)根据需要配置如下参数：

- 导出范围：若选择导出检索结果，则只会导出根据查询条件查询出的专有网络 VPC 的信息。若选择导出全部，则会导出全部专有网络 VPC 的信息。

- 自定义导出列：可根据需要指定要导出专有网络 VPC 的信息，包括专有网络名称/ID、IPv4 网段、状态、子网个数、服务器个数、创建时间、路由表个数。

(5)单击“确定”，即可将专有网络 VPC 的信息保存到本地。

3.2.3 删除专有网络

限制与指导

•若专有网络 VPC 内有关联的云服务或子网，则需要删掉这些资源后才能进行删除操作。

•专有网络 VPC 删除后无法恢复，请谨慎操作。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0.1.png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)单击专有网络 VPC 对应操作列的“删除”，弹出确认窗口。

(4)单击“确定”，即可删除该专有网络 VPC。

3.3 子网

3.3.1 创建子网

任务简介

创建专有网络时，会创建默认子网。当默认子网无法满足需求时，您可以创建新的子网。单个专有网络最多创建 8 个子网。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“子网”，进入子网页面。

(4)单击页面右上角的“创建子网”，弹出创建子网窗口。

(5)根据下表中的参数说明进行配置。

(6)单击“确定”，完成创建子网操作。

3.3.2 开启 IPv6

限制与指导

IPv6 功能开启后无法关闭。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“子网”，进入子网页面。

(4)单击子网对应操作列的“开启 IPv6”，弹出确认窗口。

(5)单击“确定”，完成子网开启 IPv6 功能。

3.3.3 子网 IP 地址管理

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“子网”，进入子网页面。

(4)选择要查看的子网，单击该子网 ID 链接，进入该子网的基本信息页面。

(5)在左侧导航栏选择“IP 地址管理”，进入 IP 地址管理页面，可以查看 IPv4 和 IPv6 地址信息。

3.3.4 虚拟 IP 地址管理

3.3.4.1 申请虚拟 IP 地址

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“子网”，进入子网页面。

(4)单击某个子网的 ID 链接，进入该子网的基本信息页面。

(5)在左侧导航栏选择“虚拟 IP 地址管理”，进入虚拟 IP 地址管理页面。

(6)单击页面右上角的“申请虚拟 IP 地址”，弹出申请虚拟 IP 地址窗口。

(7)选择创建方式：

- 自动分配：选择自动分配，系统会随机分配一个虚拟 IP 地址。

- 手动分配：选择手动分配，需手动输入一个虚拟 IP 地址。

(8)单击“确定”，完成申请虚拟 IP 地址。

3.3.4.2 绑定弹性公网 IP

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“子网”，进入子网页面。

(4)单击某个子网的 ID 链接，进入该子网的基本信息页面。

(5)在左侧导航栏选择“虚拟 IP 地址管理”，进入虚拟 IP 地址管理页面。

(6)单击虚拟 IP 地址对应操作列的“绑定弹性公网 IP”，弹出绑定弹性公网 IP 窗口。

(7)选择要绑定的弹性公网 IP。

(8)单击“确定”，完成绑定弹性公网 IP 操作。

3.3.4.3 绑定实例

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“子网”，进入子网页面。

(4)单击某个子网的 ID 链接，进入该子网的基本信息页面。

(5)在左侧导航栏选择“虚拟 IP 地址管理”，进入虚拟 IP 地址管理页面。

(6)单击虚拟 IP 地址对应操作列的“绑定实例”，弹出绑定实例窗口。

(7)选择云服务器实例和网卡信息。

(8)单击“确定”，完成绑定云服务器实例操作。

3.3.4.4 删除虚拟 IP 地址

限制与指导

删除虚拟 IP 地址前，请先解绑弹性公网 IP 或解绑实例，否则无法执行删除操作。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“子网”，进入子网页面。

(4)单击某个子网的 ID 链接，进入该子网的基本信息页面。

(5)在左侧导航栏选择“虚拟 IP 地址管理”，进入虚拟 IP 地址管理页面。

(6)选择要删除的虚拟 IP 地址，单击操作列的“删除”，弹出确认窗口。

(7)单击“确定”，完成删除虚拟 IP 地址操作。

3.3.5 删除子网

限制与指导

•如果子网内有关联未释放的云资源，例如 ECS、RDB、负载均衡等，请全部释放后再进行删除操作。

•删除子网后无法恢复，请谨慎操作。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“子网”，进入子网页面。

(4)选择要删除的子网，单击操作列的“删除”，弹出确认窗口。

(5)单击“确定”，即可删除该子网。

3.4 路由表

3.4.1 路由表概述

路由表

路由表由一系列路由规则组成，用于控制专有网络 VPC 内子网的出流量走向。VPC 中的每个子网都必须关联一个路由表，且一个子网只能关联一个路由表，但一个路由表可以关联多个子网。

路由表类型

路由表有默认路由表和自定义路由表两种类型：

•默认路由表：用户创建专有网络 VPC 时，系统会自动为其生成一个默认路由表，创建的子网会自动关联默认路由表，默认路由表保证子网间互通。您可以在默认路由表中添加、删除和修改路由规则，但无法删除默认路由表。

•自定义路由表：您可以为具有相同路由规则的子网创建一个自定义路由表，并将该路由表与子网关联。自定义路由表支持删除操作。

路由

路由即路由规则，路由表通过路由规则来决定网络流量的走向。路由规则由目的地址、下一跳类型、和下一跳组成，具体说明请见下表。

路由分为默认路由和自定义路由两种类型：

•默认路由：系统自动在默认路由表中添加默认路由，用于 VPC 内实例的互通。默认路由无法修改或删除。

•自定义路由：可以通过添加自定义路由来自定义网络流量的走向，需要指定目的地址、下一跳类型和下一跳。自定义路由的目地地址不能与默认路由的目地地址重叠。

3.4.2 创建路由表

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“路由表”，进入路由表页面。

(4)单击页面右上角的“创建路由表”，弹出创建路由表窗口。

(5)根据下表中的参数说明进行配置。

(6)单击“确定”，完成创建路由表。

3.4.3 添加自定义路由

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“路由表”，进入路由表页面。

(4)单击路由表 ID 链接，进入该路由表基本信息页面。

(5)单击“添加自定义路由”，弹出添加自定义路由窗口。

(6)根据下表中的参数说明进行配置。

(7)单击“确定”，完成添加自定义路由。

3.4.4 关联子网

限制与指导

•只能关联所属 VPC 内的子网。

•一个子网只能关联一个路由表，关联后，子网下的云资源将启动新路由表策略，请确认对业务造成的影响，谨慎操作。

•一个路由表可以关联同 VPC 内的多个子网。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“路由表”，进入路由表页面。

(4)单击路由表对应操作列的“关联子网”，进入关联子网页面。

(5)单击“关联子网”，可在弹出窗口中选择子网。

(6)单击“确定”，完成路由表关联子网操作。

3.4.5 更换路由表

限制与指导

•只能更换所属 VPC 内的路由表。

•一个子网只能关联一个路由表。

•关联新路由表后，原有的关联关系失效，新的关联关系生效。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“路由表”，进入路由表页面。

(4)单击路由表 ID 链接，进入该路由表基本信息页面。

(5)在左侧导航栏选择“关联子网”，进入关联子网页面。

(6)单击子网对应操作列的“更换路由表”，弹出更换路由表窗口。

(7)选择要更换的路由表后，单击“确定”。

3.4.6 导出路由表

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“路由表”，进入路由表页面。

(4)单击页面右上角的“导出路由表”，弹出导出路由表窗口。

(5)输入导出文件名后，单击“导出”，即可将本地域所有的路由表信息保存到本地。

3.5 安全组

3.5.1 管理安全组

3.5.1.1 安全组概述

安全组

安全组类似防火墙功能，是一个逻辑上的分组，为同一个 VPC 内具有相同安全保护需求并相互信任的云服务器、裸金属服务器等实例提供访问策略。安全组创建后，您可以根据需要设置安全组的出方向和入方向规则，当实例加入该安全组后，即受到这些访问规则的保护。

系统会为每个用户默认创建一个 sys_default 默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的实例无需添加规则即可互相访问。

缺省安全组

系统提供了三个缺省安全组，其中具体说明请参见下表。

安全组模板

新建安全组时，您可以选择系统为您提供的三种安全组模板，方便您快速创建安全组。

•开放全部端口：将会放通所有出入站流量。

•通用 Web 服务器：默认放通 21、22、3389、80、443 端口和 ICMP 协议。

•自定义：入方向不放通任何端口，您可在安全组创建后根据实际需求配置安全组规则。

安全组的限制

•默认情况下，一个用户可以创建 100 个安全组。

•一个安全组最多允许拥有 50 条安全组规则，按照优先级进行匹配，优先级高的规则生效。

当有规则冲突时，拒绝策略生效。

3.5.1.2 安全组配置流程

安全组的配置流程如下图所示：

3.5.1.3 创建安全组

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击页面右上角的“创建安全组”，弹出创建安全组窗口。

(5)根据下表中的参数说明进行配置。

(6)单击“确定”，完成创建安全组。

3.5.1.4 删除安全组

限制与指导

删除安全组前，请先解除该安全组与其它安全组规则的关联，否则无法进行删除操作。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击安全组对应操作列的“更多 > 删除”，弹出确认窗口。

(5)单击“确定”，完成删除安全组。

3.5.2 管理安全组规则

3.5.2.1 创建安全组规则

任务简介

安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。可根据需要为系统中已有的安全组配置规则。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“配置规则”，进入“入方向规则”页面。系统提供如下两种添加规则的方式，请按需进行选择。

- 单击“添加规则”，弹出添加入方向规则窗口，根据下表中的参数说明进行配置，完成后单击“确定”，完成添加入方向规则操作。

- 单击“快速添加规则”，弹出快速添加入规则窗口，根据下表中的参数说明进行配置，完成后单击“确定”，完成添加入方向规则操作。

(5)在左侧导航栏选择“出方向规则”，进入出方向规则页面。系统提供如下两种添加规则的方式，请按需进行选择。

- 单击“添加规则”，在弹出窗口中根据需要配置出方向规则（具体参数说明，请参考配置入方向规则部分内容），完成后单击“确定”，完成添加出方向规则操作。

- 单击“快速添加规则”，在弹出窗口中根据需要配置出方向规则（具体参数说明，请参考配置入方向规则部分内容），完成后单击“确定”，完成添加出方向规则操作。

3.5.2.2 导入安全组规则

任务简介

安全组规则支持导入功能。通过该功能，可实现快速创建安全组规则。

限制与指导

•仅支持上传.xlsx 文件，文件大小不超过 3MB。

•最多支持导入 40 条规则，若文件中的记录超过 40 条，则该文件将无法导入。

•若导入文件中存在相同记录，则只会导入一条，不会进行重复导入。

•导入规则是基于已有规则的增量导入，不会删除已有规则。

•安全组规则模板中的“源地址/目的地址”列，支持输入 IP 地址或安全组 ID（支持填写当前安全组 ID）。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“配置规则”，进入“入方向规则”页面。

(5)在“入方向规则”页面或“出方向规则”页面，单击“批量导入规则”，弹出批量导入规则窗口。

(6)单击“下载导入模板”，基于模板中的格式自定义安全组规则。

(7)单击“上传”，选择要导入的.xlsx 文件。

(8)单击“导入”，完成导入安全组规则操作。

3.5.2.3 导出安全组规则

任务简介

安全组规则支持导出功能。通过该功能，可将单个安全组下的所有入方向规则和出方向规则导出为.xlsx 文件，用于本地备份。

限制与指导

导出的.xlsx 文件命名规则为：SG-安全组名称-Region 名称-导出日期。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“配置规则”，进入“入方向规则”页面。

(5)在“入方向规则”页面或“出方向规则”页面，单击“批量导出规则”，可将该安全组下的所有入方向规则和出方向规则以.xlsx 格式文件保存至本地。

3.5.2.4 删除安全组规则

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“配置规则”，进入“入方向规则”页面。

(5)在“入方向规则”页面或“出方向规则”页面，单击待删除规则对应操作列的“删除”后，在弹出的确认窗口中单击“确定”即可删除安全组规则。

3.5.3 管理安全组内实例

3.5.3.1 安全组关联实例

1. 功能简介

当您创建好安全组后，可以将该安全组和云服务器实例、裸金属服务器实例、扩展网卡或其他网卡等进行关联，从而使这些实例受到安全组的保护。

2. 安全组关联云服务器/裸金属服务器

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“管理实例”，进入关联实例页面。

(5)在服务器页签，单击“添加”，弹出添加服务器窗口。

(6)选择需要关联的云服务器或裸金属服务器后，单击“确定”。

3. 安全组关联扩展弹性网卡

任务简介

扩展弹性网卡指单独创建，且已经与 ECS 实例绑定的弹性网卡。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“管理实例”，进入关联实例页面。

(5)在扩展网卡页签，单击“添加扩展网卡”，弹出添加扩展网卡窗口。

(6)选择需要关联的弹性扩展网卡后，单击“确定”。

4. 安全组关联其它网卡

任务简介

其它网卡指单独创建，但未与 ECS 实例绑定的弹性网卡。可查看安全组关联的其他网卡信息。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“管理实例”，进入关联实例页面。

(5)在其他网卡页签，可查看该安全组关联的网卡信息。

3.5.3.2 实例更改安全组

1. 云服务/裸金属服务器更改安全组

限制与指导

•云服务器或裸金属服务器至少要属于一个安全组。

•更改安全组操作立即生效。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“管理实例”，进入关联实例页面。

(5)在服务器页签，单击某云服务器/裸金属服务器实例对应操作列的“更改安全组”，弹出更改安全组窗口。

(6)可根据需要更改该实例所属的安全组。

(7)单击“确定”，更改安全组操作立即生效。

2. 弹性网卡更改安全组

任务简介

扩展弹性网卡指单独创建，且已经与 ECS 实例绑定的弹性网卡。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“管理实例”，进入关联实例页面。

(5)在扩展网卡页签，单击“更改安全组”，进入该扩展网卡所属云服务器实例的安全组页面。

(6)单击右上角“更改安全组”，弹出更改安全组窗口。

(7)在下拉列表中选择弹性网卡及其要更改的安全组后，单击“确定”。

3.5.3.3 实例移出安全组

1.云服务器/裸金属服务器移出安全组

限制与指导

若云服务器/裸金属服务器只加入了一个安全组，则不支持进行移出安全组操作。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“管理实例”，进入关联实例页面。

(5)在服务器页签，单击云服务器/裸金属服务器实例对应操作列的“移出”，弹出确认窗口。

(6)单击“确定”，可将实例移出该安全组。

2. 弹性网卡移出安全组

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“安全组”，进入安全组页面。

(4)单击某安全组对应操作列的“管理实例”，进入关联实例页面。

(5)在扩展网卡页签，单击弹性网卡对应操作列的“移出”，弹出确认窗口。

(6)单击“确定”，可将网卡移出该安全组。

3.6 管理网络 ACL

3.6.1 网络 ACL 概述

网络 ACL 是专有网络 VPC 中的网络访问控制功能，通过与子网关联，其出方向/入方向规则可以控制入子网的数据流。

网络 ACL 与安全组类似，都是安全防护策略，安全组是针对云服务器、弹性裸金属服务器的操作，且仅支持允许策略；网络 ACL 是针对子网级别的安全操作，支持允许、拒绝策略。

3.6.2 快速入门

3.6.2.1 组网图

示例组网图如下：

系统中已做如下配置：

•已创建专有网络 VPC1[192.168.0.0/16]及其子网 Subnet A[192.168.1.0/24]和子网 SubnetB[192.168.2.0/24]。

•基于子网 A 创建 ECS1[192.168.1.2/32]，ECS 的安全组策略为入方向和出方向全部放通。

•基于子网 B 创建可用的 ECS2[192.168.2.2/32]，ECS 的安全组策略为入方向和出方向全部放通。

此时，ECS1 Ping ECS2，可以 Ping 通。

3.6.2.2 配置流程

网络 ACL 的配置流程如下图所示：

3.6.2.3 创建网络 ACL

限制与指导

每个网络 ACL 都包含一组默认规则，即出入子网的流量会全部拒绝，规则优先级为*，表示最低优先级。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击页面右上角的“创建网络 ACL”，弹出创建网络 ACL 窗口。

(5)根据下表中的参数说明进行配置。

(6)单击“确定”，完成创建网络 ACL。

3.6.2.4 关联子网

限制与指导

•网络 ACL 可以关联多个子网，但一个子网同一时间只能关联一个网络 ACL。

•每个新创建的网络 ACL 都为未生效状态，直至关联子网后生效。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击某网络 ACL 对应操作列的“关联子网”，弹出关联子网窗口。

(5)根据需要选择可关联的子网，此处选择“subnetB”。

(6)单击“确定”，完成关联子网操作。

3.6.2.5 添加网络 ACL 规则

限制与指导

•网络 ACL 的规则是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。

•每个新创建的网络 ACL 都为未生效状态，直至关联子网后生效。

•网络 ACL 规则的优先级使用“优先级”值来表示，优先级的值越小，优先级越高，最先应用。优先级的值为“*”的是默认规则，优先级最低。

•网络 ACL 规则的优先级通过规则在列表中的位置来表示，列表顶端的规则优先级最高，最先应用；列表底端的规则优先级最低。若有规则冲突，则默认应用位置更前的规则。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击某网络 ACL 对应操作列的“配置规则”，进入该网络 ACL 的基本信息页面。

(5)在下方的入方向规则页签页面，单击“添加入方向规则”，弹出添加入方向规则窗口。

(6)根据下表中的参数说明进行配置。

(7)单击“确定”，完成添加入方向规则操作。

3.6.2.6 验证网络 ACL 规则是否生效

场景一：使用系统预置网络 ACL 规则

通过进行创建网络 ACL、关联子网操作后，由于系统默认的网络 ACL 规则为拒绝所有出入子网的流量，所以 ECS1 Ping ECS2，无法 Ping 通。

场景二：手工添加网络 ACL 规则

通过进行创建网络 ACL、关联子网、添加网络 ACL 规则操作后，由于设置了网络 ACL 的入方向规则为允许所有端口和地址访问，所以 ECS1 Ping ECS2 可以 Ping 通。

3.6.3 管理网络 AC

3.6.3.1 创建网络 ACL

限制与指导

每个网络 ACL 都包含一组默认规则，即出入子网的流量会全部拒绝，规则优先级为*，表示最低优先级。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击页面右上角的“创建网络 ACL”，弹出创建网络 ACL 窗口。

(5)根据下表中的参数说明进行配置。

(6)单击“确定”，完成创建网络 ACL 操作。

3.6.3.2 网络 ACL 关联子网

限制与指导

•网络 ACL 可以关联多个子网，但一个子网同一时间只能关联一个网络 ACL。

•每个新创建的网络 ACL 都为未生效状态，直至关联子网后生效。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击某网络 ACL 对应操作列的“关联子网”，弹出关联子网窗口。

(5)根据需要选择可关联的子网。

(6)单击“确定”，完成关联子网操作。

3.6.3.3 网络 ACL 取消关联子网

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击某网络 ACL 的 ID 链接，进入基本信息页面。

(5)单击关联子网页签，可查看该网络 ACL 关联的子网信息。

(6)单击子网对应操作列的“取消关联”，弹出确认窗口。

(7)单击“确定”，完成取消关联子网操作。

3.6.3.4 删除网络 ACL

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击网络 ACL 对应操作列的“删除”，弹出确认窗口。

(5)单击“确定”，即可删除网络 ACL。

3.6.4 管理网络 ACL 规则

3.6.4.1 网络 ACL 规则概述

•网络 ACL 的规则是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。

•每个新创建的网络 ACL 都为未生效状态，直至关联子网后生效。

•网络 ACL 规则的优先级使用“优先级”值来表示，优先级的值越小，优先级越高，最先应用。优先级的值为“*”的是默认规则，优先级最低。

3.6.4.2 添加网络 ACL 规则

1. 添加入方向规则

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击某网络 ACL 对应操作列的“配置规则”，进入该网络 ACL 的基本信息页面。

(5)在下方的入方向规则页签页面，单击“添加入方向规则”，弹出添加入方向规则窗口。

(6)根据下表中的参数说明进行配置。

(7)单击“确定”，完成添加入方向规则操作。

2. 添加出方向规则

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击某网络 ACL 对应操作列的“配置规则”，进入该网络 ACL 的基本信息页面。

(5)在下方的出方向规则页签页面，单击“添加出方向规则”，弹出添加出方向规则窗口。

(6)根据下表中的参数说明进行配置。

(7)单击“确定”，完成添加出方向规则操作。

3.6.4.3 导入网络 ACL 规则

任务简介

网络 ACL 规则支持导入功能。通过该功能，可实现快速创建网络 ACL 规则。

限制与指导

•仅支持上传.xlsx 文件，文件大小不超过 3MB。

•最多支持导入 40 条规则，若文件中的记录超过 40 条，则该文件将无法导入。

•导入规则是基于已有规则的增量导入，不会删除已有规则。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击网络 ACL 对应操作列的“配置规则”，进入基本信息页面。

(5)单击页面右上角的“批量导入规则”，弹出批量导入规则窗口。

(6)单击“下载导入模板”，基于模板中的格式自定义网络 ACL 规则。

(7)单击“上传”，选择要导入的.xlsx 文件。

(8)单击“导入”，完成导入网络 ACL 规则操作。

3.6.4.4 向前/向后插入规则

限制与指导

•网络 ACL 规则的优先级使用“优先级”值来表示，优先级的值越小，优先级越高，最先应用。优先级的值为“*”的是默认规则，优先级最低。

•可通过该功能创建比指定网络 ACL 规则优先级高/低一级的规则。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击网络 ACL 对应操作列的“配置规则”，进入基本信息页面。

(5)在“入方向规则”或“出方向规则”页签页面，单击 ACL 规则对应操作列的“向前插入规则”或“向后插入规则”，可在弹出窗口中进行 ACL 规则配置，具体参数说明请参见添加网络 ACL 规则。

3.6.4.5 导出网络 ACL 规则

任务简介

网络 ACL 规则支持导出功能。通过该功能，可将单个网络 ACL 下的所有入方向规则和出方向规则导出为.xlsx 文件，用于本地备份。

限制与指导

导出的.xlsx 文件命名规则为：ACL-网络 ACL 名称- Region 名称-导出日期

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击网络 ACL 对应操作列的“配置规则”，进入基本信息页面。

(5)单击“批量导出规则”，可将该网络 ACL 下的所有入方向规则和出方向规则以.xlsx 格式文件保存至本地。

3.6.4.6 删除网络 ACL 规则

限制与指导

系统预置的默认 ACL 规则无法删除。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“网络 ACL”，进入网络 ACL 页面。

(4)单击网络 ACL 对应操作列的“配置规则”，进入基本信息页面。

(5)在“入方向规则”或“出方向规则”页签页面，单击 ACL 规则对应操作列的“删除”，弹出确认窗口。

(6)单击“确定”，即可删除网络 ACL 规则。

3.7 IPv6 网关

3.7.1 IPv6 网关概述

VPC 中的子网开启 IPv6 后，系统会为 VPC 创建一个 IPv6 网关。

3.7.2 查看 IPv6 网关信息

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“IPv6 网关”，进入 IPv6 网关列表页面。

(4)IPv6 网关列表参数说明如下：

3.7.3 管理 IPv6 公网带宽

3.7.3.1 购买 IPv6 带宽

限制与指导

•一个 IPv6 地址仅能绑定一个 ECS，只有绑定 ECS 的 IPv6 地址才可以购买公网带宽。

•只有未购买带宽的才可以进行购买操作。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“IPv6 网关”，进入 IPv6 网关列表页面。

(4)单击 IPv6 网关对应操作列的“管理”，进入 IPv6 网关基本信息页面。

(5)在 IPv6 公网带宽区域，单击 IPv6 地址对应操作列的“购买带宽”，进入购买 IPv6 公网带宽页面。

(6)根据下表中的参数说明进行配置，完成后单击“立即购买”。

(7)在确认配置页面，确认要购买 IPv6 公网带宽的配置信息无误后，根据页面显示，可进行如下操作：

- 单击“立即支付”，即可完成 IPv6 带宽的购买操作。

- 单击“立即开通”，即可完成 IPv6 带宽的购买操作。

- 单击“立即申请”，待管理员审批通过后，即可完成 IPv6 带宽的购买操作。

3.7.3.2 修改 IPv6 带宽

限制与指导

目前仅支持升配操作，升配后新带宽大小立即生效。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“IPv6 网关”，进入 IPv6 网关列表页面。

(4)单击操作列“管理”，进入 IPv6 网关基本信息页面。

(5)单击 IPv6 网关对应操作列的“修改带宽”，进入带宽升配页面。

(6)根据需要，配置扩容后的带宽大小后，单击“下一步”，进入确认配置页面。

(7)确认带宽变更前后的配置和需要补的费用后，根据页面显示，可进行如下操作：

- 单击“立即支付”，完成修改 IPv6 带宽操作。

- 单击“立即开通”，完成修改 IPv6 带宽操作。

- 单击“立即申请”，待管理员审批通过后，即可完成修改 IPv6 带宽操作。

3.7.3.3 续费 IPv6 带宽（包周期计费模式）

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“IPv6 网关”，进入 IPv6 网关列表页面。

(4)单击操作列“管理”，进入 IPv6 网关基本信息页面。

(5)单击 IPv6 网关对应操作列的“续费”，进入产品续费页面。

(6)确认产品实例信息和续费时长后，根据页面显示，可进行如下操作：

- 单击“立即支付”，完成 IPv6 带宽续费操作。

- 单击“立即开通”，完成 IPv6 带宽续费操作。

- 单击“立即申请”，待管理员审批通过后，即可完成 IPv6 带宽续费操作。

3.7.3.4 退订/释放 IPv6 带宽

1. 退订 IPv6 带宽（包周期计费模式）

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“IPv6 网关”，进入 IPv6 网关列表页面。

(4)单击操作列“管理”，进入 IPv6 网关基本信息页面。

(5)单击 IPv6 网关对应操作列的“退订”，进入产品退订页面。

(6)确认要退订实例、退订原因、退款金额等信息，并勾选“我已确认本次退订金额和相关费用”后，单击“退订”，根据页面显示，可进行如下操作：

- 在弹出的确认窗口中，单击“确定”，待管理员通过审批后，即可完成退订。

- 在弹出的确认窗口中，进行手机号或邮箱验证后，单击“确定”，即可完成退订。

2. 释放 IPv6 带宽（按需计费模式）

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“IPv6 网关”，进入 IPv6 网关列表页面。

(4)单击操作列“管理”，进入 IPv6 网关基本信息页面。

(5)单击 IPv6 网关对应操作列的“释放”，弹出确认窗口。

(6)单击“确定”，完成释放操作。

3.8 弹性网卡

3.8.1 弹性网卡概述

弹性网卡（Elastic Network Interfaces）即虚拟网卡，您可以将弹性网卡和云服务器实例进行绑定，从而实现灵活、高可用的网络方案配置。

弹性网卡分为如下类型：

•主弹性网卡：随 ECS 实例一起创建，生命周期和实例保持一致，不支持从实例上解绑。

•扩展弹性网卡：可以单独创建，支持与 ECS 实例进行绑定/解绑。

3.8.2 创建弹性网卡

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击页面右上角的“创建弹性网卡”，弹出创建弹性网卡窗口。

(5)根据下表中的参数说明进行配置。

(6)单击“确定”，完成创建弹性网卡操作。

3.8.3 更改安全组

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击弹性网卡对应操作列的“更改安全组”，弹出更改安全组窗口。

(5)根据需要修改弹性网卡所属的安全组。

(6)单击“确定”，完成更改弹性网卡所属的安全组操作。

3.8.4 绑定/解绑实例

3.8.4.1 绑定实例

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击弹性网卡对应操作列的“绑定实例”，弹出绑定实例窗口。

(5)选择要绑定的云服务器 ECS 实例。

(6)单击“确定”，完成绑定实例操作。

3.8.4.2 解绑实例

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击弹性网卡对应操作列的“解绑实例”，弹出解绑实例窗口。

(5)单击“确定”，完成解绑实例操作。

3.8.5 绑定/解绑弹性公网 IP

3.8.5.1 绑定弹性公网 IP

任务简介

弹性网卡本身提供一个私网 IP，在与弹性公网 IP 进行绑定后，即可同时具备私网 IP 和公网 IP。弹性网卡和弹性公网 IP 的绑定关系不会随弹性网卡解绑云服务器实例而变化，当弹性网卡从云服务器上迁移时，即可同时完成私网 IP 和公网 IP 的迁移。

一个云服务器可以绑定多个弹性网卡，当为每个弹性网卡分别绑定一个弹性公网 IP 时，这个云服务器就拥有了多个弹性公网 IP，可以提供更灵活的外部访问服务。

限制与指导

•EIP 网卡可见模式仅支持 Linux 操作系统，不支持 Windows 操作系统。

•目前仅 ECS 的主网卡支持 EIP 网卡可见模式。

仅 ECS 处于运行状态时，支持绑定或解绑可见模式 EIP。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击弹性网卡对应操作列的“更多 > 绑定弹性公网 IP”，弹出绑定弹性公网 IP 窗口。

(5)根据下表中的参数说明进行配置。

(6)单击“确定”，完成绑定弹性公网 IP 操作。

3.8.5.2 解绑弹性公网 IP

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击弹性网卡对应操作列的“更多 > 解绑弹性公网 IP”，弹出解绑弹性公网 IP 窗口。

(5)单击“确定”，完成解绑弹性公网 IP 操作。

3.8.6 管理虚拟 IP

限制与指导

•绑定了云服务器 ECS 实例的弹性网卡，支持管理虚拟 IP 操作。

•通过将弹性网卡与虚拟 IP 绑定，使用户可以通过绑定的虚拟 IP 访问该弹性网卡绑定的服务器。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击弹性网卡对应操作列的“更多 > 管理虚拟 IP”，进入虚拟 IP 地址管理页面，具体说明请参见虚拟 IP 地址管理。

3.8.7 开启/关闭端口安全

3.8.7.1 开启端口安全

任务简介

若运维管理员在运维中心未启用 VPC 全局配置的 port_security_enable 参数，则无法配置端口安全功能，具体配置情况，请联系运维管理员确认。

开启端口安全功能后，该弹性网卡绑定的云服务器 ECS 将只能发出/接受以它本身为源地址/目的地址的 IP 或 MAC 流量，可以防止云服务器 ECS 使用虚假的 IP 或 MAC 地址对外发起攻击。

操作步骤

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击弹性网卡对应操作列的“更多 > 开启端口安全”，弹出确认窗口。

(5)单击“确定”，完成开启端口安全操作。

3.8.7.2 关闭端口安全

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬浮在页面左上角的 0..png 上，选择“产品与服务 > 专有网络 VPC”，进入专有网络列表页面。

(3)在左侧导航栏选择“弹性网卡”，进入弹性网卡页面。

(4)单击弹性网卡对应操作列的“更多 > 开启端口安全”，在弹出的确认窗口中单击“确定”，完成关闭端口安全操作。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服