IPv4網(wǎng)關(guān)概述
IPv4網(wǎng)關(guān)是連接專有網(wǎng)絡(luò) VPC和公網(wǎng)的網(wǎng)絡(luò)組件。您可以使用IPv4網(wǎng)關(guān)結(jié)合子網(wǎng)路由的能力實(shí)現(xiàn)公網(wǎng)訪問(wèn)集中控制,以及將訪問(wèn)公網(wǎng)的流量引流至虛擬防火墻,實(shí)現(xiàn)安全防護(hù)。本文介紹IPv4網(wǎng)關(guān)的基本功能、使用場(chǎng)景及限制等信息。
功能發(fā)布及地域支持情況
默認(rèn)開(kāi)通IPv4網(wǎng)關(guān)功能的地域如下表所示。
區(qū)域 | 支持的IPv4網(wǎng)關(guān)的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地域)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國(guó)香港、華中1(武漢-本地地域)、華東6(福州-本地地域)、日本(東京)、韓國(guó)(首爾)、新加坡、澳大利亞(悉尼)(關(guān)停中)、馬來(lái)西亞(吉隆坡)、印度尼西亞(雅加達(dá))、菲律賓(馬尼拉)、泰國(guó)(曼谷) |
歐洲與美洲 | 德國(guó)(法蘭克福)、英國(guó)(倫敦)、美國(guó)(硅谷)、美國(guó)(弗吉尼亞) |
中東 | 阿聯(lián)酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運(yùn)營(yíng)。 |
功能簡(jiǎn)介
IPv4網(wǎng)關(guān)具有以下功能。
作為VPC路由表中的路由下一跳,控制VPC訪問(wèn)公網(wǎng)的目的地址范圍。
為VPC中分配了IPv4公網(wǎng)地址的網(wǎng)絡(luò)資源(例如彈性網(wǎng)卡、ECS等),提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能。
使用場(chǎng)景
公網(wǎng)訪問(wèn)集中控制
云服務(wù)器ECS通過(guò)固定公網(wǎng)IP、彈性公網(wǎng)IP或者公網(wǎng)NAT網(wǎng)關(guān),可以直接訪問(wèn)公網(wǎng)。為了降低ECS直接訪問(wèn)公網(wǎng)可能帶來(lái)的安全管控風(fēng)險(xiǎn),您可以使用IPv4網(wǎng)關(guān)及子網(wǎng)路由能力,對(duì)VPC中訪問(wèn)公網(wǎng)的行為進(jìn)行約束,根據(jù)需求使得子網(wǎng)具備訪問(wèn)公網(wǎng)的能力或者不具備訪問(wèn)公網(wǎng)的能力。
如上圖場(chǎng)景所示,具體配置流程如下:
在交換機(jī)1中創(chuàng)建公網(wǎng)NAT網(wǎng)關(guān),并為交換機(jī)1創(chuàng)建自定義路由表(子網(wǎng)路由表-1)。
在VPC中創(chuàng)建IPv4網(wǎng)關(guān),選擇子網(wǎng)路由表-1,該路由表的默認(rèn)路由條目(0.0.0.0/0)指向IPv4網(wǎng)關(guān),然后激活I(lǐng)Pv4網(wǎng)關(guān)。
為交換機(jī)2和交換機(jī)3創(chuàng)建自定義路由表(子網(wǎng)路由表-2),該路由表的默認(rèn)路由條目(0.0.0.0/0)指向公網(wǎng)NAT網(wǎng)關(guān)。
說(shuō)明激活I(lǐng)Pv4網(wǎng)關(guān)后:
如果VPC路由表沒(méi)有配置指向IPv4網(wǎng)關(guān)的路由,則與該路由表關(guān)聯(lián)的交換機(jī)中的資源無(wú)法直接訪問(wèn)公網(wǎng)。但這些資源可以通過(guò)公網(wǎng)NAT網(wǎng)關(guān)訪問(wèn)公網(wǎng)。這種交換機(jī)被稱為私有交換機(jī)(如上圖交換機(jī)2和交換機(jī)3)。關(guān)聯(lián)的子網(wǎng)路由表-2中沒(méi)有默認(rèn)路由指向IPv4網(wǎng)關(guān)。
如果在VPC路由表中配置指向IPv4網(wǎng)關(guān)的路由,則與該路由表關(guān)聯(lián)的交換機(jī)中的資源具備直接訪問(wèn)公網(wǎng)的能力,這種交換機(jī)被稱為公有交換機(jī)(如上圖交換機(jī)1)。關(guān)聯(lián)的子網(wǎng)路由表-1中的默認(rèn)路由條目(0.0.0.0/0)指向IPv4網(wǎng)關(guān)。
入方向路由策略控制
IPv4網(wǎng)關(guān)結(jié)合子網(wǎng)路由能力,可以將訪問(wèn)公網(wǎng)的流量引流至虛擬防火墻(例如云防火墻)做安全防護(hù)。
如上圖場(chǎng)景所示,以綁定EIP的ECS實(shí)例與公網(wǎng)之間的流量經(jīng)過(guò)防火墻為例,說(shuō)明路由配置步驟。
為虛擬防火墻規(guī)劃獨(dú)立的交換機(jī)并獨(dú)立綁定一張自定義路由表(子網(wǎng)路由表-1)。
在VPC中創(chuàng)建IPv4網(wǎng)關(guān),選擇子網(wǎng)路由表-1,該路由表的默認(rèn)路由條目(0.0.0.0/0)指向IPv4網(wǎng)關(guān),然后激活I(lǐng)Pv4網(wǎng)關(guān)。使得虛擬防火墻所在交換機(jī)具備訪問(wèn)公網(wǎng)的能力。
為應(yīng)用服務(wù)規(guī)劃獨(dú)立的交換機(jī)并獨(dú)立綁定一張自定義路由表,該路由表的默認(rèn)路由條目(0.0.0.0/0)指向虛擬防火墻的彈性網(wǎng)卡。
在VPC中新建一張自定義路由表并綁定IPv4網(wǎng)關(guān),用來(lái)對(duì)公網(wǎng)入方向的流量進(jìn)行路由控制,此路由表被稱為網(wǎng)關(guān)路由表。將網(wǎng)關(guān)路由表中指向應(yīng)用服務(wù)所在交換機(jī)網(wǎng)段的路由條目的下一跳修改為虛擬防火墻的彈性網(wǎng)卡。
使用限制
功能限制
IPv4網(wǎng)關(guān)當(dāng)前僅支持IPv4流量。
IPv4網(wǎng)關(guān)是地域級(jí)別的資源,只能在同一個(gè)地域中使用。
一個(gè)VPC下只支持創(chuàng)建一個(gè)IPv4網(wǎng)關(guān),且一個(gè)IPv4網(wǎng)關(guān)僅能關(guān)聯(lián)一個(gè)VPC。
一個(gè)IPv4網(wǎng)關(guān)僅能綁定一張網(wǎng)關(guān)路由表。
IPv4網(wǎng)關(guān)不能綁定系統(tǒng)路由表。
已綁定交換機(jī)的路由表不能與IPv4網(wǎng)關(guān)綁定。
如下場(chǎng)景不支持創(chuàng)建IPv4網(wǎng)關(guān)。
VPC內(nèi)存在網(wǎng)卡可見(jiàn)模式的EIP資源。關(guān)于EIP網(wǎng)卡可見(jiàn)模式,請(qǐng)參見(jiàn)以EIP網(wǎng)卡可見(jiàn)模式綁定輔助彈性網(wǎng)卡(不推薦)。
VPC下的公網(wǎng)NAT網(wǎng)關(guān)不兼容IPv4網(wǎng)關(guān)時(shí),不支持創(chuàng)建IPv4網(wǎng)關(guān)。若需要公網(wǎng)NAT網(wǎng)關(guān)兼容IPv4網(wǎng)關(guān),您可以切換公網(wǎng)NAT網(wǎng)關(guān)的模式,使其兼容IPv4網(wǎng)關(guān)。具體操作,請(qǐng)參見(jiàn)切換公網(wǎng)NAT網(wǎng)關(guān)模式。
共享VPC不支持創(chuàng)建IPv4網(wǎng)關(guān)。
通過(guò)彈性公網(wǎng)IP或者任播彈性公網(wǎng)IP綁定私網(wǎng)傳統(tǒng)型負(fù)載均衡CLB時(shí),公網(wǎng)主動(dòng)訪問(wèn)的流量不受IPv4網(wǎng)關(guān)的限制。
配額限制
配額名稱 | 描述 | 默認(rèn)限制 | 提升配額 |
無(wú) | 單個(gè)VPC支持的IPv4網(wǎng)關(guān)個(gè)數(shù) | 1個(gè) | 無(wú)法提升 |
單個(gè)IPv4網(wǎng)關(guān)支持的網(wǎng)關(guān)路由表個(gè)數(shù) | 1個(gè) |