騰訊云私有網(wǎng)絡(luò)服務(wù)介紹

1、私有網(wǎng)絡(luò)服務(wù)產(chǎn)品概述目 錄 TOC o 1-3 h z u HYPERLINK l _Toc31917049 產(chǎn)品簡介產(chǎn)品概述 PAGEREF _Toc31917049 h 4 HYPERLINK l _Toc31917050 核心組成成分 PAGEREF _Toc31917050 h 4 HYPERLINK l _Toc31917051 私有網(wǎng)絡(luò)網(wǎng)段 PAGEREF _Toc31917051 h 4 HYPERLINK l _Toc31917052 子網(wǎng) PAGEREF _Toc31917052 h 4 HYPERLINK l _Toc31917053 路由表 PAGEREF _Toc319

2、17053 h 5 HYPERLINK l _Toc31917054 私有網(wǎng)絡(luò)連接 PAGEREF _Toc31917054 h 5 HYPERLINK l _Toc31917055 私有網(wǎng)絡(luò)安全 PAGEREF _Toc31917055 h 5 HYPERLINK l _Toc31917056 產(chǎn)品優(yōu)勢 PAGEREF _Toc31917056 h 7 HYPERLINK l _Toc31917057 自定義網(wǎng)絡(luò) PAGEREF _Toc31917057 h 7 HYPERLINK l _Toc31917058 彈性可擴(kuò)展 PAGEREF _Toc31917058 h 7 HYPERLINK

3、 l _Toc31917059 豐富接入 PAGEREF _Toc31917059 h 7 HYPERLINK l _Toc31917060 安全可靠 PAGEREF _Toc31917060 h 7 HYPERLINK l _Toc31917061 簡單易用 PAGEREF _Toc31917061 h 7 HYPERLINK l _Toc31917062 應(yīng)用場景 PAGEREF _Toc31917062 h 8 HYPERLINK l _Toc31917063 訪問公網(wǎng) PAGEREF _Toc31917063 h 8 HYPERLINK l _Toc31917064 單個云服務(wù)器訪問公

4、網(wǎng) PAGEREF _Toc31917064 h 8 HYPERLINK l _Toc31917065 多云服務(wù)器安全訪問公網(wǎng) PAGEREF _Toc31917065 h 8 HYPERLINK l _Toc31917066 對公網(wǎng)提供服務(wù) PAGEREF _Toc31917066 h 9 HYPERLINK l _Toc31917067 單個云服務(wù)器提供服務(wù) PAGEREF _Toc31917067 h 9 HYPERLINK l _Toc31917068 多個云服務(wù)器負(fù)載均衡 PAGEREF _Toc31917068 h 9 HYPERLINK l _Toc31917069 應(yīng)用容災(zāi) P

5、AGEREF _Toc31917069 h 10 HYPERLINK l _Toc31917070 跨可用區(qū)容災(zāi) PAGEREF _Toc31917070 h 10 HYPERLINK l _Toc31917071 跨地域容災(zāi) PAGEREF _Toc31917071 h 10 HYPERLINK l _Toc31917072 部署混合云 PAGEREF _Toc31917072 h 11 HYPERLINK l _Toc31917073 連接本地數(shù)據(jù)中心 PAGEREF _Toc31917073 h 11 HYPERLINK l _Toc31917074 全球多點互聯(lián) PAGEREF _To

6、c31917074 h 11 HYPERLINK l _Toc31917075 基本概念I(lǐng)P 地址 PAGEREF _Toc31917075 h 13 HYPERLINK l _Toc31917076 公網(wǎng) IP 地址 PAGEREF _Toc31917076 h 13 HYPERLINK l _Toc31917077 內(nèi)網(wǎng) IP 地址 PAGEREF _Toc31917077 h 14 HYPERLINK l _Toc31917078 屬性 PAGEREF _Toc31917078 h 14 HYPERLINK l _Toc31917079 適用場景 PAGEREF _Toc31917079

7、 h 14 HYPERLINK l _Toc31917080 相關(guān)操作 PAGEREF _Toc31917080 h 14 HYPERLINK l _Toc31917081 地域與可用區(qū) PAGEREF _Toc31917081 h 15 HYPERLINK l _Toc31917082 地域（Region） PAGEREF _Toc31917082 h 15 HYPERLINK l _Toc31917083 可用區(qū)（Zone） PAGEREF _Toc31917083 h 15 HYPERLINK l _Toc31917084 選擇地域和可用區(qū) PAGEREF _Toc31917084 h

8、16 HYPERLINK l _Toc31917085 將實例遷移到其他可用區(qū) PAGEREF _Toc31917085 h 16 HYPERLINK l _Toc31917086 騰訊云地域和可用區(qū)列表 PAGEREF _Toc31917086 h 16 HYPERLINK l _Toc31917087 中國 PAGEREF _Toc31917087 h 16 HYPERLINK l _Toc31917088 連接公網(wǎng) PAGEREF _Toc31917088 h 19 HYPERLINK l _Toc31917089 連接其它 VPC PAGEREF _Toc31917089 h 19 H

9、YPERLINK l _Toc31917090 連接本地數(shù)據(jù)中心 PAGEREF _Toc31917090 h 20 HYPERLINK l _Toc31917091 連接基礎(chǔ)網(wǎng)絡(luò) PAGEREF _Toc31917091 h 20 HYPERLINK l _Toc31917092 安 全 安全組 PAGEREF _Toc31917092 h 22 HYPERLINK l _Toc31917093 特點 PAGEREF _Toc31917093 h 22 HYPERLINK l _Toc31917094 安全組規(guī)則 PAGEREF _Toc31917094 h 22 HYPERLINK l _

10、Toc31917095 組成部分 PAGEREF _Toc31917095 h 22 HYPERLINK l _Toc31917096 規(guī)則優(yōu)先級 PAGEREF _Toc31917096 h 22 HYPERLINK l _Toc31917097 多個安全組 PAGEREF _Toc31917097 h 22 HYPERLINK l _Toc31917098 安全組模板 PAGEREF _Toc31917098 h 23 HYPERLINK l _Toc31917099 使用限制 PAGEREF _Toc31917099 h 23 HYPERLINK l _Toc31917100 使用流程

11、PAGEREF _Toc31917100 h 23 HYPERLINK l _Toc31917101 網(wǎng)絡(luò) ACL PAGEREF _Toc31917101 h 24 HYPERLINK l _Toc31917102 使用場景 PAGEREF _Toc31917102 h 24 HYPERLINK l _Toc31917103 ACL 規(guī)則 PAGEREF _Toc31917103 h 24 HYPERLINK l _Toc31917104 默認(rèn)規(guī)則 PAGEREF _Toc31917104 h 25 HYPERLINK l _Toc31917105 規(guī)則優(yōu)先級 PAGEREF _Toc319

12、17105 h 25 HYPERLINK l _Toc31917106 安全組與網(wǎng)絡(luò) ACL 的區(qū)別 PAGEREF _Toc31917106 h 25 HYPERLINK l _Toc31917107 概述 PAGEREF _Toc31917107 h 27 HYPERLINK l _Toc31917108 入門 PAGEREF _Toc31917108 h 27 HYPERLINK l _Toc31917109 可授權(quán)的資源類型 PAGEREF _Toc31917109 h 29 HYPERLINK l _Toc31917110 策略語法 PAGEREF _Toc31917110 h 29

13、 HYPERLINK l _Toc31917111 VPC 的操作 PAGEREF _Toc31917111 h 29 HYPERLINK l _Toc31917112 VPC 的資源路徑 PAGEREF _Toc31917112 h 30 HYPERLINK l _Toc31917113 配額限制 PAGEREF _Toc31917113 h 32 HYPERLINK l _Toc31917114 私有網(wǎng)絡(luò)與子網(wǎng) PAGEREF _Toc31917114 h 32產(chǎn)品簡介產(chǎn)品概述：2019-11-27 09:23:28私有網(wǎng)絡(luò)（Virtual Private Cloud，VPC）是一塊您在騰

14、訊云上自定義的邏輯隔離網(wǎng)絡(luò)空間，與您在數(shù)據(jù)中心運行的傳統(tǒng)網(wǎng)絡(luò)相似，托管在騰訊云私有網(wǎng)絡(luò)內(nèi)的是您在騰訊云上的服務(wù)資源，包括 HYPERLINK /doc/product/213/495 云服務(wù)器、 HYPERLINK /doc/product/214/524 負(fù)載均衡、 HYPERLINK /doc/product/236 云數(shù)據(jù)庫 等。本文將為您介紹私有網(wǎng)絡(luò)的核心組成成分、私有網(wǎng)絡(luò)的多種連接方式及安全性。核心組成成分私有網(wǎng)絡(luò)有三個核心組成成分：私有網(wǎng)絡(luò)網(wǎng)段、子網(wǎng)、路由表。私有網(wǎng)絡(luò)網(wǎng)段 HYPERLINK /document/product/215/18509 l 2 CIDR（無類別域間路由）

15、IP 地址組。CIDR55（掩碼范圍需在1628之間） - 55（掩碼范圍需在16 - 28之間） - 55 （掩碼范圍需在16 - 28之間）子網(wǎng)一個私有網(wǎng)絡(luò)由至少一個子網(wǎng)組成，子網(wǎng)的 CIDR 必須在私有網(wǎng)絡(luò)的 CIDR 內(nèi)。子網(wǎng)用于管理彈性云服務(wù)器網(wǎng)絡(luò)平面的一個網(wǎng)絡(luò)，可以提供 IP 地址管理、DNS 等服務(wù)。私有網(wǎng)絡(luò)中的所有云資源（如云服務(wù)器、云數(shù)據(jù)庫等）都必須部署在子網(wǎng)內(nèi)。私有網(wǎng)絡(luò)具有 HYPERLINK /document/product/215/20057 l .E5.9C.B0.E5.9F.9F.EF.BC.88region.EF.BC.89 地域（Region） 屬性（如廣州）

16、，而子網(wǎng)具有 HYPERLINK /document/product/215/20057 l .E5.8F.AF.E7.94.A8.E5.8C.BA.EF.BC.88zone.EF.BC.89 可用區(qū)（Zone） 屬性（如廣州一區(qū)），一個私有網(wǎng)絡(luò)下的子網(wǎng)可以屬于該地域下不同可用區(qū)，同一私有網(wǎng)絡(luò)下各個子網(wǎng)內(nèi)資源無論是否在同一可用區(qū)內(nèi)，均默認(rèn)內(nèi)網(wǎng)互通。不同私有網(wǎng)絡(luò)的彈性云服務(wù)器可通過創(chuàng)建 HYPERLINK /document/product/553 對等連接 或 HYPERLINK /document/product/877 云聯(lián)網(wǎng) 通信。路由表路由表由多條路由策略組成，用于控制私有網(wǎng)絡(luò)內(nèi)子網(wǎng)的

17、出流量走向。每個子網(wǎng)僅且只能關(guān)聯(lián)一個路由表，一個路由表可以關(guān)聯(lián)多個子網(wǎng)。您可以為不同流量走向的子網(wǎng)創(chuàng)建多個路由表。路由表通過路由策略來實現(xiàn)流量走向控制，路由策略由目的端、下一跳類型和下一跳組成：目的端：目的端即為您要轉(zhuǎn)發(fā)到的目標(biāo)網(wǎng)段。目的網(wǎng)段描述僅支持網(wǎng)段格式，如果您希望目的端為單個 IP，可設(shè)32置掩碼為（如）。另外，目的端不能為路由表所在私有網(wǎng)絡(luò)內(nèi)的IP 段，原因是Local 路由已32表示此私有網(wǎng)絡(luò)內(nèi)默認(rèn)內(nèi)網(wǎng)互通。下一跳類型：私有網(wǎng)絡(luò)的數(shù)據(jù)包的出口。私有網(wǎng)絡(luò)下一跳類型支持 “NAT 網(wǎng)關(guān)”、“對等連接”、“VPN網(wǎng)關(guān)”、“專線網(wǎng)關(guān)”、“云服務(wù)器”等類型。下一跳：指定具體跳轉(zhuǎn)到的下一跳實例

18、（使用下一跳 ID 標(biāo)識），如私有網(wǎng)絡(luò)內(nèi)的某個具體 NAT 網(wǎng)關(guān)。私有網(wǎng)絡(luò)連接騰訊云為您提供豐富的解決方案，可以滿足 VPC 內(nèi)的云服務(wù)器、數(shù)據(jù)庫等實例連接公網(wǎng)（Internet）、連接其他VPC 內(nèi)實例、或與本地數(shù)據(jù)中心（IDC）互聯(lián)的需求。更多關(guān)于私有網(wǎng)絡(luò)連接方式的介紹，請參見 HYPERLINK /document/product/215/37053 VPC 連接。私有網(wǎng)絡(luò)安全私有網(wǎng)絡(luò)基于 OverLay 技術(shù)，在云上構(gòu)建邏輯隔離的網(wǎng)絡(luò)空間，不同租戶、不同私有網(wǎng)絡(luò)間網(wǎng)絡(luò)相互隔離，保障您的業(yè)務(wù)安全。安全組：安全組是一種有狀態(tài)的包過濾虛擬防火墻，可以控制單臺或多臺實例的數(shù)據(jù)流。權(quán)限控制：私有

19、網(wǎng)絡(luò)支持通過 CAM 實現(xiàn)賬戶最小授權(quán)，為您提供精確到賬號、實例、API 維度的權(quán)限控制功能。網(wǎng)絡(luò) ACL：網(wǎng)絡(luò) ACL 是一個子網(wǎng)級別的、無狀態(tài)的包過濾虛擬防火墻，可以控制進(jìn)出子網(wǎng)的數(shù)據(jù)流。更多私有網(wǎng)絡(luò)安全性的介紹，請參見 HYPERLINK /document/product/215/20087 安全。產(chǎn)品優(yōu)勢-11-25 19:30:52自定義網(wǎng)絡(luò)私有網(wǎng)絡(luò)為您提供了強(qiáng)大的網(wǎng)絡(luò)管理能力，您可以自定義網(wǎng)段，可以像傳統(tǒng)網(wǎng)絡(luò)一樣按需劃分子網(wǎng)，并通過靈活配置路由表和路由規(guī)則，定制化地部署您的云上業(yè)務(wù)。騰訊云私有網(wǎng)絡(luò)還提供可視化的網(wǎng)絡(luò)拓?fù)?，幫助您更好地?guī)劃網(wǎng)絡(luò)。彈性可擴(kuò)展使用私有網(wǎng)絡(luò)，您可以根據(jù)業(yè)務(wù)

20、需要進(jìn)行彈性部署，通過在一個或多個私有網(wǎng)絡(luò)內(nèi)創(chuàng)建不同的子網(wǎng)來部署不同的業(yè)務(wù)部分。還可以通過將私有網(wǎng)絡(luò)與您的本地數(shù)據(jù)中心、與其它 VPC、基礎(chǔ)網(wǎng)絡(luò)相連，按需擴(kuò)展網(wǎng)絡(luò)架構(gòu)。豐富接入私有網(wǎng)絡(luò)提供豐富的接入方式，可以滿足您在云上的通信需求：訪問 Internet：您可以使用普通公網(wǎng) IP、彈性公網(wǎng) IP、NAT 網(wǎng)關(guān)、負(fù)載均衡等訪問 Internet。訪問其它私有網(wǎng)絡(luò)：您可以使用云聯(lián)網(wǎng)、對等連接來訪問其它私有網(wǎng)絡(luò)。訪問本地數(shù)據(jù)中心：您可以使用 VPN 連接、專線接入、云聯(lián)網(wǎng)來訪問您的本地數(shù)據(jù)中心。訪問基礎(chǔ)網(wǎng)絡(luò)：您可以使用基礎(chǔ)網(wǎng)絡(luò)互通來訪問您部署在基礎(chǔ)網(wǎng)絡(luò)中的業(yè)務(wù)。安全可靠私有網(wǎng)絡(luò)基于隧道技術(shù)，在物理網(wǎng)

21、絡(luò)上構(gòu)造虛擬網(wǎng)絡(luò)，使用 VXLAN 協(xié)議，實現(xiàn)不同私有網(wǎng)絡(luò)之間內(nèi)網(wǎng)完全隔離，為用戶提供獨立、隔離的安全云網(wǎng)絡(luò)。對于私有網(wǎng)絡(luò)內(nèi)云服務(wù)器，我們還為您提供安全組、網(wǎng)絡(luò) ACL等不同層面的網(wǎng)絡(luò)訪問控制方式。簡單易用您可以通過控制臺、API 等方式，快速創(chuàng)建、管理私有網(wǎng)絡(luò)，產(chǎn)品化的網(wǎng)絡(luò)功能、豐富的排障功能，可以大幅降低您的運維成本。應(yīng)用場景：2019-11-27 17:45:17訪問公網(wǎng)單個云服務(wù)器訪問公網(wǎng)當(dāng)您的業(yè)務(wù)量較小，僅有單個云服務(wù)器時，可以通過申請一個公網(wǎng) IP 綁定在云服務(wù)器上，實現(xiàn)訪問公網(wǎng)的功能。多云服務(wù)器安全訪問公網(wǎng)當(dāng)您有多個云服務(wù)器需要同時訪問公網(wǎng)，且不希望暴露云服務(wù)器的內(nèi)網(wǎng)地址時，可以

22、使用 HYPERLINK /document/product/552 NAT 網(wǎng)關(guān)。NAT 網(wǎng)關(guān)具有 SNAT 功能，可以使多個云服務(wù)器都通過 NAT 網(wǎng)關(guān)上的公網(wǎng) IP 實現(xiàn)訪問公網(wǎng)，且在未配置 DNAT 功能時，外部用戶無法直接訪問 NAT 網(wǎng)關(guān)，保證了安全性。當(dāng) NAT 網(wǎng)關(guān)上有多個公網(wǎng) IP 時，NAT 網(wǎng)關(guān)會自動做負(fù)載均衡。對公網(wǎng)提供服務(wù)單個云服務(wù)器提供服務(wù)您可以將網(wǎng)站等服務(wù)托管在 VPC 中的云服務(wù)器上，并通過一個公網(wǎng) IP 實現(xiàn)對外提供服務(wù)的功能。多個云服務(wù)器負(fù)載均衡當(dāng)您有較多服務(wù)器來部署復(fù)雜業(yè)務(wù)、且公網(wǎng)流量較大時，可以使用 HYPERLINK /document/product

23、/214 負(fù)載均衡。負(fù)載均衡可以實現(xiàn)自動分配云中多個CVM 實例間應(yīng)用程序的訪問流量，讓您實現(xiàn)更高水平的應(yīng)用程序容錯能力。應(yīng)用容災(zāi)跨可用區(qū)容災(zāi)子網(wǎng)具有可用區(qū)屬性，您可以在一個地域的私有網(wǎng)絡(luò)下創(chuàng)建屬于不同可用區(qū)的子網(wǎng)，同一個私有網(wǎng)絡(luò)下不同子網(wǎng)默認(rèn)內(nèi)網(wǎng)互通，您可以在不同可用區(qū)的子網(wǎng)中部署資源，實現(xiàn)跨可用區(qū)容災(zāi)?？绲赜蛉轂?zāi)您可以跨地域部署業(yè)務(wù)，例如兩地三中心方案，以實現(xiàn)跨地域的容災(zāi)。部署混合云連接本地數(shù)據(jù)中心私有網(wǎng)絡(luò)提供專線接入、VPN構(gòu)。使用本地數(shù)據(jù)中心，可以保證您核心數(shù)據(jù)的安全性。您還可以根據(jù)業(yè)務(wù)量擴(kuò)展云上的資源數(shù)量（如云服務(wù)器、云數(shù)據(jù)庫等），IT全球多點互聯(lián)當(dāng)您在全球、全國多地域都部署有業(yè)務(wù)，

24、且各個地域需要進(jìn)行互聯(lián)時，可以使用 HYPERLINK /document/product/877 云聯(lián)網(wǎng)、 HYPERLINK /document/product/216 專線接入 等產(chǎn)品，通過單點接入，輕松實現(xiàn)全球多點互聯(lián)。基本概念I(lǐng)P 地址：2020-01-03 14:02:54騰訊云有兩類 IP 地址，公網(wǎng) IP 地址和內(nèi)網(wǎng) IP 地址。如果您不主動做解綁、更換操作，公網(wǎng) IP 和內(nèi)網(wǎng) IP 都不會改變。公網(wǎng) IP 地址公網(wǎng) IP 地址是 Internet 上的非保留地址，有公網(wǎng) IP 地址的云服務(wù)器可以和 Internet 上的其他計算機(jī)互相訪問。騰訊云公網(wǎng) IP 地址有兩類，普通公

25、網(wǎng) IP 和彈性公網(wǎng) IP，二者都可以為云服務(wù)器提供訪問公網(wǎng)和被公網(wǎng)訪問的能力。對比項普通公網(wǎng) IP彈性公網(wǎng) IP訪問公網(wǎng)/被公網(wǎng)訪問能力二者作為公網(wǎng) IP，訪問公網(wǎng)和被公網(wǎng)訪問的能力沒有差別。獲取方式只能在云服務(wù)器購買時分配，如購買時未分配，則無法獲得。 HYPERLINK /document/product/213/16586 l .E7.94.B3.E8.AF.B7.E5.BC.B9.E6.80.A7.E5.85.AC.E7.BD.91-ip IP 得。 HYPERLINK /document/product/213/16586 l .E5.85.AC.E7.BD.91-ip-.E8.B

26、D.AC.E5.BC.B9.E6.80.A7-ip IPIP。特點與云服務(wù)器生命周期一致，云服務(wù)器釋放后，普通公網(wǎng) IP 也會釋放。獨立享有的 IP 資源，可隨時與云服務(wù)器、NAT 網(wǎng)關(guān)等綁定、解綁。不再需要時可以釋放。IP 費用普通公網(wǎng) IP 可免費使用。綁定：有綁定資源（如云服務(wù) HYPERLINK /document/product/213/17156 器、NAT）用費。未綁定：收取資源占用費。釋放：不再收取任何費用。配額IP 數(shù)無固定配額，與可購云服務(wù)器配額一致。每個賬戶每個地域（Region）可申請：20個。單臺云服務(wù)器綁定公網(wǎng) IP 數(shù)配額請參見 HYPERLINK /docume

27、nt/product/213/5733 l .E4.BA.91.E6.9C.8D.E5.8A.A1.E5.99.A8.E7.BB.91.E5.AE.9A.E5.85.AC.E7.BD.91-ip-.E9.99.90.E5.88.B6 配額說明。對比項普通公網(wǎng) IP彈性公網(wǎng) IP操作轉(zhuǎn)換IP HYPERLINK /document/product/213/16586 l .E5.85.AC.E7.BD.91-ip-.E8.BD.AC.E5.BC.B9.E6.80.A7-ip 可轉(zhuǎn)換，詳情請參見 普通公網(wǎng) IP 轉(zhuǎn)換為彈性公網(wǎng)IP。普通公網(wǎng) IP 轉(zhuǎn)換為彈性公網(wǎng) IP 后，僅 IP 屬性改變，IP

28、 地址不變。彈性公網(wǎng) IP 不可轉(zhuǎn)換為普通公網(wǎng)IP。更換IP HYPERLINK /document/product/213/16642 可以直接更換普通公網(wǎng) IP， 詳情請參見 更換公網(wǎng) IP 地址。不可以直接更換彈性公網(wǎng) IP，您可以解綁并釋放后，申請新的彈性公網(wǎng) IP 并綁定。釋放IP如果您不再需要該公網(wǎng)IP HYPERLINK /cvm 的IP/IP】進(jìn)行退還。可以在彈性公網(wǎng) IP 控制臺釋放，詳情請參見 HYPERLINK /document/product/213/16586 l .E9.87.8A.E6.94.BE.E5.BC.B9.E6.80.A7.E5.85.AC.E7.BD

29、.91-ip 釋放彈性公網(wǎng) IP。找回IP HYPERLINK /document/product/213/34376 您可以找回您使用過、且未被其它用戶使用的普通公網(wǎng) IP/彈性公網(wǎng) IP，詳情請參見 找回公網(wǎng) IP 地址。內(nèi)網(wǎng) IP 地址內(nèi)網(wǎng) IP 地址是騰訊云內(nèi)網(wǎng)服務(wù)的實現(xiàn)形式，無法通過 Internet 訪問。每個云服務(wù)器實例都具有分配內(nèi)網(wǎng) IP 的默認(rèn)網(wǎng)絡(luò)接口（即 eth0 ），內(nèi)網(wǎng) IP 地址可由系統(tǒng)自動分配，在私有網(wǎng)絡(luò)環(huán)境下，內(nèi)網(wǎng) IP 地址也可由用戶自定義。屬性內(nèi)網(wǎng)服務(wù)具有用戶屬性，不同用戶間相互隔離，即默認(rèn)無法經(jīng)由內(nèi)網(wǎng)訪問另一個用戶的云服務(wù)。內(nèi)網(wǎng)服務(wù)具有地域?qū)傩?，不同地域間相

30、互隔離，即默認(rèn)無法經(jīng)由內(nèi)網(wǎng)訪問同賬戶下不同地域的云服務(wù)。適用場景內(nèi)網(wǎng) IP 可以用于負(fù)載均衡與云服務(wù)器實例之間內(nèi)網(wǎng)互訪、云服務(wù)器實例與其他云服務(wù)（如 TencentDB）之間內(nèi)網(wǎng)互訪。相關(guān)操作獲取實例的內(nèi)網(wǎng) IP 地址和設(shè)置 DNS，請參見 HYPERLINK /document/product/213/17941 獲取內(nèi)網(wǎng) IP 地址和設(shè)置 DNS。修改私有網(wǎng)絡(luò)中云服務(wù)器實例的內(nèi)網(wǎng) IP，請參見 HYPERLINK /document/product/213/16561 修改內(nèi)網(wǎng) IP 地址。地域與可用區(qū)：2019-11-25 19:34:07騰訊云托管機(jī)房分布在全球多個位置，這些位置節(jié)點稱

31、為地域（Region），每個地域又由多個可用區(qū)（Zone）構(gòu)成。創(chuàng)建私有網(wǎng)絡(luò)時需要選擇地域，創(chuàng)建子網(wǎng)時需要選擇可用區(qū)，且子網(wǎng)必須在私有網(wǎng)絡(luò)所在地域內(nèi)。掌握地域和可用區(qū)的基本信息，可以幫助您更好地部署云上資源。地域（Region）騰訊云地域命名采用【覆蓋范圍機(jī)房所在城市】結(jié)構(gòu)，例如華南地區(qū)（廣州）、華東地區(qū)（上海）、亞太地區(qū)（首爾）等。覆蓋范圍表示該機(jī)房的覆蓋能力，機(jī)房所在城市表示該機(jī)房所在或臨近的城市。地域列表請參見 地域和可用區(qū)列表。地域特性：VPC 具有地域?qū)傩?，每個私有網(wǎng)絡(luò)能且只能歸屬于一個地域。無論同地域還是跨地域，不同 VPC 間相互隔離，均無法直接內(nèi)網(wǎng)通信。如果您有不同 VPC 間

32、通信需求，可以使用 HYPERLINK /document/product/877 云聯(lián)網(wǎng) 或 HYPERLINK /document/product/553 對等連接 ?？捎脜^(qū)（Zone）可用區(qū)指騰訊云在同一地域內(nèi)電力和網(wǎng)絡(luò)互相獨立的物理數(shù)據(jù)中心，一個地域內(nèi)至少有一個可用區(qū)，如下圖示例， 廣州地域有4個可用區(qū)。建立單地域多可用區(qū)是為了保證可用區(qū)間的故障相互隔離（大型災(zāi)害或者大型電力故障除外），不出現(xiàn)故障擴(kuò)散， 確保用戶業(yè)務(wù)持續(xù)在線?？捎脜^(qū)特性：VPC 的子網(wǎng)具有可用區(qū)屬性，一個 VPC 內(nèi)可以同時存在多個可用區(qū)的子網(wǎng)（如廣州地域的 VPC，可以在廣州一區(qū)、二區(qū)、三區(qū)、四區(qū)各有一個子網(wǎng)）。處于

33、相同地域不同可用區(qū)、但在同一個 VPC 下的云產(chǎn)品間，均可通過內(nèi)網(wǎng)互通，可直接使用內(nèi)網(wǎng) IP 互通（如廣州地域的 VPC，不同可用區(qū)下的子網(wǎng)可以直接通過 IP 進(jìn)行內(nèi)網(wǎng)互通）。不同賬戶的資源內(nèi)網(wǎng)完全隔離，需要通過建立 HYPERLINK /document/product/553/18837 跨賬號對等連接 實現(xiàn)互通。選擇地域和可用區(qū)在選擇地域和可用區(qū)時，您需要考慮如下因素：云服務(wù)器所在的地域、您以及您的目標(biāo)用戶所在的地理位置：建議購買云服務(wù)時，選擇最靠近您客戶的地域，以降低訪問時延、提高訪問速度。云服務(wù)器和其他云產(chǎn)品的關(guān)系：建議選擇的云產(chǎn)品盡量在同個地域同個可用區(qū)，以便各產(chǎn)品間通過內(nèi)網(wǎng)通信，

34、降低訪問時延、提高訪問速度。業(yè)務(wù)高可用和容災(zāi)考慮：在即使只有一個 VPC 的場景下，我們也建議您至少將業(yè)務(wù)部署在不同的可用區(qū)，以保證可用區(qū)間的故障隔離，實現(xiàn)跨可用區(qū)容災(zāi)。不同可用區(qū)之間可能會有網(wǎng)絡(luò)的通信延遲，需要結(jié)合業(yè)務(wù)的實際需求進(jìn)行評估，在高可用和低延遲之間找到最佳平衡點。將實例遷移到其他可用區(qū)一個已經(jīng)啟動的實例無法更改其可用區(qū)，但用戶可以通過其他方法把實例遷移至其他可用區(qū)，并保留當(dāng)前私有 IP 地址。操作過程包括：從原始實例創(chuàng)建自定義鏡像。使用自定義鏡像在新可用區(qū)中啟動實例。更新新實例的配置。詳細(xì)步驟請參見 HYPERLINK /document/product/213/6091 l .E

35、5.B0.86.E5.AE.9E.E4.BE.8B.E8.BF.81.E7.A7.BB.E5.88.B0.E5.85.B6.E4.BB.96.E5.8F.AF.E7.94.A8.E5.8C.BA 將實例遷移到其他可用區(qū)。騰訊云地域和可用區(qū)列表中國地域可用區(qū)華南地區(qū)（廣州） ap-guangzhou廣州一區(qū)（已售罄） ap-guangzhou-1廣州二區(qū)ap-guangzhou-2廣州三區(qū)ap-guangzhou-3廣州四區(qū)ap-guangzhou-4華南地區(qū)（深圳金融） ap-shenzhen-fsi深圳金融一區(qū)（僅限金融機(jī)構(gòu)和企業(yè)提 HYPERLINK /workorder/category

36、 工單申請 開通） ap-shenzhen-fsi-1深圳金融二區(qū)（僅限金融機(jī)構(gòu)和企業(yè)提 HYPERLINK /workorder/category 工單申請 開通） ap-shenzhen-fsi-2華東地區(qū)（上海） ap-shanghai上海一區(qū)ap-shanghai-1上海二區(qū)ap-shanghai-2上海三區(qū)ap-shanghai-3華東地區(qū)（上海金融） ap-shanghai-fsi上海金融一區(qū)（僅限金融機(jī)構(gòu)和企業(yè)提 HYPERLINK /workorder/category 工單申請 開通） ap-shanghai-fsi-1上海金融二區(qū)（僅限金融機(jī)構(gòu)和企業(yè)提 HYPERLINK

37、/workorder/category 工單申請 開通） ap-shanghai-fsi-2華北地區(qū)（北京） ap-beijing北京一區(qū)ap-beijing-1北京二區(qū)ap-beijing-2北京三區(qū)ap-beijing-3西南地區(qū)（成都） ap-chengdu成都一區(qū)ap-chengdu-1成都二區(qū)ap-chengdu-2西南地區(qū)（重慶） ap-chongqing重慶一區(qū)ap-chongqing-1港澳臺地區(qū)（中國香港） ap-hongkong中國香港一區(qū)（中國香港節(jié)點可用于覆蓋港澳臺地區(qū)） ap-hongkong-1中國香港二區(qū)（中國香港節(jié)點可用于覆蓋港澳臺地區(qū)） ap-hongkong

38、-2其他區(qū)域地域可用區(qū)亞太東南（新加坡） ap-singapore新加坡一區(qū)（新加坡節(jié)點可用于覆蓋亞太東南地區(qū)） ap-singapore-1亞太東北（首爾） ap-seoul首爾一區(qū)（首爾節(jié)點可用于覆蓋亞太東北地區(qū)） ap-seoul-1亞太東北（東京） ap-tokyo東京一區(qū)（東京節(jié)點可用區(qū)覆蓋亞太東北地區(qū)） ap-tokyo-1亞太南部（孟買） ap-mumbai孟買一區(qū)（孟買節(jié)點可用于覆蓋亞太南部地區(qū)） ap-mumbai-1亞太東南（曼谷） ap-bangkok曼谷一區(qū) （曼谷節(jié)點用戶覆蓋亞太東南地區(qū)） ap-bangkok-1北美地區(qū)（多倫多） na-toronto多倫多一區(qū)（多

39、倫多節(jié)點可用于覆蓋北美地區(qū)） na-toronto-1美國西部（硅谷） na-siliconvalley硅谷一區(qū)（硅谷節(jié)點可用于覆蓋美國西部） na-siliconvalley-1硅谷二區(qū)（硅谷節(jié)點可用于覆蓋美國西部） na-siliconvalley-2美國東部（弗吉尼亞） na-ashburn弗吉尼亞一區(qū) （弗吉尼亞節(jié)點用戶覆蓋美國東部地區(qū)） na-ashburn-1歐洲地區(qū)（法蘭克福） eu-frankfurt法蘭克福一區(qū)（法蘭克福節(jié)點可用于覆蓋歐洲地區(qū)） eu-frankfurt-1歐洲地區(qū)（莫斯科） eu-moscow莫斯科一區(qū)（莫斯科節(jié)點可用區(qū)覆蓋歐洲地區(qū)） eu-moscow-1

40、VPC 連接：2019-11-29 20:00:04騰訊云為您提供豐富的解決方案，可以滿足 VPC 內(nèi)的云服務(wù)器、數(shù)據(jù)庫等實例連接公網(wǎng)（Internet）、連接其他VPC 內(nèi)實例、或與本地數(shù)據(jù)中心（IDC）互聯(lián)的需求。連接公網(wǎng)您可使用如下產(chǎn)品或功能，實現(xiàn) VPC 與公網(wǎng)間的訪問。產(chǎn)品功能特點普通公網(wǎng)IP支持云服務(wù)器訪問公網(wǎng)或用戶從公網(wǎng)訪問云服務(wù)器。只有在購買云服務(wù)器時可以選擇是否分配普通公網(wǎng) HYPERLINK /document/product/552 IP，如購買時未分配，可使用 彈性公網(wǎng) IP 或 NAT 網(wǎng)關(guān)。 HYPERLINK /document/product/213/5733

41、彈性公網(wǎng)IP HYPERLINK /document/product/213/5733 （EIP）單臺云服務(wù)器可以綁定一個或多個 EIP， 以訪問公網(wǎng)或被公網(wǎng)訪問。一種可獨立購買和持有的 IP 資源，詳情請參見 HYPERLINK /document/product/213/17156 EIP 計費。可與云服務(wù)器、NAT 網(wǎng)關(guān)動態(tài)綁定、解綁。您可以根據(jù)業(yè)務(wù)隨時 HYPERLINK /document/product/213/16586 l .E8.B0.83.E6.95.B4.E5.B8.A6.E5.AE.BD 調(diào)整 EIP 的帶寬限制。 HYPERLINK /document/product

42、/552 NAT 網(wǎng) HYPERLINK /document/product/552 關(guān)SNAT：支持一個 VPC 下多臺云服務(wù)器通過同一公網(wǎng) IP 主動訪問公網(wǎng)。DNAT：可以將 VPC 內(nèi)的云服務(wù)器內(nèi)網(wǎng) IP、協(xié)議、端口映射成外網(wǎng) IP、協(xié)議、端口，使云服務(wù)器上的服務(wù)可被公網(wǎng)訪問。NAT 網(wǎng)關(guān)可以用于多臺云服務(wù)器訪問公網(wǎng)。 HYPERLINK /document/product/552/18179 您可以根據(jù)業(yè)務(wù)隨時 調(diào)整 NAT 網(wǎng)關(guān)的帶寬限 HYPERLINK /document/product/552/18179 制。 HYPERLINK /document/product/214

43、負(fù)載均衡通過將訪問流量均衡分發(fā)到多臺云服務(wù)器上的方式對外提供服務(wù)?；诙丝谔峁┧膶雍推邔迂?fù)載均衡功能，支持用戶從公網(wǎng)通過負(fù)載均衡（CLB）訪問云服務(wù)器?？梢韵龁吸c故障，提升應(yīng)用系統(tǒng)的可用性。 HYPERLINK /document/product/213/38839 公網(wǎng)網(wǎng)關(guān)一種開啟了轉(zhuǎn)發(fā)功能的云服務(wù)器。沒有公網(wǎng) IP 的云服務(wù)器，可以通過位于不同子網(wǎng)的公網(wǎng)網(wǎng)關(guān)訪問公網(wǎng)。與具有普通公網(wǎng) IP 的云服務(wù)器差別在于，公網(wǎng)網(wǎng)關(guān)可以轉(zhuǎn)發(fā)其它子網(wǎng)內(nèi)云服務(wù)器訪問公網(wǎng)的流量，而有普通公網(wǎng) IP 的云服務(wù)器只能滿足自身訪問公網(wǎng)的需求。您只有在購買云服務(wù)器時可以選擇是否將云服務(wù)器作為公網(wǎng)網(wǎng)關(guān)，如購買時未創(chuàng)建為

44、公網(wǎng)網(wǎng)關(guān)，建議您使用 HYPERLINK /document/product/552 NAT 網(wǎng)關(guān)。連接其它 VPC您可使用如下產(chǎn)品或功能，實現(xiàn) VPC 間的通信。產(chǎn)品功能特點 HYPERLINK /document/product/553 對等連接用于兩個 VPC 間內(nèi)網(wǎng)通信。兩個 VPC 的 CIDR 不能重疊。需要手動配置路由。支持不同賬號、不同地域下 VPC 的互通。 HYPERLINK /document/product/877 云聯(lián)網(wǎng)用于兩個或多個 VPC 間內(nèi)網(wǎng)通信。CIDR 限制縮小到子網(wǎng)范圍。配置簡單，路由自動下發(fā)。一次加入，所有實例默認(rèn)互通，支持路由開啟和關(guān)閉。支持不同賬號

45、、不同地域下 VPC 的互通，同時支持 VPC 與數(shù)據(jù)中心互通。連接本地數(shù)據(jù)中心您可使用如下產(chǎn)品或功能，實現(xiàn) VPC 與本地數(shù)據(jù)中心的互聯(lián)。產(chǎn)品功能特點 HYPERLINK /document/product/554/19276 l vpn-.E7.BD.91.E5.85.B3 VPN HYPERLINK /document/product/554/19276 l vpn-.E7.BD.91.E5.85.B3 連接通過公網(wǎng)加密通道連接本地數(shù)據(jù)中心和VPC。網(wǎng)絡(luò)質(zhì)量依賴于公網(wǎng)。網(wǎng)絡(luò)傳輸基于 IKE 協(xié)議的預(yù)共享密鑰加密。 HYPERLINK /document/product/216 專線接入通

46、過使用物理專線連接 VPC 和本地數(shù)據(jù)中心。網(wǎng)絡(luò)延時有可靠保證。獨占網(wǎng)絡(luò)鏈路，安全性高。支持在網(wǎng)關(guān)上配置網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)，可解決地址沖突問題。 HYPERLINK /document/product/877 云聯(lián)網(wǎng)通過騰訊云內(nèi)網(wǎng)連接 VPC 和本地數(shù)據(jù)中心，可實現(xiàn)與所有 VPC、數(shù)據(jù)中心間的通信。配置簡單、路由自動下發(fā)。一次加入，可與多個 VPC、數(shù)據(jù)中心互通，支持路由開啟和關(guān)閉。同地域?qū)嵗ネ赓M。連接基礎(chǔ)網(wǎng)絡(luò)您可使用如下產(chǎn)品或功能，實現(xiàn) VPC與基礎(chǔ)網(wǎng)絡(luò)的互聯(lián)。產(chǎn)品功能特點產(chǎn)品功能特點基礎(chǔ)網(wǎng)絡(luò)互通將基礎(chǔ)網(wǎng)絡(luò)內(nèi)的云服務(wù)器關(guān)聯(lián)至指定私有網(wǎng)絡(luò)，使基礎(chǔ)網(wǎng)絡(luò)中的云服務(wù)器可以與私有網(wǎng)絡(luò)內(nèi)的云服務(wù)器、數(shù)

47、據(jù)庫等云服務(wù)通信?；A(chǔ)網(wǎng)絡(luò)中的云服務(wù)器可以訪問私有網(wǎng)絡(luò)中的云服務(wù)器、云數(shù)據(jù)庫、內(nèi)網(wǎng)負(fù)載均衡、云緩存等云資源。私有網(wǎng)絡(luò)內(nèi)的云服務(wù)器，僅能訪問互通的基礎(chǔ)網(wǎng)絡(luò)云服務(wù)器，無法訪問基礎(chǔ)網(wǎng)絡(luò)中的其他計算資源。終端連接實現(xiàn)私有網(wǎng)絡(luò)內(nèi)實例通過內(nèi)網(wǎng)與基礎(chǔ)網(wǎng)絡(luò)內(nèi)非云服務(wù)器實例通信的功能。支持連接的基礎(chǔ)網(wǎng)絡(luò)產(chǎn)品包括：CLB、MySQL、Memcached、Redis、MongoDB。終端連接不支持跨地域、跨賬號，如您有建立終端連接的需要，請?zhí)峤?HYPERLINK /workorder/category 工單申請。安 全 安全組：2020-01-07 14:10:31安全組是一種虛擬防火墻，具備有狀態(tài)的數(shù)據(jù)包過濾功

48、能，用于設(shè)置云服務(wù)器、負(fù)載均衡、云數(shù)據(jù)庫等實例的網(wǎng)絡(luò)訪問控制，控制實例級別的出入流量，是重要的網(wǎng)絡(luò)安全隔離手段。您可以通過配置安全組規(guī)則，允許或禁止安全組內(nèi)的實例的出流量和入流量。特點安全組是一個邏輯上的分組，您可以將同一地域內(nèi)具有相同網(wǎng)絡(luò)安全隔離需求的云服務(wù)器、彈性網(wǎng)卡、云數(shù)據(jù)庫等實例加到同一個安全組內(nèi)。關(guān)聯(lián)了同一安全組的實例間默認(rèn)不會互通，您需要添加相應(yīng)的允許規(guī)則。安全組是有狀態(tài)的，對于您已允許的入站流量，都將自動允許其流出，反之亦然。您可以隨時修改安全組的規(guī)則，新規(guī)則立即生效。安全組規(guī)則組成部分安全組規(guī)則包括如下組成部分：來源：源數(shù)據(jù)（入站）或目標(biāo)數(shù)據(jù)（出站）的 IP。協(xié)議類型和協(xié)議端口

49、：協(xié)議類型如 TCP、UDP、HTTP 等。策略：允許或拒絕。規(guī)則優(yōu)先級安全組內(nèi)規(guī)則具有優(yōu)先級。規(guī)則優(yōu)先級通過規(guī)則在列表中的位置來表示，列表頂端規(guī)則優(yōu)先級最高，最先應(yīng)用； 列表底端規(guī)則優(yōu)先級最低。若有規(guī)則沖突，則默認(rèn)應(yīng)用位置更前的規(guī)則。當(dāng)有流量入/出綁定某安全組的實例時，將從安全組規(guī)則列表頂端的規(guī)則開始逐條匹配至最后一條。如果匹配某一條規(guī)則成功，允許通過，則不再匹配該規(guī)則之后的規(guī)則。多個安全組一個實例可以綁定一個或多個安全組，當(dāng)實例綁定多個安全組時，多個安全組將按照從上到下依次匹配執(zhí)行，您可以隨時調(diào)整安全組的優(yōu)先級。安全組模板新建安全組時，您可以選擇騰訊云為您提供的兩種安全組模版： 放通全部端

50、口模版：將會放通所有出入站流量。放通常用端口模板：將會放通 TCP 22端口（Linux SSH 登錄），80、443端口（Web 服務(wù)），3389端口（Windows 遠(yuǎn)程登錄）、 ICMP 協(xié)議（Ping）、放通內(nèi)網(wǎng)。說明：說明： HYPERLINK /document/product/215/37890 如果提供的安全組模版不滿足您的實際使用，您也可以新建自定義安全組，詳情請參見 創(chuàng)建安全組、安全組應(yīng)用案例。如果您對應(yīng)用層（HTTP/HTTPS） HYPERLINK /product/waf Web（WAF），WAF WebWebWeb 應(yīng)用安全。使用限制有關(guān)安全組的使用限制及配額，詳情

51、請參見 HYPERLINK /document/product/215/37889 限制說明 。使用流程安全組的使用流程如下圖所示：網(wǎng)絡(luò) ACL：2019-11-25 19:40:41網(wǎng)絡(luò)訪問控制列表（Access Control List，ACL）是一種子網(wǎng)級別的可選安全層，用于控制進(jìn)出子網(wǎng)的數(shù)據(jù)流，可以精確到協(xié)議和端口粒度。使用場景ACL確控制。WebWebACL，您可以控制這三個子網(wǎng)之間的訪問，使得：WebWebACL 規(guī)則當(dāng)您在網(wǎng)絡(luò) ACL 中添加或刪除規(guī)則后，會自動應(yīng)用到與其相關(guān)聯(lián)的子網(wǎng)的網(wǎng)絡(luò)流量控制。網(wǎng)絡(luò) ACL 規(guī)則包括如下組成部分：協(xié)議類型：選擇 ACL 規(guī)則允許/拒絕的協(xié)議類

52、型，如 TCP、UDP 等。端口：流量的來源端口，支持單個端口或端口段，如80或90 - 100。源IP：流量的源IP 或源網(wǎng)段，支持IP 或CIDR，如或策略：允許或拒絕。默認(rèn)規(guī)則每個網(wǎng)絡(luò) ACL 在創(chuàng)建后都將包含兩條默認(rèn)規(guī)則，默認(rèn)規(guī)則無法修改或刪除，且優(yōu)先級最低。入方向默認(rèn)規(guī)則協(xié)議類型端口源 IP策略說明ALLALL/0拒絕拒絕所有入站流量出方向默認(rèn)規(guī)則協(xié)議類型端口源 IP策略說明ALLALL/0拒絕拒絕所有出站流量規(guī)則優(yōu)先級網(wǎng)絡(luò) ACL 規(guī)則的優(yōu)先級通過規(guī)則在列表中的位置來表示，列表頂端的規(guī)則優(yōu)先級最高，最先應(yīng)用；列表底端的規(guī)則優(yōu)先級最低。若有規(guī)則沖突，則默認(rèn)應(yīng)用位置更前的規(guī)則。當(dāng)有流量

53、入/出綁定有網(wǎng)絡(luò) ACL 的子網(wǎng)時，將從網(wǎng)絡(luò) ACL 列表頂端的規(guī)則開始逐條匹配至最后一條。如果匹配某一條規(guī)則成功，允許通過，則不再匹配該規(guī)則之后的規(guī)則。應(yīng)用示例示例：允許所有源 IP 對 ACL 關(guān)聯(lián)子網(wǎng)內(nèi)云服務(wù)器所有端口進(jìn)行訪問，同時拒絕服務(wù)器源 IP為的HTTP 服務(wù)訪問端口，可添加如下兩條網(wǎng)絡(luò)ACL入站規(guī)則：協(xié)議類型端口源 IP策略說明HTTP801/24拒絕拒絕該 IP 的 HTTP 服務(wù)訪問80端口ALLALL/0允許允許所有源 IP 訪問所有端口安全組與網(wǎng)絡(luò) ACL 的區(qū)別對比項安全組網(wǎng)絡(luò) ACL流量控制云服務(wù)器、數(shù)據(jù)庫等實例級別的流量控制子網(wǎng)級別的流量控制規(guī)則支持允許規(guī)則、拒絕

54、規(guī)則支持允許規(guī)則、拒絕規(guī)則有無狀態(tài)有狀態(tài)：返回數(shù)據(jù)流會被自動允許，不受任何規(guī)則的影響無狀態(tài)：返回數(shù)據(jù)流必須被規(guī)則明確允許生效時間只有在創(chuàng)建云服務(wù)器、云數(shù)據(jù)庫等實例時指定安全組，或?qū)嵗齽?chuàng)建后再關(guān)聯(lián)安全組，規(guī)則才會被應(yīng)用到實例創(chuàng)建 ACL 并綁定子網(wǎng)后，ACL 將自動應(yīng)用到關(guān)聯(lián)子網(wǎng)內(nèi)的所有云服務(wù)器、云數(shù)據(jù)庫等實例規(guī)則優(yōu)先級有規(guī)則沖突時，默認(rèn)應(yīng)用位置更前的規(guī)則有規(guī)則沖突時，默認(rèn)應(yīng)用位置更前的規(guī)則訪問管理訪問管理概述：2019-12-03 15:51:33如果您在騰訊云中使用到了私有網(wǎng)絡(luò)、云服務(wù)器、數(shù)據(jù)庫等服務(wù)，這些服務(wù)由不同的人管理，但都共享您的云賬號密鑰，將存在如下問題：您的密鑰由多人共享，泄密風(fēng)

55、險高。您無法限制其它人的訪問權(quán)限，易產(chǎn)生誤操作造成安全風(fēng)險。此時，您可通過子帳號實現(xiàn)不同的人管理不同的服務(wù)，來規(guī)避如上的問題。默認(rèn)情況下，子帳號沒有使用 CVM 的權(quán)利或者 CVM 相關(guān)資源的權(quán)限。因此，我們就需要創(chuàng)建策略來允許子帳號使用他們所需要的資源或權(quán)限。概述訪問管理（Cloud Access Management，CAM）是騰訊云提供的一套 Web 服務(wù)，它主要用于幫助客戶安全管理騰訊云賬戶下的資源的訪問權(quán)限。通過 CAM，您可以創(chuàng)建、管理和銷毀用戶（組），并通過身份管理和策略管理控制哪些人可以使用哪些騰訊云資源。當(dāng)您使用 CAM 的時候，可以將策略與一個用戶或一組用戶關(guān)聯(lián)起來，策略能

56、夠授權(quán)或者拒絕用戶使用指定資源完成指定任務(wù)。有關(guān) CAM 策略的更多相關(guān)基本信息，請參照 HYPERLINK /document/product/598/10596 語法邏輯。有關(guān) CAM 策略的更多相關(guān)使用信息，請參照 HYPERLINK /document/product/598/10601 策略。VPC分的理解和使用。入門CAMVPCVPCVPC 部分 API 操作支持資源級權(quán)限，意味著，對于該類 API 操作，您不能在使用該類操作的時候指定某個具體的資源來使用，而必須要指定全部資源來使用。鏈接鏈接任務(wù)任務(wù)鏈接了解策略基本結(jié)構(gòu) HYPERLINK /document/product/21

57、5/39266 l .E7.AD.96.E7.95.A5.E8.AF.AD.E6.B3.95 策略語法在策略中定義操作 HYPERLINK /document/product/215/39266 l vpc-.E7.9A.84.E6.93.8D.E4.BD.9C VPC 的操作在策略中定義資源 HYPERLINK /document/product/215/39266 l vpc-.E7.9A.84.E8.B5.84.E6.BA.90.E8.B7.AF.E5.BE.84 VPC 的資源路徑VPC 支持的資源級權(quán)限 HYPERLINK /document/product/215/20171 VP

58、C 支持的資源級權(quán)限控制臺示例 HYPERLINK /document/product/215/20170 控制臺示例可授權(quán)的資源類型策略語法CAM 策略：version:2.0, statement:effect:effect,action:action,resource:resource, condition: key:value版本 version 是必填項，目前僅允許值為2.0。語句 statement 是用來描述一條或多條權(quán)限的詳細(xì)信息。該元素包括 effect、action、resource，condition 等多個其他元素的權(quán)限或權(quán)限集合。一條策略有且僅有一個 statement 元素。actionAPI（name）或者功能集（一組特定的APIpermid）。該元素是必填項。resource描述授權(quán)的具體數(shù)據(jù)。資源是用六段式描述。每款產(chǎn)品的資源定義詳情會有所區(qū)別。有關(guān)如何指定資源的信息，請參閱您編寫的資源聲明所對應(yīng)的產(chǎn)品文檔。該元素是必填項。描述策略生效的約束條件。條件包括操作符、操作鍵和操作值組成。條件值可包括時間、IP 地址等信息。有些服務(wù)允許您在條件中指定其他值。該元素是非必填項。effect allowdenyVPC 的操作在 CAM 策略語句中，您可