FusionSphere虚拟数据中心技术白皮书

1、 DOCPROPERTY Product Project Name 华为FusionSphere DOCPROPERTY DocumentName 虚拟数据中心技术白皮书前 言概述本文档介绍FusionSphere产品的虚拟数据中心能力。符号约定在本文中可能出现下列标志，它们所代表的含义如下。符号说明用于警示紧急的危险情形，若不避免，将会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致中度或轻微的人身伤害。用于传递设备或环境安全警示信息，若不避免，可能会导致设备损坏、数据丢失、设备性能降低或其它不可

2、预知的结果。“注意”不涉及人身伤害。用于突出重要/关键信息、最佳实践和小窍门等。“说明”不是安全警示信息，不涉及人身、设备及环境伤害信息。 STYLEREF Contents 目 录 DOCPROPERTY DocumentName 虚拟数据中心技术白皮书目 录 TOC o 1-1 h z t 标题 2,2,标题 3,3,Appendix heading 2,2,Appendix heading 3,3 HYPERLINK l _Toc395625516 前 言 错误！文档中没有指定样式的文字。 STYLEREF 7 错误！文档中没有指定样式的文字。 DOCPROPERTY Product&P

3、roject Name DOCPROPERTY DocumentName 虚拟数据中心技术白皮书什么是虚拟数据中心用户故事王总，42岁，某中小型互联网公司IT部门主管。他昨晚没有睡好。昨天网上业务平台运行缓慢，并且在晚上8点左右出现了系统崩溃。经过定位是因为秒杀活动导致系统瞬间过载，同时又坏了一台服务器，导致整个业务系统雪崩。随着网上业务量增加，他们已经给这些服务器加了内存，又追加了两台高性能服务器，但是还是撑不住。随着双11和圣诞新年的到来，订单量还在不断增长。他们预计满足这些业务压力需要扩充至少20台4路服务器。随之而来的是汇聚交换机的口也不够了，机房空间还够但是供电比较紧张了。随着订单增

4、加物流系统也需要扩容，这样供电也扛不住。前天内服部门一台服务器宕了，发现是维修部的一台临时接入的便携机染毒了，在全网内发起了广播。由于业务系统是和内服维修这些系统隔离的，幸好没有对业务造成影响。内服部门说因为这个他们活没有做完必须加班，要求把他们的系统也隔离起来。但是怎么可能给内服部门一台独立的防火墙呢？防火墙那么贵。前天手下一个熟手因为配置太复杂，撑不住离职了，这让王总一个头有两个大。那家伙在离职信中说：“根本不是我在管那些设备，是他们在管我。我受够了。”还好这个家伙走之前做了整理，什么IP分配表，VLAN分配表，组网图，路由配置等等都整理得清清楚楚。但是怎么把网络配置管好，是个问题。不解决

5、管理复杂的问题，即使有新来的人接手，王总仍然没有把握。问题多的时候，就说明需要转型了，不破不立。世上没有最完美的系统，只有最合适的，这时候，王总需要云的技术来支撑他了。用户痛点王总的问题不是个案，而是转型期企业IT一定会遇到的问题。当IT设备规模及复杂度到达一定的程度时，量变引起质变，会带来大量的问题：IT基础设施的供给不能满足业务增长，总是滞后，导致业务发展受限；业务部门担心资源不足总是超量申请，造成资产闲置浪费；部门多，业务多，组网日渐复杂。同一套路由交换设备需要满足不同业务部门的要求，配置复杂且不可追踪，牵一发动全身。而且只有少数几个人知道怎么搞，靠人来管理又面临休假/离职这些情况。部门

6、间网络不隔离，导致网络风险不可控。这时，王总需要虚拟数据中心技术来协助他。什么是虚拟数据中心技术虚拟数据中心其实不是什么很神秘的新技术，而是将云的理念落实到企业管理中的一种优秀实践。众所周知，云计算的核心思想是通过虚拟化，标准化，自动化的基础设施及管理优秀实践，改变IT基础设施供给的模式。虚拟数据中心技术也不例外，支持资源随需申请，弹性扩缩，自助服务等等这些云计算技术的通用能力。除此之外，虚拟数据中心技术向最终用户提供一个虚拟的所见即所得的数据中心，其特点表现在：网络设备的虚拟化。虚拟数据中心技术将防火墙，负载均衡器，二层网络，三层网关，DHCP，VPN这些设备虚拟化，向最终用户提供原子级的部

7、件。用户可以像搭积木一样搭建自己的网络。由于使用了虚拟化技术，这些用户使用的都是虚拟设备。部门间隔离。虚拟数据中心技术可以给不同的部门分配不同的网络，包括VLAN，IP地址段，甚至虚拟防火墙-这下内服部门满意了。重要的是，这样不同的部门间是互相隔离的。这样IT人员面对的是和多个独立的简单网络，而不是共用同一套网络设备的多个系统。资源分配可追溯。所有分配出去的虚拟资源，以及VLAN，IP地址这些资源，都会被追踪记录下来，以便于管理及追溯。关键资源可管控。公网IP地址，公网带宽，VPN这些稀缺资源，可以很好的被管理起来，随业务部门的需求分配。自服务。虚拟数据中心技术使复杂的企业级IT变回简洁的小规

8、模IT系统，就像企业刚开始创业时那样简单。这样结合自服务门户，以及简单的培训，什么虚拟机管理，防火墙配置这些都可以交给各个部门的IT funs们自己去维护了。对于王总，他只需要安排每天例行检查设备故障情况，资源使用情况，分析系统热点及潜在风险进行事先预防。而他自己也终于有空闲时间学习一下云计算的技术了。虚拟数据中心技术概览虚拟数据中心技术都虚拟化了哪些网络设备看到王总已经喝着咖啡研究云计算了，您是不是也有些好奇，究竟我们都虚拟化了哪些网络设备，都能拿来干什么用。我们虚拟化了如下的几类设备：虚拟的防火墙。我们支持将物理防火墙设备虚拟化后，作为虚拟防火墙提供给最终用户使用。用户就像使用自己的防火墙

9、一样，可以配置ACL过滤规则。虚拟的软件三层网关。借助华为软件虚拟网络技术，我们在一个很小规格的虚拟机（512M内存，2G硬盘，1核CPU）上集成了三层网关。基于这个三层网关，您可以把一些小规模组网完全用软件来实现。您所需要做的，就是为这个组网发放一台虚拟机，然后帮他们配置一下三层默认路由。如果组网中有防火墙，路由指向防火墙。虚拟的硬件三层网关。我们支持将物理防火墙设备虚拟化后，在虚拟防火墙上同时提供三层网关。由于是硬件实现，其性能和可靠性要优于虚拟的三层网关设备。虚拟软件防火墙设备。虚拟的NAT/NAPT/SNAT设备，目前还不支持ACL、VPN等高级特性。这些能力集成在虚拟三层网关中，软件

10、和硬件的网关都具备这些能力。虚拟的DHCP。同样的，在一台很小规格的虚拟机（512M内存，2G硬盘，1核CPU）中，我们部署了DHCP服务。您可以使用这个DHCP来分配IP地址。这个DHCP是纳入我们的整体方案管理的，他会按您设定的规则来分配IP。DHCP网卡通过trunk模式同时接收多个VLAN的DHCP请求，可以为多个子网提供DHCP服务。虚拟的软件负载均衡。在一台很小规格的虚拟机（2G内存，2G硬盘，2核CPU）中，我们部署了软件负载均衡服务。您可以使用这台软件的负载均衡来组成业务集群。虚拟的硬件负载均衡。我们支持将F5物理负载均衡器虚拟化为虚拟负载均衡。这样您就可以将一套F5设备用在多

11、个业务系统中。虚拟的VPN。我们支持将物理防火墙设备虚拟化后，提供虚拟的IPSec VPN，用于将您企业内的已有网络与云上的网络打通。结合云计算平台已经具备的虚拟交换机技术，我们可以很灵活的组装这些网络设备，就像搭积木一样。对于大部份部件我们同时提供软件和硬件的备选方案，您尽可以在成本和性能，可靠性之间作权衡。更重要的，他们是所见即所得的，并且所有的调整都不需要动物理设备连线。忘记那些像被猫蹂躏过的线团一样的网线吧。不同的部门间的网络是怎么隔离的在虚拟数据中心技术方案中，不同的部门，或不同的业务，可以使用独立的“VPC”来隔离。一个VPC就是一个安全的网络环境，包括如下网络部件：一台虚拟防火墙

12、；多个网络平面；在虚拟数据中心方案中，网络平面分为如下三种：内部网络。仅提供裸VLAN，可选支持IP地址管理。不提供网关。这种网络仅有二层，不提供三层访问的能力。这种网络一般用于内部使用的，不允许与外部路由的网络。路由网络。提供VLAN，IP地址管理，三层网关。对于一个VPC下的所有路由网络，我们会自动打通这些路由网络之间的路由，这样方面您的不同路由网络下的虚拟机互相访问。我们也会打通这些网关到虚拟防火墙的路由，以便于您使用时用防火墙作为VPC边界。直连网络。提供将虚拟机直接接入到外部网路的能力。部署到这个网络中的VM可以分配到外部的IP地址。外部网络。所谓外部网络，就是网关和路由不在虚拟数据

13、中心方案中管理的网络平面。提供将您的虚拟机直接接入到外部网络的能力。外部网络在虚拟数据中心方案中表现为一个独立VLAN，虚拟数据中心方案不管理这个VLAN上的IP地址分配/当前支持的IP地址分配方案有两种：DHCP动态分配。此时虚拟数据中心方案中会在一个VPC内部署一台软件的DHCP服务，用于向虚拟机提供IP地址分配。虚拟数据中心方案已经做了IP地址到虚拟机的绑定，即虚拟机每次从DHCP服务请求到的IP地址总是固定的。静态注入。借助虚拟化层的能力，虚拟数据中心方案可以在虚拟机创建时直接设定此虚拟机的IP地址。受虚拟化层能力限制，并不是所有的操作系统都可以静态注入IP地址。由于不同的VPC使用各

14、自的DHCP进行管理，所以VPC之间的地址空间是可以重叠的。这样就使得最终用户可以灵活的规划他的内部地址，而不受其他部门的干扰。对于需要跨部门互通的情况，可以采用如下的方法：事先规划好。事先为每个VPC规划一个网段作为全局互通的网段，然后通过路由器的配置实现互通。使用一个独立规划的外部网络。使用负载均衡进行流量分发从internet进入到VPC内的流量，可以通过负载均衡器进行流量分发，您可以选择：虚拟的硬件负载均衡器虚拟的软件负载均衡器对于负载均衡器，可以选择round Robin或Least Connections算法对网络服务的流量进行分发，提高业务的响应速度，并提供应用的可靠性。您可以根

15、据自己的业务情况和网络负载选择使用硬件或者软件的虚拟负载均衡器。虚拟机硬件负载均衡器依赖于F5 BIG-IP LTM系列负载均衡设备。管理资源配额您可以通过VDC对企业内的不同应用可以使用的资源进行配额管理，包括CPU，内存，存储等。将资源虚拟化成VDC， 业务管理员只需要关心多少资源可用（CPU, 内存，存储）， 不关心应用使用的资源的具体部署。按应用分配资源， 保证应用间资源使用不冲突。 按硬件配置划分给不同的VDC， 提供不同质量的资源给对应的应用。 使用VDC进行资源配额配置 ，可以方便的对系统内的资源进行整体的规划，提升运维能力，并达到对资源进行灵活部署的目的。如何从Internet

16、访问VPC从internet访问VPC内的机器，您可以有如下的选择：弹性IP。此方法适用于将某台虚拟机暴露到互联网，用于对Internet提供服务。NAPT。此方式适合于通过互联网连接到某台虚拟机，用于做维护操作。SNAT。此方式适合于大量虚拟机匿名访问Internet的场景，比如远程调用第三方地图API之类。VPN。此方式使得互联网上的机器通过VPN模式接入到VPC内，与VPC内的路由网络中的任何服务器互通。VNC。VNC连接适用于远程管理网络无法到达，或网络还未启动就绪的虚拟机，用户体验较差。下面对这五种方法逐一详解。弹性IP地址弹性IP地址本身是一个公网IP地址，您可以动态的将该IP地址

17、绑定到VPC内任何一个路由网络中的内部IP地址上。这个地址可以是虚拟机的IP地址，虚拟负载均衡器的北向地址，也可以是一个不绑定到任何虚拟机的浮动IP。此地址受VPC边界的虚拟防火墙保护，您可以针对该地址配置防火墙ACL规则。同时，作为系统管理员，您也可以限制此地址的带宽。此特性依赖于虚拟防火墙，无虚拟防火墙时无法使用。NAPTNAPT一般用于从公网通过SSH/MSTSC/FTP等远程交互手段连接虚拟机时使用。使用此方法可以连接到VPC内任何一个路由网络中的内部IP地址上的制定端口上。这个地址可以是虚拟机的IP地址，虚拟负载均衡器的北向地址，也可以是一个不绑定到任何虚拟机的浮动IP。此地址受VP

18、C边界的虚拟防火墙保护，您需要合理的配置防火墙规则以避免您自己拦截了自己的请求。此特性依赖于虚拟防火墙，无虚拟防火墙时无法使用。SNAT对于仅需要单向访问Internet，不需要向Internet暴露服务的情况下，您可以使用SNAT。SNAT允许您配置一个可路由网络，以及一个或一段公网IP地址。配置后来自此可路由网络的Internet请求，在从VPC发出时，请求源端IP地址都会被映射到指定的公网IP地址。这样Internet上的主机收到请求后，发回的响应就会依据SNAT配置的公网IP地址路由回来。此路由网络受VPC边界的虚拟防火墙保护，您需要合理的配置防火墙规则以避免您自己拦截了自己的请求。此

19、特性依赖于虚拟防火墙，无虚拟防火墙时无法使用。VPN当前支持IPsec VPN，支持client-server模式，以及server-server模式。出于internet的用户可以使用client-server模式接入到VPC内，与VPC内的路由网络中的任何服务器互通。Server-server模式用于在一个组织的多个网络之间建立安全隧道连接，打通网络。移动设备远程接入网关用于在出差员工或AP之类的移动设备要远程访问一个IPSec网关，可以通过L2TP over IPSec的方式，如下 HYPERLINK http:/localhost:7890/pages/3118G2D3/02/3118

20、G2D3/02/resources/cfg_vpn/sec_vsp_cfg_ipsec_0154.html?ft=0&fe=10&hib=.1.2&id=sec_vsp_cfg_ipsec_0154 l sec_vsp_cfg_ipsec_0154_fig2 图所示。此模式下主机侧需要有支持IPSec的客户端，网关侧需要支持IPSec。采用L2TP over IPSec方式接入IPSec网关此特性依赖于虚拟防火墙，无虚拟防火墙时无法使用。VNCVNC的用户体验比较差，一般说来只有这样的情况才需要使用：被连接的虚拟机不在路由网络内，无法使用弹性IP或NAPT进行连接；或被连接的虚拟机网络断连；或

21、被连接的虚拟机未正常启动，系统卡死等网络功能不具备的情况；VNC并不通过虚拟机提供的网络通道连接虚拟机，而是使用虚拟化平台提供的远程管控能力。确定需要创建哪些网络资源系统提供了这么多功能，客户应该怎么用？应该用哪些功能组合来满足自己的实际需求呢，我们给出了一个比较典型的网络决策流程供参考。怎么使用虚拟数据中心技术典型三层网站我们可以使用上面的这些技术搭建一个典型的三层网站架构。一个典型的三层网站包括如下三层：Portal ServerApp Server数据库Server部署这样一个网站，我们经过如下步骤：我们为这个网站创建一个独立的VPC，并为他的边界配置虚拟防火墙。我们需要为这个网站规划网

22、络，需要两个可路由网络，网络A用于Portal Server，负载均衡器和App Server，网络B用于数据库Server。我们创建一个Portal Server的虚拟机，放在子网A中。我们创建一个虚拟负载均衡器，也放在子网A中。我们创建三台App Server的虚拟机，使用双网卡分别连接网络A和网络B。我们创建一台数据库Server的虚拟机，连接到网络B。我们在各个虚拟机和负载均衡上分别配置连接关系。我们为Portal Server申请一个弹性IP地址，并绑定。结合FusionManager部件的弹性自动伸缩功能，还可以使此三层网站具备一定的弹性扩缩能力，使某一层的虚拟机数量随业务负载的变

23、化而动态变化，从而动态的响应业务量的变化。结合FusionManager的应用模板能力，您可以将此三层网站做成一个模板，然后利用此模板直接部署一个三层应用。结合FusionSphere提供的数据备份方案，还可以为数据库虚拟机提供自定义策略的自动化备份方案，从而提升系统的可靠性。约束与限制创建约束vlan池： a、与zone下其他vlanpool中的vlan不能重复 b、与vsa管理网络，vtep网络所使用的vlan不能重复，从FC上发现上来的VTEP网络所使用的vlan不能重复。 vxlan池 a、vlanid为409616777215,vlanpool中的vlan在zone下不能重复。vla

24、n池关联dvs a、vlanpool只能关联一个集群下的一个dvsvsa网络（vsa管理网络，vtep网络）： a、VLAN号在同一个Zone下不能重复(本身不能重，也不能跟vlan池里面的vlan重复)，不同的Zone之间可以重复 b、和zone下的其他vsa网络，外部网络以及VPC下的业务网络（内部网络、路由网络）子网不能有冲突，和GE上发现上来的VTEP子网不能重。 c、zone下的vsa管理网络的子网（子网IP、掩码）可以重复，不通的zone下不能冲突。 d、如果是vtep网络，则虚拟机化环境上必须有普通模式的DVS（只有普通网卡的主机才能支持vxlan，主机网卡类型体现在DVS上则为

25、普通模式的DVS）； e、同一个zone下只能创建16个vsa网络 f、子网掩码最小只能为23位安全组： a、vpc所对应的VDC中必须有属于GE的集群 b、一个VPC下最多只能创建50个安全组安全组成员： a、VM所在的虚拟化环境必须为GE. b、VM所属主机的网卡类型必须为普通网卡才能加入安全组（体现在DVS上，DVS的类型为普通模式） c、vm网卡所在的网络所在的VPC和安全组所在的VPC相同 d、vm必须为稳态（running( 运行中)、stopped（已停止）、hibernated（已休眠）、pause（已暂停）vpc下申请硬件VFW a、vpc所属的zone下必须接入物理防火墙，

26、且物理防火墙上配置有vfw（vfw上还需要配置上行口，否则设置带宽会失败） vpc下申请软件防火墙： a、vpc所属zone下有能够连接到Internet，且子网的IP分配方式为静态注入，子网类型为普通的外部网络，且外部网络不能为安全网络。 b、vpc对应的zone下有可用的VSA管理网络，且vsa管理网络中的子网跟VSAM能够通。 c、如果需要支持vxlan,VPC对应的zone下还需要有vtep网络，且vtep网络跟FC上行链路口上的vtep能通。 d、有vsa逻辑模板acl规则 必须有硬件VFW，域内acl必须有路由网络，域间acl需要有弹性IP，且路由网络，EIP和硬件防火墙所属的VP

27、C必须是同一个（软件防火墙后续也会支持acl）EIP： a、硬件vfw下申请EIP时必须有IP带宽模板，硬件vfw所属vpc对应的zone下必须有公网IP池 b、软件vfw下申请EIP时，用于创建软件vfw的外部网络下必须有可用的IP,软件防火墙不支持设置IP带宽； b、绑定EIP时，vm必须在路由网络下，且有IP；VM的网卡有了DNAT，则该网卡不能绑定EIP dnat b、vm必须在路由网络下，且有IP；VM的网卡绑定EIP，则该网卡则不能配置DNATsnat a、vpc下的路由网络才能开启snat直连网络 a、vpc所在的zone下必须有外部网络 b、普通子网和vlan类型的外部网络可以

28、被zone下的多个vpc用来创建直连网络,但一个vpc只能使用一次 c、超级子网类型的外部网络的一个vlan只能被一个直连网络使用 d、安全类型的外部网络不能用于直连网络内部网络 a、有可用的dvs b、dvs必须关联vlanpool，且vlanpool中有可用的vlan c、如果ip分配方式为内部DHCP，需要vsa逻辑模板，如果网络在底层创建的不是trunk类型的portgroup(支持trunk,R3C10版本及一下的GE)，则还需要vfw d、如果创建子网类型的内部网络，则子网跟vpc下的业务网络IP不能重，跟vpc所在zone下的外部网络，vsa管理网络，vtep网络，以及公网IP池

29、的IP不能重，vlan在zone下不能重复 e、如果是vlan类型的内部网络，vlan在vpc下可以重复。 路由网络 a、vpc下需要申请虚拟防火墙 b、有可用的dvs c、dvs必须关联vlanpool，且vlanpool中有可用的vlan d、如果ip分配方式为内部dhcp，则还需要vsa逻辑模板 e、子网信息跟VPC下的其他业务网络IP不能重，跟vpc所在zone下的外部网络，vsa管理网络，vtep网络，以及公网IP池的的IP不能重。 f、子网预留了6个IP（第一，三，四，五，网关，以及最后一个IP），网关不能跟其他预留的IP冲突。 g、vlan在zone下不能重复外部网络： a、有可

30、用的dvs b、dvs必须关联vlanpool，且vlanpool中有可用的vlan c、vlan在zone下不能重复 d、子网在vlan下不能重复（包括跟vpc下的业务网络，zone下的vsa管理网络，vtep网络，以及公网IP池中的IP）公网IP池 a、一个zone下最多创8个公网IP池 b、ip全系统不能重复组播IP池： a、一个zone下最多创建8个公网IP池 b、IP范围为55 以及55， 全系统不能重复VPN: a、必须有vfw、可以创建Ipsec和L2TP类型的VPN连接； ps: 电信比拼版本中软件的虚拟防火墙支持ipsec类型的VPN连接。 b、本端IP必须为EIP c、创建

31、Ipsec类型的VPN必须有路由网络和远端网关 d、创建VPN连接必须先创建VPN网关删除约束1、直连网络：有VM不能删2、内部网络：有VM不能删(现在的判断和路由网络一样)3、路由网络：有VM不能删，有域内aclentry，snat,vlb,vpn,手工申请的IP 不能删4、外部网络：被直连网络或firewallvsa使用不能删除；有VM不能删除5、硬件vfw，软件vfw:有路由网络，非trunk的DHCP类型的内部网络不能释放，有EIP不能释放（acl在释放vfw时一并删除）6、VPC：有网络不能删，有vfw不能删,有安全组不能删7、EIP：绑定了不能删（可以被VM,SLB,VPN,F5，

32、或者手工申请的IP绑定），被域间acl使用了不能删8、手工申请的IP:绑定了EIP不能删9、安全组：有成员不能删，被其他安全组引用不能删10、vsa管理网络，vtep网络：所属子网IP被分配，不能删11、vlan池，vxlan池：关联了DVS不能删，有vlan被网络使用不能删12、vlanpool解关联DVS：DVS下有portgrou使用该vlanpool内的vlan，则不能解关联13、组播IP池：池内的IP被vxlan网络使用不能删14、公网IP池：池内的IP被snat,dnat,EIP使用无法释放15、外部网络DHCP服务器，被外部网络使用后不能删除强大的小功能Internet直通网络I

33、nternet直通网络其实是使用外部网络提供的一种网络模式。此外部网络的地址直接就是Internet地址，这样连接到直通网络的虚拟机就可以通过此网络平面的一个Internet来提供服务，或访问Internet。这种情况适用于不配置物理防火墙，还需要提供Internet访问的能力。在这种网络模式下，FusionManager可以使用静态注入的方式管理IP地址。Super VLAN在上面的直通网络模式下，在同一个直通网络中的虚拟机其实是部署在同一个二层网络中。由于在同一个二层网络中，这些IP地址之间的互相访问不会经过防火墙，即在此二层网络中的虚拟机可以互相攻击。为解决互相攻击的问题，Super V

34、LAN方案支持为不同的VPC间的Internet直通网络分配同一段公网地址。这样既节省公网IP地址，又避免Internet直通网络的二层风险。在这种网络模式下，FusionManager可以使用静态注入的方式管理IP地址。并且共享同一段Internet地址的SuperVLAN之间的地址不必规划，可以杂散使用。而且同一个VPC内的Internet直通网络上的多个地址是二层直通的，可以直接互通，避免内部业务互访占用公网带宽。安全组当虚拟化层使用FusionCompute时，您可以使用安全组来做VPC内的网络隔离。您可以将VPC内的一些IP地址加入一个安全组，然后设定不同安全组间的访问规则。这些地址

35、不必成段，即，安全组内的地址可以是杂散的。组间访问规则支持如下配置能力：允许或禁止来自另一个安全组的请求通过指定协议及指定端口访问本安全组；允许或禁止来自指定IP地址段的请求通过指定协议及指定端口访问本安全组；同一个安全组内的地址之间的访问不受限制。通过这种方式，您可以实现对VPC内部网络安全行为的精细控制。约束及限制：直连网络不支持安全组功能浮动IP地址浮动IP地址一般用于应用内部存在主备用关系的情况。这种情况下，主备用Server各需要一个设备IP地址，同时还需要一个浮动IP地址对外提供业务。正常情况下浮动IP由主用服务器占有。当主用服务器故障时，备用服务器会主动获取此浮动IP，并继续提供业务。我们支持为这种情况分配浮动IP地址，并允许您在该浮动IP地址上绑定弹性IP，以及将该浮动IP加入到设备IP地址所作的安全组中。双线机房弹性IP特性支持双线机房，您可以将位于两个不同提供商的弹性IP地址绑定到同一个内部IP地址上。这样此内部地址上的服务就可以向两个Internet服务提供商的网络提供服务。此特性依赖于虚拟防火墙，无虚拟防火墙时无法使用。资源出租北向接口如果您是