/ 虚拟私有云 vpc/ 常见问题/ / 变更安全组规则和网络acl规则时,是否对原有流量实时生效?
更新时间:2023-12-29 gmt 08:00

变更安全组规则和网络acl规则时,是否对原有流量实时生效?-九游平台

  • 安全组使用连接跟踪来标识进出实例的流量信息,入方向安全组的规则变更,对原有流量立即生效。出方向安全组规则的变更,不影响已建立的长连接,只对新建立的连接生效。

    当您在安全组内增加、删除、更新规则,或者在安全组内添加、移出实例时,系统会自动清除该安全组内所有实例入方向的连接,详细说明如下:

    • 由入方向流量建立的连接,已建立的长连接将会断开。所有入方向流量立即重新建立连接,并匹配新的安全组入方向规则。
    • 由出方向流量建立的连接,已建立的长连接不会断开,依旧遵循原有安全组规则。出方向流量新建立的连接,将会匹配新的安全组出方向规则。
  • 网络acl使用连接跟踪来标识进出实例的流量信息,入方向和出方向网络acl规则配置变更,对原有流量不会立即生效。

    当您在网络acl内增加、删除、更新规则,或者在网络acl内添加、移出子网时,由入方向/出方向流量建立的连接,已建立的长连接不会断开,依旧遵循原有网络acl规则。入方向/出方向流量新建立的连接,将会匹配新的网络acl出方向规则。

对于已建立的长连接,流量断开后,不会立即建立新的连接,需要超过连接跟踪的老化时间后,才会新建立连接并匹配新的规则。比如,对于已建立的icmp协议长连接,当流量中断后,需要超过老化时间30s后,将会新建立连接并匹配新的规则,详细说明如下:

  • 不同协议的连接跟踪老化时间不同,比如已建立连接状态的tcp协议连接老化时间是600s,icmp协议老化时间是30s。对于除tcp和icmp的其他协议,如果两个方向都收到了报文,连接老化时间是180s,如果只是单方向收到了报文,另一个方向没有收到报文,则连接老化时间是30s。
  • tcp协议处于不同状态下的连接老化时间也不相同,比如tcp连接处于established(连接已建立)状态时,老化时间是600s,处于fin-wait(连接即将关闭)状态时,老化时间是30s。
父主题:

相关文档

网站地图