网络管理

本章节主要介绍如何使用网络虚拟化相关资源和服务，包括分布式交换机、分布式端口组、安全组。本节从以下篇章介绍如何使用网络资源和服务：

网络资源

分布式交换机

通过分布式交换机，您可以在 ZStack Cube 虚拟化版中设置和配置网络连接。

集群添加首台主机后，ZStack Cube 虚拟化版将基于该主机的相关配置自动创建默认分布式交换机，默认分布式端口组、以及默认 Kernel 适配器，用于集中管理主机的管理网络。基于网络规划，您可以灵活复用默认分布式交换机或使用新建的分布式交换机。

新建分布式交换机

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，右键单击目标数据中心，然后选择新建分布式交换机。
在新建分布式交换机弹窗中：
1. 完成基本信息配置。
  - 名称：输入分布式交换机名称
  - 简介：为分布式交换机输入简要说明
  - 数据中心：显示分布式交换机所在数据中心
  - 集群：选择分布式交换机要加载的集群，支持虚拟化集群或裸金属集群
2. 完成网络配置。
  此步骤仅当选择虚拟化集群时显示。
  - 添加方式：支持逐个添加、批量聚合、指定相同网口三种添加方式
    当选择逐个添加或批量聚合添加方式时，完成以下参数配置：
    
    上行链路名称：设置与物理交换机连接的主机物理网口聚合后的名称
    Note:
    
    默认按 “Uplink+后缀” 形式命名，后缀以 “1/2/3/…” 自动增加用于区分资源，当上行链路数量大于等于 10 时，默认按 “Up+后缀” 形式命名。
    
    自定义上行链路名称需在 1～10 字符范围内，只能包含英文字母、数字和以下 2 种特殊字符“-”、“_”，且不能以数字开头。
    
    聚合模式：选择物理网口的聚合模式
    
    链路聚合模式 (mode 4)：聚合的网口共享相同的速率和双工设定。网络流量将平均发送至各网口处理，实现负载均衡。该模式支持聚合 1～8 个物理网口，建议聚合至少 2 个网口。
    
    主备模式 (mode 1)：聚合的网口以主备方式工作，即正常情况下由主网口处理网络流量，主网口故障时，自动切换由备网口处理。该模式支持聚合 1～8 个物理网口，建议聚合 2 个网口。
    
    哈希策略：选择链路聚合模式时，支持设置哈希策略决定网络流量出口
    
    layer 2+3：根据源 MAC 地址、目的 MAC 地址和 IP 地址进行哈希运算，决定数据包的发送网口。
    
    layer 3+4：根据 IP 地址和端口进行哈希运算，决定数据包的发送网口。支持 TCP/IP 协议栈。
    
    layer 2：根据源 MAC 地址和目的 MAC 地址进行哈希运算，决定数据包的发送网口。
    
    主机网口：选择需要聚合的主机网口
    
    逐个创建主机聚合口时，同一主机上所选网口的速率需保持一致。
    
    批量创建主机聚合口时，仅支持选择速率一致的网口。
    当选择指定相同网口添加方式时，完成以下参数配置：
    
    网口类型：选择网口类型，包括聚合网口和未聚合网口
    
    聚合口/主机网口：选择网口，添加集群中有相同网口的所有主机
3. 完成分布式端口组配置。
  默认新建分布式端口组，可选择是否在该分布式交换机上新建分布式端口组
  - 名称：输入分布式端口组名称
  - VLAN类型：选择 VLAN 类型。选择标准 VLAN 后，需填写 VLAN ID
  - DHCP服务：选择是否开启为平台内部资源自动分配 IP 地址的服务
  - IP地址管理：选择是否开启 IP 地址管理。开启后，可为分布式端口组添加网络段，网络段内的 IP 地址可通过 DHCP 服务（需启用）分配给该网络下的资源使用
    - IP地址类型：支持 IPv4 和 IPv6
      当选择 IPv4 地址类型时，完成以下参数配置：
      
      IP分配策略：启用 DHCP 服务后，支持通过以下策略分配 IP 地址
      
      随机分配：在添加的网络段内，系统随机分配 IP 地址。
      
      顺序分配：在添加的网络段内，系统将所有空闲 IP 地址按照从小到大的顺序逐个分配。中途释放的 IP 地址，将在下次分配时进行分配。
      示例：假设当前分布式端口组的网络段为 192.168.0.101～192.168.0.120，已分配 192.168.0.101～192.168.0.108，后 192.168.0.106 被释放。下次分配时，将优先分配 192.168.0.106
      
      循环分配：在添加的网络段内，系统将 IP 地址按照从小到大的顺序逐个分配。中途释放的 IP 地址，将在现有空闲 IP 地址分配一轮后再进行分配。
      示例：假设当前分布式端口组的网络段为 192.168.0.101～192.168.0.120，已分配 192.168.0.101～192.168.0.108，后 192.168.0.106 被释放。下次分配时，将从 192.168.0.109 开始分配。直到 192.168.0.120 被分配后，才会分配 192.168.0.106
      
      网络段方式：支持 IP 范围和 CIDR
      
      若选择IP范围，需填写网络段的起始 IP、结束 IP、子网掩码、以及网关。
      Note: 不可将网关、广播地址和网络地址等包含在添加的 IP 段中。
      
      若选择 CIDR，需填写网络段的 CIDR Block 以及网关。网关可填写 CIDR 的第一个或最后一个地址，若留空不填，默认使用 CIDR 的第一个地址作为网关。
      
      当选择 IPv6 地址类型时，完成以下参数配置：
      
      网络段方式：支持 IP 范围和 CIDR
      
      若选择 IP 范围，需填写网络段的起始 IP、结束 IP、前缀长度、以及网关。
      
      若选择 CIDR，需填写CIDR Block。
      
      分配IP模式：选择 IPv6 地址的分配模式
      
      Stateful-DHCP (默认)：有状态地址 DHCP 配置，接口地址以及其他参数全部通过 DHCP 协议配置。IP范围方式仅支持此分配模式。
      
      Stateless-DHCP：无状态地址 DHCP 配置，接口地址通过路由通告的前缀和接口 MAC 地址自动推导出来，其他参数通过 DHCP 协议配置。
      
      SLAAC：无状态地址自动配置，接口地址通过路由通告的前缀自动推导出来，其他参数也附带在路由通告中。
  - DHCP服务IP：设置 DHCP 服务所占用的 IP
  - DNS：设置分布式端口组的 DNS 解析服务
确认配置无误后，点击确定。
Note:
- 选择单网卡或 Bond 网卡加入分布式交换机后，分布式端口组创建的网桥名称会统一以br_dvs开头命名。
- 若添加主机前，管理网地址在网卡或子网口上，添加后，管理网地址将移动到br_dvs{ID}_{VLAN ID}的网桥上。删除主机后，管理网地址会回退到网卡或子网口上。
- 若添加主机前，管理网地址在br网桥上，例如用户自命名的br_{name}_{VLAN ID}，添加后，将不会改变网桥名称。在管理网与业务网复用的场景下，当新建分布式端口组 VLAN 与管理网 VLAN 不一致时，分布式端口组创建的网桥还会以br_dvs{ID}_{VLAN ID}的形式命名，但不会影响到管理网地址所在网卡。

分布式交换机上行链路篇

修改上行链路配置

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，选择目标分布式交换机。
在目标分布式交换机的详情页，点击上行链路标签页。
点击修改配置。
在修改上行链路模式弹窗中，按需修改聚合模式和哈希策略。
Note:
- 当有加入的主机的时候，且默认分布式交换机只有单网卡的情况下，支持修改聚合模式。
- 当没有加入的主机的时候，默认分布式交换机支持修改聚合模式。
点击确定。

管理已加入上行链路的主机

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，选择目标分布式交换机。
在目标分布式交换机的详情页，点击上行链路标签页。
在已加入的主机列表中，选择目标主机。
1. （可选）若要为此聚合口添加新的网口，点击操作 > 添加物理网口。
  Note:
  1. 仅允许添加未被聚合口过的网口。
  2. 仅支持选择和聚合口内已有网口速率一致的网口。
  3. 一个聚合口最多支持添加 8 个物理网口。
2. （可选）若要将物理网口从聚合口中移除，点击操作 > 移除物理网口。
  
  Note: 无法移除所有物理网口，需至少保留 1 个。
3. （可选）若要移除主机的整个上行链路，点击操作 > 解除主机上行链路。
  Note:
  1. 解除主机上行链路将同步删除此主机上的聚合口，请谨慎操作。
  2. 解除主机上行链路将级联卸载此主机下的虚拟机的网卡，请谨慎操作。
  3. 默认分布式交换机不支持解除主机上行链路。

主机配置上行链路

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，选择目标分布式交换机。
在目标分布式交换机的详情页，点击上行链路标签页。
在未加入的主机列表中，选择目标主机。
1. （可选）若新主机聚合口配置与主机所在集群关联的分布式交换机的上行链路配置一致，该主机将自动加入上行链路。
2. （可选）若新主机聚合口配置与主机所在集群关联的分布式交换机的上行链路配置不一致，点击操作 > 加入上行链路。
  加入后，主机聚合口配置将调整为和交换机上行链路配置一致。

分布式交换机网络拓扑篇

查看网络拓扑

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，选择目标分布式交换机。
在目标分布式交换机的详情页，点击网络拓扑标签页。
查看网络拓扑。
网络拓扑以分布式交换机为中心展示与之关联的集群、主机、分布端口组、虚拟机的网络关系结构。

网络拓扑支持的操作

网络拓扑支持以下操作：

操作	描述
刷新	显示当前最新网络拓扑。
放大/缩小	将网络拓扑放大或缩小查看。
默认位置	回到拓扑画布原点。
导出	将网络拓扑导出为PNG格式图片。
隐藏/显示虚拟机	隐藏或显示网络拓扑中的虚拟机。
全屏	将网络拓扑全屏查看。
高亮显示	选中某一资源，将高亮显示该资源及其关联资源。
悬浮显示	鼠标悬浮在某一资源上时，显示该资源相关信息，并支持跳转查看资源详情。
搜索	通过资源名称或UUID检索拓扑资源。

分布式交换机加载/卸载集群

前提条件

默认分布式交换机仅支持加载/卸载裸金属集群。

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，选择目标分布式交换机。
在目标分布式交换机的详情页，点击集群标签页。
（可选）若要为数据中心下更多集群与主机提供网络能力，点击加载集群。
1. 在加载集群弹窗中，选择目标集群、聚合口配置方式、主机网口。
  加载集群时，不支持指定聚合模式，直接继承分布式交换机的聚合模式。
2. 点击确定。
（可选）若要卸载集群，点击卸载集群。
1. 在卸载集群弹窗中，选择目标集群。
2. 点击确定。
Note: 卸载集群后，相应虚拟机的网卡将被卸载，请谨慎操作。

删除分布式交换机

前提条件

默认分布式交换机中仍有加入的主机时，不支持删除操作。
若分布式交换机下的分布式端口组被虚拟机内存快照引用，不支持删除操作。
若分布式交换机下的分布式端口组关联 Kernel 适配器，不支持删除操作。

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，选择目标分布式交换机。
在目标分布式交换机的详情页，点击操作 > 删除。

Note: 删除分布式交换机会删除其下分布式端口组，并卸载相应虚拟机的网卡，请谨慎操作。

分布式端口组

分布式端口组用于向虚拟机提供网络连接并供 Kernel 适配器流量使用。

集群添加首台主机后，ZStack Cube 虚拟化版将基于该主机的相关配置自动创建默认分布式交换机，默认分布式端口组、以及默认 Kernel 适配器，用于集中管理主机的管理网络。基于网络规划，您可以灵活复用默认分布式交换机新建分布式端口组，或使用自定义分布式交换机新建分布式端口组。

新建分布式端口组

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，右键单击目标分布式交换机，然后选择新建分布式端口组。
在新建分布式端口组弹窗中，参考以下示例完成配置：
- 名称：输入分布式端口组名称
- 简介：为分布式端口组输入简要说明
- 分布式交换机：选择分布式端口组对应的分布式交换机
- VLAN类型：选择 VLAN 类型。选择标准 VLAN 后，需填写 VLAN ID
- DHCP服务：选择是否开启为平台内部资源自动分配 IP 地址的服务
- IP地址管理：选择是否开启 IP 地址管理。开启后，可为分布式端口组添加网络段，网络段内的 IP 地址可通过 DHCP 服务（需启用）分配给该网络下的资源使用
  - IP地址类型：支持 IPv4 和 IPv6
    当选择 IPv4 地址类型时，完成以下参数配置：
    
    IP分配策略：启用 DHCP 服务后，支持通过以下策略分配 IP 地址
    
    随机分配：在添加的网络段内，系统随机分配 IP 地址。
    
    顺序分配：在添加的网络段内，系统将所有空闲 IP 地址按照从小到大的顺序逐个分配。中途释放的 IP 地址，将在下次分配时进行分配。
    示例：假设当前分布式端口组的网络段为 192.168.0.101～192.168.0.120，已分配 192.168.0.101～192.168.0.108，后 192.168.0.106 被释放。下次分配时，将优先分配 192.168.0.106
    
    循环分配：在添加的网络段内，系统将 IP 地址按照从小到大的顺序逐个分配。中途释放的 IP 地址，将在现有空闲 IP 地址分配一轮后再进行分配。
    示例：假设当前分布式端口组的网络段为 192.168.0.101～192.168.0.120，已分配 192.168.0.101～192.168.0.108，后 192.168.0.106 被释放。下次分配时，将从 192.168.0.109 开始分配。直到 192.168.0.120 被分配后，才会分配 192.168.0.106
    
    网络段方式：支持 IP 范围和 CIDR
    
    若选择IP范围，需填写网络段的起始 IP、结束 IP、子网掩码、以及网关。
    Note: 不可将网关、广播地址和网络地址等包含在添加的 IP 段中。
    
    若选择 CIDR，需填写网络段的 CIDR Block 以及网关。网关可填写 CIDR 的第一个或最后一个地址，若留空不填，默认使用 CIDR 的第一个地址作为网关。
    当选择 IPv6 地址类型时，完成以下参数配置：
    
    网络段方式：支持 IP 范围和 CIDR
    
    若选择 IP 范围，需填写网络段的起始 IP、结束 IP、前缀长度、以及网关。
    
    若选择 CIDR，需填写CIDR Block。
    
    分配IP模式：选择 IPv6 地址的分配模式
    
    Stateful-DHCP (默认)：有状态地址 DHCP 配置，接口地址以及其他参数全部通过 DHCP 协议配置。IP范围方式仅支持此分配模式。
    
    Stateless-DHCP：无状态地址 DHCP 配置，接口地址通过路由通告的前缀和接口 MAC 地址自动推导出来，其他参数通过 DHCP 协议配置。
    
    SLAAC：无状态地址自动配置，接口地址通过路由通告的前缀自动推导出来，其他参数也附带在路由通告中。
- DHCP服务IP：设置 DHCP 服务所占用的 IP
- DNS：设置分布式端口组的 DNS 解析服务
确认配置信息无误后，点击确定。

修改分布式端口组配置

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，选择目标分布式端口组。
（可选）若要修改基础配置，点击操作 > 修改配置。
1. 在修改配置弹窗中，按需修改名称、简介、VLAN ID、MTU、DHCP 服务。
2. 点击确定。
（可选）若要添加或删除网络段，点击网络段标签页，然后按需执行对应操作。
Note:
- 删除网络段会导致使用该网络段的虚拟机网卡被卸载，请谨慎操作。
- 若分布式端口组已有 DHCP 服务 IP，且 DHCP 服务 IP 在所选网络段内，删除分布式端口组下的全部网络段，DHCP 服务 IP 会被释放。仅删除部分网络段，DHCP 服务 IP 会依然保留。
（可选）若要修改 DNS 配置，点击DNS标签页，然后按需执行对应操作。

删除分布式端口组

前提条件

默认分布式端口组不支持删除操作。
若分布式端口组被虚拟机内存快照引用，不支持删除操作。
若分布式端口组关联 Kernel 适配器，不支持删除操作。

操作步骤

在导航栏中，选择资源清单 > 网络资源。
在资源树中，选择目标分布式端口组。
在目标分布式端口组的详情页，点击操作 > 删除。

Note: 删除分布式端口组会卸载正在使用此端口组的虚拟机网卡，请谨慎操作。
确认知晓风险信息后，点击确定。

Kernel 适配器

Kernel 适配器使用网络标签来标识物理网络流量。在集群成功添加主机后，ZStack Cube 虚拟化版将为每台主机创建一个默认 Kernel 适配器，用于获取和展示该主机的管理网。您可为主机新建用于存储网络服务的 Kernel 适配器。

新建 Kernel 适配器

操作步骤

在导航栏中，选择资源清单 > 主机与虚拟机。
在资源树中，选择目标主机。
在目标主机的详情页，点击Kernel适配器标签页。
在Kernel适配器标签页，点击新建Kernel适配器。
在新建Kernel适配器弹窗中，参考以下示例完成配置：
- 名称：输入 Kernel 适配器名称
- 简介：为 Kernel 适配器输入简要说明
- 网络服务：默认展示存储，表明该 Kernel 适配器专门处理存储网络流量
- 分布式端口组：选择一个分布式端口组
- IPv4地址：为 Kernel 适配器分配一个 IPv4 地址
- 子网掩码：设置子网掩码
确认配置信息无误后，点击确定。

修改 Kernel 适配器配置

操作步骤

在导航栏中，选择资源清单 > 主机与虚拟机。
在资源树中，选择目标主机。
在目标主机的详情页，点击Kernel适配器标签页。
在Kernel适配器标签页，从列表中选择一个 Kernel 适配器，然后点击操作 > 修改配置。
在修改配置弹窗中，按需执行对应操作。
- 如果是默认 Kernel 适配器，仅支持修改名称、简介以及是否勾选存储网络服务。勾选后，表示存储网络复用管理网络。
- 如果是其他 Kernel 适配器，支持修改名称、简介、IPv4 地址、子网掩码。
点击确定。

删除 Kernel 适配器

操作步骤

在导航栏中，选择资源清单 > 主机与虚拟机。
在资源树中，选择目标主机。
在目标主机的详情页，点击Kernel适配器标签页。
在Kernel适配器标签页，从列表中选择一个 Kernel 适配器，然后点击操作 > 删除。
Note:
- 默认 Kernel 适配器不支持删除。
- 删除 Kernel 适配器将释放相关 IP 地址，依赖此 IP 地址的存储服务将中断，请谨慎操作。
输入确认信息后，点击确定。

网络服务

ZStack Cube 虚拟化版提供安全组网络服务，确保虚拟机东西向流量安全。

安全组

本节介绍安全组的工作原理与使用方法：

概述

安全组：为虚拟机网卡提供安全控制，按照指定的安全规则对进出网卡的TCP/UDP/ICMP等数据包进行有效过滤。

功能框架

安全组通过组内的安全规则控制进出网卡的流量。一张网卡可以加入多个安全组，并通过设置安全组优先级，首先匹配优先级较高的安全组。

一个安全组可以包含多条安全规则。根据创建机制可分为系统规则和自定义规则：

系统规则：新建安全组后，系统默认提供两条规则：
- 组内互通规则：安全组内的网卡默认允许相互访问。该规则优先级高于所有自定义规则，且不可修改或删除，仅支持停用。
- 组内/外互通规则：安全组内的网卡默认允许访问安全组外的网卡，但安全组外的网卡默认不允许访问安全组内的网卡。该规则优先级低于所有自定义规则，支持修改单个虚拟机网卡的默认组内与组外的访问行为。
自定义规则：用户自定义添加至安全组的规则。

安全组规则由作用方向、作用对象、行为、协议&端口、以及优先级组成：

规则作用方向：安全组规则主要对流量来源或目标进行控制，按控制的流量流向，可分为入方向规则和出方向规则：
- 入方向规则：针对由外部进入网卡的流量，主要控制流量来源。
- 出方向规则：针对由网卡向外发送的流量，主要控制流量目标。
规则作用对象：安全组规则（出/入方向规则）的生效对象，包括源和目标：
- 源：与入方向规则对应，支持使用IP地址/段或安全组作为源，入方向规则会允许/拒绝来自该IP地址/段或安全组的流量访问。
- 目标：与出方向规则对应，支持使用IP地址/段或安全组作为目标，出方向规则会允许/拒绝当前组内网卡访问目标IP地址/段或安全组内的网卡。
规则行为：针对满足规则匹配条件的流量所应采取的具体动作，包括允许和拒绝：
- 允许：允许网络请求流量流入或流出网卡。
- 拒绝：不允许网络请求流量流入或流出网卡。
默认情况下，若进出网卡的流量不匹配自定义规则，则拒绝入方向流量，允许出方向流量。
协议与端口：规则作用的数据包协议与对应端口。协议包括ALL、TCP、UDP、以及ICMP：
- ALL：表示涵盖所有协议类型，此时不能指定端口。
- TCP：支持1-65535端口。
- UDP：支持1-65535端口。
- ICMP：不支持指定端口。
规则优先级：一条安全组规则相对其他安全组规则优先匹配和生效机制，支持的优先级范围为1-100。数值越大，优先级越低。

开始使用-新建安全组及相关规则

虚拟机使用安全组，您需新建安全组、为安全组添加规则、并将安全组绑定网卡：

新建安全组
添加规则
绑定网卡

新建安全组

在ZStack Cube 虚拟化版平台上，选择目标数据中心，点击网络 > 安全组，参考以下配置新建安全组：

名称：安全组名称
简介：安全组简介

点击确定后，即可新建完成。

添加规则

新建完成安全组后，可在该安全组总览页面为安全组添加单个或批量入方向规则和出方向规则。

单个添加
批量添加

单个添加：根据所需添加的规则的作用方向，选择入方向规则或出方向规则页签，点击添加按钮，参考以下示例进行添加：

类型：规则控制的流量流向，显示为入方向或出方向
优先级：规则的生效优先级，每新增一条规则，该值会自动增1。数值越大，优先级越低
IP地址类型：支持IPv4地址类型
协议：规则针对的通信协议类型，支持ALL、TCP、UDP、ICMP四种类型
端口：选项TCP或UDP时，需设置规则针对的端口
- 如需填写一个端口范围，请用起始端口-结束端口的形式表示。
- 如需填写多个端口或端口范围，请用英文逗号“,”隔开，最多可填写10个。
源：添加入方向规则时需设置此项，表示允许/拒绝来自指定IP地址/段或安全组的访问
- 按IP地址/段指定时，可填写一个IP范围，用起始IP-结束IP的形式表示
- 按IP地址/段指定时，可填写CIDR，如同时填写CIDR和其他类型的IP地址，则CIDR的掩码必须为24位；如只填写CIDR，则无掩码限制。
- 如需填写多个IP地址/段，请用英文逗号“,”隔开。
目的：添加出方向规则时需设置此项，表示允许/拒绝组内网卡访问指定IP地址或安全组
- 按IP地址/段指定时，可填写一个IP范围，用起始IP-结束IP的形式表示
- 按IP地址/段指定时，可填写CIDR，如同时填写CIDR和其他类型的IP地址，则CIDR的掩码必须为24位；如只填写CIDR，则无掩码限制。
- 如需填写多个IP地址/段，请用英文逗号“,”隔开。
启用状态：安全组创建完成后是否直接启用该规则，默认启用；如设置为停用，安全组创建完成后，组内的网卡不会匹配这条规则，直到您手动启用它
简介：安全组规则简介

点击确定后，即可添加成功。

批量添加：可通过导入规则的方式为安全组批量添加入方向和出方向规则

点击更多操作 > 导入规则，上传CSV文件，点击确定后，即可导入成功。
Note:
- 导入的规则不会影响当前已有规则，优先级默认排在已有规则后，并处于停用状态。
- 导入后，用户可手动调整优先级并启用这些规则。
- 为保证系统兼容，导入的文件仅允许经过Microsoft Excel编辑。
若您需将一个安全组的规则复用给另一个安全组，可在该安全组页面，根据场景选择如下操作：
- 若仅需导出入方向规则或出方向规则，可在对应规则页签下，点击规则列表上方右侧的下载按钮，选择导出当前页或全部，即可导出CSV格式的文件。
- 若需导出所有入方向规则和出方向规则，点击更多操作 > 导出规则，即可导出CSV格式的文件。
导出后，再按照以上步骤导入至目标安全组即可。

绑定网卡

为安全组添加规则后，您可根据您的场景选择以下路径为虚拟机网卡绑定安全组：

若您需将安全组批量绑定虚拟机网卡，可在该安全组虚拟机网卡页面批量选择目标网卡，参考以下示例进行绑定：
- 网络：选择安全组适用的网络范围，可选择该数据中心下所有分布式端口组或者指定端口组。
- 网卡：选择目标网卡进行绑定。
  Note: 若平台上虚拟机网卡IP地址显示为空，安全组默认规则（组内互通规则）将对该网卡不生效。
若您需将虚拟机网卡批量绑定安全组，可在目标虚拟机总览页面，通过修改配置为虚拟机网卡批量绑定安全组。虚拟机绑定的安全组对应的数值越小，该安全组生效的优先级越高。
Note: 请妥善配置，避免各个安全组之间的规则冲突。

使用过程中-操作安全组及相关规则

新建安全组及其规则、并绑定虚拟机网卡后，若您需对安全组及相关规则进行修改或删除，可参考本节内容进行操作。

安全组
安全组规则

安全组

若您需修改安全组的启停状态，可通过启用和停用操作，进行修改即可。

若您需修改安全组的名称和简介，可在目标安全组操作栏，点击编辑名称简介，进行修改即可。

若您需将虚拟机网卡从安全组解绑，可根据场景参考以下内容解绑：

若您需将安全组批量解绑虚拟机网卡，可在该安全组虚拟机网卡页面，选择目标网卡，点击解绑虚拟机网卡，即可进行解绑。
若您需将虚拟机网卡批量解绑安全组，可在目标虚拟机总览页面，通过修改配置为虚拟机网卡批量解绑安全组。

若您已确定不需要已有安全组，可在目标安全组操作栏，点击删除，进行删除即可。

Note: 删除安全组将同步删除安全组上自定义新建的规则，请谨慎操作。

安全组规则

若您希望修改系统默认规则，安全组规则分为系统默认规则和自定义规则。系统默认规则为组内互通规则，仅支持停用操作。

若您需对自定义添加或导入的安全组规则进行操作，可进入目标安全组总览页面，按需选择入方向规则或出方向规则页签，根据场景进行操作：

若您需修改单条或批量安全组规则的启停状态，可通过启用和停用操作，进行修改即可。
若您需修改单条安全组规则的配置，例如优先级、允许或拒绝策略、协议和端口、源/目标、启用状态以及简介，可在目标安全组操作栏，点击修改规则，按需进行修改即可。
若您需将调整单条或多条安全组规则的优先级，可点击调整优先级按钮，通过拖拽方式按需调整各个规则的相对优先级顺序即可。取值范围：1-100范围内的整数。数值越大，优先级越低。
若您已确定不需要某一条或某几条安全组规则，选择目标规则，点击删除，进行删除即可。