網(wǎng)絡(luò)ACL
網(wǎng)絡(luò)ACL(Network Access Control List)是專(zhuān)有網(wǎng)絡(luò)VPC中的網(wǎng)絡(luò)訪問(wèn)控制功能。您可以自定義設(shè)置網(wǎng)絡(luò)ACL規(guī)則,并將網(wǎng)絡(luò)ACL與交換機(jī)綁定,實(shí)現(xiàn)對(duì)交換機(jī)中云服務(wù)器ECS實(shí)例流量的訪問(wèn)控制。
功能特性
網(wǎng)絡(luò)ACL規(guī)則僅過(guò)濾綁定的交換機(jī)中ECS實(shí)例的流量(包括SLB實(shí)例轉(zhuǎn)發(fā)給ECS實(shí)例的流量)。
說(shuō)明如果您的ECS實(shí)例綁定了輔助彈性網(wǎng)卡,且輔助彈性網(wǎng)卡綁定了設(shè)置網(wǎng)卡可見(jiàn)模式的EIP,那么網(wǎng)絡(luò)ACL不過(guò)濾該ECS實(shí)例的流量。更多信息,請(qǐng)參見(jiàn)設(shè)置EIP網(wǎng)卡可見(jiàn)模式。
網(wǎng)絡(luò)ACL的規(guī)則是無(wú)狀態(tài)的,即設(shè)置入方向規(guī)則的允許請(qǐng)求后,需要同時(shí)設(shè)置相應(yīng)的出方向規(guī)則,否則可能會(huì)導(dǎo)致請(qǐng)求無(wú)法響應(yīng)。
網(wǎng)絡(luò)ACL無(wú)任何規(guī)則時(shí),會(huì)拒絕所有出入方向的訪問(wèn)。
網(wǎng)絡(luò)ACL與交換機(jī)綁定,不過(guò)濾同一交換機(jī)內(nèi)的ECS實(shí)例間的流量。
網(wǎng)絡(luò)ACL放通的DNS服務(wù)器為100.100.2.128/28、100.100.2.112/28;放通的Metaserver(元數(shù)據(jù)服務(wù)器)為100.100.100.200/32。
規(guī)則說(shuō)明
規(guī)則元素說(shuō)明
網(wǎng)絡(luò)ACL中的元素說(shuō)明如下:
生效順序:值越小,規(guī)則的優(yōu)先級(jí)越高。系統(tǒng)從生效順序?yàn)?的規(guī)則開(kāi)始判斷,只要有一條規(guī)則與流量匹配,即應(yīng)用該規(guī)則,并忽略其他規(guī)則。
例如,ECS實(shí)例請(qǐng)求訪問(wèn)目的地址為172.16.0.1的數(shù)據(jù)包,在經(jīng)過(guò)如下表所示的ACL規(guī)則配置后,172.16.0.1匹配生效順序2和生效順序3規(guī)則中的目的地址,由于生效順序2的優(yōu)先級(jí)高于生效順序3,所以會(huì)根據(jù)生效順序2規(guī)則拒絕該請(qǐng)求。
生效順序
協(xié)議類(lèi)型
目的地址
目的端口范圍
策略
類(lèi)型
1
ALL
10.0.0.0/8
-1/-1
允許
自定義
2
ALL
172.16.0.0/12
-1/-1
拒絕
自定義
3
ALL
172.16.0.0/12
-1/-1
允許
自定義
策略:針對(duì)特定流量選擇允許或拒絕。
協(xié)議類(lèi)型:指定數(shù)據(jù)流的協(xié)議類(lèi)型,可選擇以下協(xié)議。
ALL:所有協(xié)議。當(dāng)選擇所有協(xié)議類(lèi)型時(shí),端口范圍無(wú)法設(shè)置,為-1/-1,表示不限制端口。
ICMP:網(wǎng)絡(luò)控制報(bào)文協(xié)議。當(dāng)選擇該協(xié)議類(lèi)型時(shí),端口范圍無(wú)法設(shè)置,為-1/-1,表示不限制端口。
GRE:通用路由封裝協(xié)議。當(dāng)選擇該協(xié)議類(lèi)型時(shí),端口范圍無(wú)法設(shè)置,為-1/-1,表示不限制端口。
TCP:傳輸控制協(xié)議。當(dāng)選擇該協(xié)議類(lèi)型時(shí),端口范圍為1~65535。設(shè)置格式為1/200或80/80,且不能設(shè)置為-1/-1。
UDP:用戶(hù)數(shù)據(jù)報(bào)協(xié)議。端口范圍為1~65535。設(shè)置格式為1/200或80/80,且不能設(shè)置為-1/-1。
ICMPv6:IPv6網(wǎng)絡(luò)控制報(bào)文協(xié)議。當(dāng)選擇所有協(xié)議類(lèi)型時(shí),端口范圍無(wú)法設(shè)置,為-1/-1,表示不限制端口。
源地址(限入方向規(guī)則):數(shù)據(jù)流的源地址。
目的地址(限出方向規(guī)則):數(shù)據(jù)流的目的地址。
源端口范圍(限入方向規(guī)則):入方向規(guī)則作用的端口范圍。
目的端口范圍(限出方向規(guī)則):出方向規(guī)則作用的端口范圍。
出方向和入方向規(guī)則
添加出方向規(guī)則和入方向規(guī)則前,您需要了解:
在網(wǎng)絡(luò)ACL中添加或刪除規(guī)則,更改規(guī)則后會(huì)自動(dòng)應(yīng)用到與其綁定的交換機(jī)。
在網(wǎng)絡(luò)ACL中添加IPv6類(lèi)型的出方向規(guī)則和入方向規(guī)則時(shí),您需要為網(wǎng)絡(luò)ACL所在的VPC分配IPv6網(wǎng)段。
當(dāng)您配置了DHCP選項(xiàng)集時(shí),您需要在網(wǎng)絡(luò)ACL的出入方向規(guī)則中添加放行DNS域名服務(wù)器配置的IP地址。當(dāng)未添加規(guī)則時(shí),可能會(huì)造成DHCP選項(xiàng)集的業(yè)務(wù)異常。
默認(rèn)創(chuàng)建的出方向和入方向規(guī)則會(huì)根據(jù)選擇的地域有所不同。
選擇的地域不支持IPv6網(wǎng)絡(luò)ACL時(shí),入方向和出方向默認(rèn)創(chuàng)建1條規(guī)則。
入方向規(guī)則
生效順序
協(xié)議類(lèi)型
源地址
源端口范圍
策略
類(lèi)型
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
出方向規(guī)則
生效順序
協(xié)議類(lèi)型
目的地址
目的端口范圍
策略
類(lèi)型
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
除以上地域外的其他地域:
如果ACL所屬的VPC未啟用IPv6能力,出入方向會(huì)默認(rèn)創(chuàng)建5條規(guī)則,其中云服務(wù)路由是網(wǎng)絡(luò)ACL放通的DNS服務(wù)器和Metaserver(元數(shù)據(jù)服務(wù)器)的地址。
入方向規(guī)則
生效順序
協(xié)議類(lèi)型
源地址
源端口范圍
策略
類(lèi)型
*
ALL
100.100.2.128/28
0:65535
允許
云服務(wù)
*
ALL
100.100.2.112/28
0:65535
允許
云服務(wù)
*
ALL
100.100.100.200/32
0:65535
允許
云服務(wù)
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
*
ALL
0.0.0.0/0
0:65535
拒絕
系統(tǒng)
出方向規(guī)則
生效順序
協(xié)議類(lèi)型
目的地址
目的端口范圍
策略
類(lèi)型
*
ALL
100.100.2.128/28
0:65535
允許
云服務(wù)
*
ALL
100.100.2.112/28
0:65535
允許
云服務(wù)
*
ALL
100.100.100.200/32
0:65535
允許
云服務(wù)
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
*
ALL
0.0.0.0/0
0:65535
拒絕
系統(tǒng)
如果ACL所屬的VPC開(kāi)啟IPv6能力,則入方向和出方向各添加一條系統(tǒng)默認(rèn)拒絕和一條自定義全放通規(guī)則,因此會(huì)默認(rèn)創(chuàng)建7條規(guī)則。
入方向規(guī)則
生效順序
協(xié)議類(lèi)型
源地址
源端口范圍
策略
類(lèi)型
*
ALL
100.100.2.128/28
0:65535
允許
云服務(wù)
*
ALL
100.100.2.112/28
0:65535
允許
云服務(wù)
*
ALL
100.100.100.200/32
0:65535
允許
云服務(wù)
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
2
ALL
::/0
-1/-1
允許
自定義
*
ALL
0.0.0.0/0
0:65535
拒絕
系統(tǒng)
*
ALL
::/0
0:65535
拒絕
系統(tǒng)
出方向規(guī)則
生效順序
協(xié)議類(lèi)型
目的地址
目的端口范圍
策略
類(lèi)型
*
ALL
100.100.2.128/28
0:65535
允許
云服務(wù)
*
ALL
100.100.2.112/28
0:65535
允許
云服務(wù)
*
ALL
100.100.100.200/32
0:65535
允許
云服務(wù)
1
ALL
0.0.0.0/0
-1/-1
允許
自定義
2
ALL
::/0
-1/-1
允許
自定義
*
ALL
0.0.0.0/0
0:65535
拒絕
系統(tǒng)
*
ALL
::/0
0:65535
拒絕
系統(tǒng)
使用限制和配額
功能發(fā)布及地域支持情況
IPv4網(wǎng)絡(luò)ACL支持的地域
公有云支持的地域
區(qū)域 | 支持IPv4網(wǎng)絡(luò)ACL的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地域)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(guó)香港、華中1(武漢-本地地域)、華東6(福州-本地地域)、日本(東京)、韓國(guó)(首爾)、新加坡、馬來(lái)西亞(吉隆坡)、印度尼西亞(雅加達(dá))、菲律賓(馬尼拉)、泰國(guó)(曼谷) |
歐洲與美洲 | 德國(guó)(法蘭克福)、英國(guó)(倫敦)、美國(guó)(硅谷)、美國(guó)(弗吉尼亞) |
中東 | 阿聯(lián)酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運(yùn)營(yíng)。 |
金融云支持的地域
區(qū)域 | 支持IPv4類(lèi)型網(wǎng)絡(luò)ACL的地域 |
亞太 | 華南1 金融云、華東2 金融云、華北2 金融云(邀測(cè)) |
政務(wù)云支持的地域
區(qū)域 | 支持IPv4類(lèi)型網(wǎng)絡(luò)ACL的地域 |
亞太 | 華北2 阿里政務(wù)云1 |
IPv6網(wǎng)絡(luò)ACL支持的地域
區(qū)域 | 支持IPv6網(wǎng)絡(luò)ACL的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南3(廣州)、西南1(成都)、中國(guó)香港、日本(東京)、韓國(guó)(首爾)、馬來(lái)西亞(吉隆坡)、印度尼西亞(雅加達(dá))、菲律賓(馬尼拉)、泰國(guó)(曼谷) |
歐洲與美洲 | 德國(guó)(法蘭克福)、美國(guó)(硅谷)、美國(guó)(弗吉尼亞) |
中東 | 阿聯(lián)酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運(yùn)營(yíng)。 |
配額限制
配額名稱(chēng) | 描述 | 默認(rèn)限制 | 提升配額 |
vpc_quota_nacl_ingress_entry | 單個(gè)網(wǎng)絡(luò)ACL支持創(chuàng)建的入方向規(guī)則數(shù)量 | 20條 | 您可以通過(guò)以下任意方式自助提升配額:
|
vpc_quota_nacl_egress_entry | 單個(gè)網(wǎng)絡(luò)ACL支持創(chuàng)建的出方向規(guī)則數(shù)量 | 20條 | |
nacl_quota_vpc_create_count | 單個(gè)VPC支持創(chuàng)建的網(wǎng)絡(luò)ACL數(shù)量 | 20個(gè) |
相關(guān)文檔
您可以參考創(chuàng)建和管理網(wǎng)絡(luò)ACL,使用網(wǎng)絡(luò)ACL實(shí)現(xiàn)對(duì)VPC的訪問(wèn)控制。
您可以使用網(wǎng)絡(luò)ACL限制不同交換機(jī)下的ECS間的互通或限制本地?cái)?shù)據(jù)中心與云上的互通。