云服務(wù)器ECS通過(guò)固定公網(wǎng)IP、彈性公網(wǎng)IP或者公網(wǎng)NAT網(wǎng)關(guān)，可以直接訪問(wèn)公網(wǎng)。為了降低ECS直接訪問(wèn)公網(wǎng)可能帶來(lái)的安全管控風(fēng)險(xiǎn)，您可以使用IPv4網(wǎng)關(guān)及子網(wǎng)路由能力，對(duì)VPC中訪問(wèn)公網(wǎng)的行為進(jìn)行約束，根據(jù)需求使得子網(wǎng)具備訪問(wèn)公網(wǎng)的能力或者不具備訪問(wèn)公網(wǎng)的能力。

如上圖場(chǎng)景所示，具體配置流程如下：

1. 在交換機(jī)1中創(chuàng)建公網(wǎng)NAT網(wǎng)關(guān)，并為交換機(jī)1創(chuàng)建自定義路由表（子網(wǎng)路由表-1）。

2. 在VPC中創(chuàng)建IPv4網(wǎng)關(guān)，選擇子網(wǎng)路由表-1，該路由表的默認(rèn)路由條目（0.0.0.0/0）指向IPv4網(wǎng)關(guān)，然后激活I(lǐng)Pv4網(wǎng)關(guān)。

3. 為交換機(jī)2和交換機(jī)3創(chuàng)建自定義路由表（子網(wǎng)路由表-2），該路由表的默認(rèn)路由條目（0.0.0.0/0）指向公網(wǎng)NAT網(wǎng)關(guān)。

   說(shuō)明

   激活I(lǐng)Pv4網(wǎng)關(guān)后：

   • 如果VPC路由表沒(méi)有配置指向IPv4網(wǎng)關(guān)的路由，則與該路由表關(guān)聯(lián)的交換機(jī)中的資源無(wú)法直接訪問(wèn)公網(wǎng)。但這些資源可以通過(guò)公網(wǎng)NAT網(wǎng)關(guān)訪問(wèn)公網(wǎng)。這種交換機(jī)被稱為私有交換機(jī)（如上圖交換機(jī)2和交換機(jī)3）。關(guān)聯(lián)的子網(wǎng)路由表-2中沒(méi)有默認(rèn)路由指向IPv4網(wǎng)關(guān)。

   • 如果在VPC路由表中配置指向IPv4網(wǎng)關(guān)的路由，則與該路由表關(guān)聯(lián)的交換機(jī)中的資源具備直接訪問(wèn)公網(wǎng)的能力，這種交換機(jī)被稱為公有交換機(jī)（如上圖交換機(jī)1）。關(guān)聯(lián)的子網(wǎng)路由表-1中的默認(rèn)路由條目（0.0.0.0/0）指向IPv4網(wǎng)關(guān)。

IPv4網(wǎng)關(guān)結(jié)合子網(wǎng)路由能力，可以將訪問(wèn)公網(wǎng)的流量引流至虛擬防火墻（例如云防火墻）做安全防護(hù)。

如上圖場(chǎng)景所示，以綁定EIP的ECS實(shí)例與公網(wǎng)之間的流量經(jīng)過(guò)防火墻為例，說(shuō)明路由配置步驟。

1. 為虛擬防火墻規(guī)劃獨(dú)立的交換機(jī)并獨(dú)立綁定一張自定義路由表（子網(wǎng)路由表-1）。

2. 在VPC中創(chuàng)建IPv4網(wǎng)關(guān)，選擇子網(wǎng)路由表-1，該路由表的默認(rèn)路由條目（0.0.0.0/0）指向IPv4網(wǎng)關(guān)，然后激活I(lǐng)Pv4網(wǎng)關(guān)。使得虛擬防火墻所在交換機(jī)具備訪問(wèn)公網(wǎng)的能力。

3. 為應(yīng)用服務(wù)規(guī)劃獨(dú)立的交換機(jī)并獨(dú)立綁定一張自定義路由表，該路由表的默認(rèn)路由條目（0.0.0.0/0）指向虛擬防火墻的彈性網(wǎng)卡。

4. 在VPC中新建一張自定義路由表并綁定IPv4網(wǎng)關(guān)，用來(lái)對(duì)公網(wǎng)入方向的流量進(jìn)行路由控制，此路由表被稱為網(wǎng)關(guān)路由表。將網(wǎng)關(guān)路由表中指向應(yīng)用服務(wù)所在交換機(jī)網(wǎng)段的路由條目的下一跳修改為虛擬防火墻的彈性網(wǎng)卡。