VPC服務配額限制

配額是在某一區域下最多可同時擁有的某種資源的數量。

天翼云為防止資源濫用，對云服務每個區域的用戶資源數量和容量做了配額限制。

如需查看每個配額項目支持的默認配額，可登錄控制臺查詢您的配額詳情。如需擴大資源配額，可提交天翼云客服工單進行配額擴大申請。

配額名稱	是否支持調整
一個用戶在單個區域可創建的虛擬私有云數量	是
一個用戶在單個區域可創建的子網數量	是
一個用戶在單個區域內，單個VPC可關聯的路由表數量	是
一個用戶在單個區域內，單個路由表可添加的路由數量	否
一個用戶在單個區域可創建的安全組數量	是
一個用戶在單個區域可添加的安全組規則數量	是
一個用戶在單個區域可創建的網絡ACL數量	是
一個用戶在單個區域可創建的IP地址組數量	是
一個用戶在單個區域可創建的對等連接數量	否
一個用戶在單個區域可創建的VPC流日志數量	否
一個用戶在單個區域可創建的鏡像會話數量	否

安全組的使用限制

• 為了確保良好的網絡性能體驗，建議一個實例最多關聯5個安全組。
• 默認情況下，一個安全組最多只允許擁有50條安全組規則。
• 默認情況下，一個云服務器或擴展網卡最多只能被添加到5個安全組中，安全組規則取并集生效。
• 建議一個安全組關聯的實例數量不應超過6000個，否則有可能引起安全組性能下降，甚至造成安全組策略失效。
• 在一個安全組中，對于入方向規則來說，源地址是安全組的規則數量+源地址是IP地址組的規則數量+端口是不連續端口號的規則數量≤120條，否則超過數量的安全組規則將不生效。當同時存在IPv4和IPv6類型的安全組規則時，兩種類型的安全組規則單獨計算，即IPv4規則和IPv6規則可以各有120條。對于安全組出方向規則來說，目的地址和端口存在一樣的限制。以安全組Sg-A的入方向IPv4規則為例，下表中提供了部分符合限制條件的規則供您參考。其中，當一條安全組規則同時符合多個限制時，比如規則A02既使用了不連續端口，又使用了安全組作為源地址，此時只占用一條配額。

規則編號	策略	類型	協議端口	源地址
規則A01	允許	IPv4	全部	當前安全組：Sg-A
規則A02	允許	IPv4	TCP: 22,25,27	其他安全組：Sg-B
規則A03	允許	IPv4	TCP: 80-82	IP地址組：ipGroup-A
規則A04	允許	IPv4	TCP: 22-24,25	IP地址: 192.168.0.0/16

• 當您的組網中，ELB實例的監聽器開啟“獲取客戶端IP”功能時，來自ELB的流量將不受網絡ACL和安全組規則的限制。比如規則已明確拒絕來自ELB實例的流量進入后端云主機，此時該規則無法攔截來自ELB的流量，流量依然會抵達后端云主機。

實踐建議

• 請您遵循白名單原則配置安全組規則，即安全組內實例默認拒絕所有外部的訪問請求，通過添加允許規則放通指定的網絡流量。
• 添加安全組規則時，請遵循最小授權原則。例如，放通22端口用于遠程登錄云主機時，建議僅允許指定的IP地址登錄，謹慎使用0.0.0.0/0（所有IP地址）。
• 請您盡量保持單個安全組內規則的簡潔，通過不同的安全組來管理不同用途的實例。如果您使用一個安全組管理您的所有業務實例，可能會導致單個安全組內的規則過于冗余復雜，增加維護管理成本。
• 您可以將實例按照用途加入到不同的安全組內。例如，當您具有面向公網提供網站訪問的業務時，建議您將運行公網業務的Web服務器加入到同一個安全組，此時僅需要放通對外部提供服務的特定端口，例如80、443等，默認拒絕外部其他的訪問請求。同時，請避免在運行公網業務的Web服務器上運行內部業務，例如MySQL、Redis等，建議您將內部業務部署在不需要連通公網的云主機上，并將這些云主機關聯至其他安全組內。
• 對于安全策略相同的多個IP地址，您可以將其添加到一個IP地址組內統一管理，并在安全組內添加針對該IP地址組的授權規則。當IP地址發生變化時，您只需要在IP地址組內修改IP地址，那么IP地址組對應的安全組規則將會隨之變更，無需逐次修改安全組內的規則，降低了安全組管理的難度，提升效率。
• 請您盡量避免直接修改已運行業務的安全組規則。如果您需要修改使用中的安全組規則，建議您先克隆一個測試安全組，然后在測試安全組上進行調試，確保測試安全組內實例網絡正常后，再修改使用中的安全組規則，減少對業務的影響。
• 您在安全組內新添加實例，或者修改安全組的規則后，此時不需要重啟實例，安全組規則會自動生效。

網絡ACL的使用限制

• 同一區域內，單個用戶最多可以創建200個網絡ACL。
• 建議一個網絡ACL單方向擁有的規則數量不要超過20條，否則會引起網絡性能下降，如網絡轉發性能及新建連接效率降低。當超過120條后，網絡ACL規則可能出現失效情況。
• 在一個網絡ACL的入方向中，最多可以有124條規則關聯IP地址組，出方向同理。
• 在一個網絡ACL中，對于入方向規則來說，源地址是IP地址組的規則數量+目的地址是IP地址組的規則數量+源端口是不連續端口號的規則數量+目的端口是不連續端口號的規則數量 ≤ 120條，否則超過數量的網絡ACL規則將不生效。當同時存在IPv4和IPv6類型的網絡ACL規則時，兩種類型的網絡ACL規則單獨計算，即IPv4規則和IPv6規則可以各有120條。
• 對于網絡ACL出方向規則來說，源地址、目的地址、源端口和目的端口存在一樣的限制。

以網絡ACL Fw-A的入方向IPv4規則為例，下表提供了部分符合限制條件的規則供您參考。其中，當一條網絡ACL規則同時符合多個限制時，比如規則A02即使用了不連續端口作為源端口，又使用了IP地址組作為源地址，此時只占用一條配額。

規則編號	生效順序	類型	策略	協議	源地址	源端口范圍	目的地址	目的端口范圍
規則A01	1	IPv4	拒絕	TCP	0.0.0.0/0	22,25,27	0.0.0.0/0	1-65535
規則A02	2	IPv4	允許	TCP	IP地址組：ipGroup-A	22-24,25	0.0.0.0/0	1-65535
規則A03	3	IPv4	允許	全部	0.0.0.0/0	全部	IP地址組：ipGroup-B	全部
規則A04	4	IPv4	允許	UDP	0.0.0.0/0	1-65535	0.0.0.0/0	80-83,87

• 當您的組網中，ELB實例的監聽器開啟“獲取客戶端IP”功能時，來自ELB的流量將不受網絡ACL和安全組規則的限制。比如規則已明確拒絕來自ELB實例的流量進入后端云主機，此時該規則無法攔截來自ELB的流量，流量依然會抵達后端云主機。

IP地址組的使用限制

在網絡ACL的規則中使用IP地址組時，有以下限制：

• 對于入方向規則，源地址和目的地址只能有一方使用IP地址組。
• 對于出方向規則，源地址和目的地址只能有一方使用IP地址組。

比如網絡ACL入方向規則中的源地址已使用IP地址組，則目的地址只能是IP地址，無法選擇IP地址組。

路由表和路由的使用限制

當您創建VPC時，系統會同步為VPC創建一個默認路由表。除此之外，您還可以創建自定義路由表。

• 在一個VPC內，最多可關聯5個路由表，包括1個默認路由表和4個自定義路由表。
• 在一個VPC內的所有路由表中，最多可容納1000條路由。系統自動創建的路由，即類型為“系統”的路由不占用該配額。

在VPC路由表中，存在系統添加的Local路由以及自定義路由。

• 通常情況下，自定義路由的目的地址不能與系統添加的Local路由的目的地址重疊。Local路由的目的地址一般有子網網段地址，以及系統內部通信的網段地址。
• 您無法在VPC路由表中添加目的地址相同的兩條自定義路由，即使路由的下一跳類型不同也不行。

在VPC路由表中，路由優先級說明如下：

• Local路由：類型為“系統”，用于VPC內通信的系統默認路由，優先級高于自定義路由。
• 自定義路由：類型為“自定義”，是用戶自己添加的路由或者創建其他實例自動下發的路由。當VPC路由中存在多條自定義路由規則可以匹配上流量的目的地址時，流量遵循最長匹配原則，即優先采用掩碼最長，最精確匹配的一條路由并確定下一跳。比如流量的目的地址為192.168.1.12/32，路由A的目的地址為192.168.0.0/16，下一跳為ECS-A，路由B的目的地址為192.168.1.0/24，下一跳為對等連接Peering-AB，則該流量優先匹配路由B。當路由表中存在目的地址為0.0.0.0/0的自定義路由，且子網內的ECS關聯了EIP，則EIP的優先級高，此時默認會通過EIP訪問公網。

虛擬IP的使用限制

• 當云主機具有多個網卡，并且這些網卡都歸屬一個子網時，不推薦使用虛擬IP功能。如果在該場景下使用虛擬IP功能，彈性云主機內部會存在路由沖突，導致虛擬IP通信異常。
• 虛擬IP是從VPC子網內劃分的一個內網地址，因此僅支持將虛擬IP綁定至當前子網內的云主機，不支持跨子網綁定云主機。
• 使用IPv6地址的虛擬IP僅支持綁定一個網卡。
• 虛擬IP及擴展彈性網卡不支持直接訪問天翼云內網云服務，如內網DNS等。
• 虛擬IP與彈性IP綁定將受彈性IP相關配額限制，具體可參看彈性IP服務約束與限制內容。

說明
將虛擬IP綁定至ECS時，會將虛擬IP同時關聯至ECS的安全組。一個虛擬IP最多可同時關聯至10個安全組。

對等連接的使用限制

• 對等連接僅可以連通同節點內的VPC，不同節點的VPC之間不能創建對等連接。
• 配置對等連接時，當您的本端VPC和對端VPC存在網段重疊的情況時，那么您的對等連接可能會不生效。
• VPC-A和VPC-B之間創建對等連接，默認情況下，VPC-B不能通過VPC-A的EIP訪問公網。您可以使用NAT網關服務或配置SNAT服務器，使得VPC-B下的彈性云主機可以通過VPC-A下綁定了EIP的彈性云主機訪問Internet。

IPv4/IPv6雙棧網絡的使用限制

• 當前IPv4/IPv6雙棧網絡暫不收費，后續定價會根據中國電信收費策略的變化進行調整。
• 彈性云主機ECS部分規格支持IPv6網絡，只有選擇支持IPv6的ECS，才可以使用IPv4/IPv6雙棧網絡。

VPC流日志的使用限制

• 一個賬戶在單個節點內，最多可創建10個VPC流日志。

流量鏡像的使用限制

• 流量鏡像的報文采用標準的VXLAN報文格式封裝。當被鏡像的報文長度加上VXLAN報文長度大于鏡像源實例的MTU值時，系統會對報文進行截斷。為了防止報文被截斷，建議您在IPv4場景下，設置彈性網卡的MTU值比鏈路支持的MTU值至少小64字節。
• 當鏡像源為彈性網卡時，僅支持c7n、m7n規格的ECS彈性網卡作為鏡像源。
• 如果一個彈性網卡已被用作鏡像源，則鏡像目的不能使用該彈性網卡。
• 流量鏡像會占用彈性網卡綁定實例的帶寬，并且不做獨立限速。
• 當一個鏡像目的實例需要接收來自多個鏡像源的流量鏡像時，為了確保正常使用，請您根據業務實際需要合理規劃云主機的規格。
• 根據流量鏡像的匹配規則，同一個鏡像源的同一個報文同時符合多個篩選條件規則，也僅會被匹配一次，并且根據采集策略決定是否鏡像到目的實例。
• 對于鏡像源彈性網卡已被安全組或者網絡ACL攔截丟棄的報文，流量鏡像不會鏡像該部分報文。

當鏡像源的報文符合篩選條件被鏡像時，該報文不受鏡像源安全組或者網絡ACL出方向規則約束，即您無需在鏡像源的安全組或者網絡ACL做額外配置。但是如果需要將報文鏡像到鏡像目的實例時，則需要為鏡像目的實例所在的安全組和網絡ACL配置以下規則：

• 安全組規則：允許來自鏡像源的UDP協議報文訪問鏡像目的的4789端口。
• 假如鏡像源彈性網卡的私有IP地址為192.168.0.27，則安全組規則配置示例下表所示。

規則類別	策略	類型	協議端口	源地址
入方向規則	允許	IPv4	自定義UDP：4789	IP地址：192.168.0.27/32 此處僅為示例，請根據實際情況配置。

• 不同的虛擬私有云VPC之間網絡不通，如果鏡像源和鏡像目的實例不在同一個VPC內，則您需要使用VPC對等連接連通VPC之間的網絡。

彈性網卡的使用限制

• 云主機可綁定的擴展彈性網卡數量由云主機實例規格決定。
• 擴展彈性網卡不支持直接訪問華為云內公共云服務，如內網DNS等。

輔助彈性網卡的使用限制

• 單個云主機實例支持綁定的輔助彈性網卡實例數量，由云主機實例規格決定。
• 輔助彈性網卡不支持綁定虛擬IP。
• 不支持單獨收集輔助彈性網卡的流日志，輔助彈性網卡的流日志信息跟隨所屬的彈性網卡一同生成。

VPC IPv4擴展網段的使用限制

• 創建子網時候，您可以基于主網段或者擴展網段來分配子網網段，但是一個子網網段，要么屬于主網段，要么屬于擴展網段，不能兩個網段混用。
• 同一個VPC內的子網默認互通，基于主網段的子網和基于擴展網段的子網也是默認互通。
• 擴展網段的子網地址與VPC路由表中已有路由的目的地址相同或者重疊，會導致已有路由不生效。
• 在擴展網段中創建子網時，系統會為該子網生成一條目的地址為子網網段，下一跳為Local的路由，Local路由屬于VPC內部路由，優先級高于VPC路由表中添加的其他路由。比如，VPC路由表已有某個下一跳為對等連接的路由，其目的地址為100.20.0.0/24；新增擴展網段子網的路由，其目的地址為100.20.0.0/16，100.20.0.0/16和100.20.0.0/24網段重疊，流量優先通過擴展網段子網的路由轉發，會導致對等連接的路由失效。