访问控制
安全组和网络 ACL:
不同点:
- 安全组仅支持允许策略,网络 ACL 支持允许和拒绝
- 安全组针对端口级别,网络 ACL 针对子网级别
相同点:
- 都是有状态的
网络 ACL:
- 一个子网同一时间只能关联一个网络 ACL
互通实现
同一 VPC 内互通:默认行为,同一 VPC 下子网互通,用户只需通过安全组或者网络 ACL 控制流量的进出。
同 Region 不同 VPC 互通:
- 对等连接(VPC Peering)
- 对等连接具有不可传递性
- 两个 VPC 间只能建立一个对等连接
- 针对两个 VPC 中的网段建立的对等连接,需确保两端建立对等连接的网段没有重叠网段。
- 创建对等连接后,需要在两端 VPC 内添加对等连接路由信息,才能使两个 VPC 互通
- 请注意:和 ACL、安全组无关
- 另外:必须使用相同网络类型的路由
- 两个建立对等连接的 VPC,默认情况下,一端 VPC 内的虚拟机不能通过另一端 VPC 内虚拟机的弹性 IP 访问外网
- VPC 终端节点(VPC Endpoint)
- 注意
- 无需弹性 IP
- 注意
- 云链接(CC,Cloud Connect)
- 一个网络实例可同时加入多个 VPC
不同 Region 不同 VPC 互通:
- 云连接(CC,Cloud Connect)
- 云专线 (Direct Connect)
- 虚拟专用网络(VPN)
云与本地数据中心(云与非云)互通:
- 云专线 (Direct Connect)
- 虚拟专用网络(VPN)
- 二层桥接 L2BR
- 二层桥接功能可以满足用户将同一业务同时部署在云内和云外且 IP 在同一网段,以及业务迁移上云时 IP 地址不变的需求