VPC路由表是管理和控制網絡流量的關鍵,合理的配置有助于增強網絡的靈活性和安全性。您可以通過配置路由條目、合理選擇下一跳類型,控制網絡流量流向,優化傳輸路徑,減少延遲從而提高網絡性能。您還可以為不同交換機關聯不同的路由表從而實現獨立的流量管控和隔離,提升網絡流量控制的靈活性。
路由表
系統路由表
創建VPC后,系統會默認創建一張系統路由表來控制VPC的路由,VPC內所有交換機默認使用系統路由表。您不能創建也不能刪除系統路由表,但可以在系統路由表中創建自定義路由條目。
自定義路由表
您可以在VPC內創建自定義路由表,通過自定義路由表和交換機綁定,將交換機網段作為目標網段,用于交換機內的云產品通信。從而更靈活地進行網絡管理。具體操作,請參見創建和管理路由表。
網關路由表
您可以在VPC內創建自定義路由表,將自定義路由表和IPv4網關綁定,該路由表被稱為網關路由表。網關路由表用來控制進入VPC的公網流量的路由,可以將公網流量重定向到VPC中的安全設備(例如虛擬防火墻)做統一安全防護。具體操作,請參見創建和管理IPv4網關。
管理路由表時,請注意以下事項:
一個VPC最多可以擁有包括系統路由表在內的10張路由表。
一個交換機只能綁定一張路由表,交換機的路由策略由其關聯的路由表管理。多個交換機可以綁定同一張路由表。
交換機創建后,該交換機默認與系統路由表綁定。
如果您需要將交換機綁定的自定義路由表更換成系統路由表,直接將自定義路由表與交換機解綁即可。如果您需要綁定其他路由表,可以直接更換交換機綁定的自定義路由表。
路由條目
路由表中的每一項是一條路由條目。路由條目由目標網段、下一跳類型、下一跳三部分組成。目標網段即您希望網絡流量傳輸到的IP地址范圍;下一跳類型即用于傳輸網絡流量的云產品,例如,ECS實例、VPN網關或輔助彈性網卡等;下一跳即所選擇的具體傳輸網絡流量的云產品實例。
路由條目包括系統路由、自定義路由和動態路由。
系統路由
系統路由分為IPv4路由和IPv6路由,您不能修改系統路由。
創建VPC和交換機后,系統會在路由表中會自動添加以下IPv4路由:
以100.64.0.0/10為目標網段的路由條目,用于VPC內的云產品通信。
以交換機網段為目標網段的路由條目,用于交換機內的云產品通信。
例如,您創建了一個網段為192.168.0.0/16的VPC,并在該VPC下創建了兩個網段為192.168.1.0/24和192.168.0.0/24的交換機,則該VPC的路由表中會有以下三條系統路由,表中的“-”表示VPC內部。
目標網段
下一跳
路由類型
描述
100.64.0.0/10
-
系統路由
Created by system.
192.168.1.0/24
-
系統路由
Created with vSwitch(vsw-m5exxjccadi03tvx0****) by system.
192.168.0.0/24
-
系統路由
Created with vSwitch(vsw-m5esyy9l8ntpt5gsw****) by system.
如果您的VPC開通了IPv6,VPC的系統路由表中會自動添加以下IPv6路由:
以
::/0為目標網段,下一跳為IPv6網關實例的自定義路由條目,用于VPC內云產品經IPv6地址與互聯網通信。以交換機IPv6網段為目標網段的系統路由條目,用于交換機內的云產品通信。
說明如果您創建了自定義路由表,并且綁定了開通了IPv6網段的交換機,您需要手動添加一條以
::/0為目標網段,下一跳為IPv6網關實例的自定義路由條目。具體操作,請參見添加路由表中的路由條目。
自定義路由
您可以添加自定義路由來替換系統路由或將目標流量路由到指定的目的地。在添加自定義路由時,您可以指定的下一跳類型包括:
目標網段
下一跳類型
IPv4網段/VPC前綴列表
IPv4網關:將指向目標網段的流量轉發至指定的IPv4網關。
NAT網關:將指向目標網段的流量轉發至指定的NAT網關。
當需要通過NAT網關連接互聯網時,配置此類型的路由
VPC對等連接:將指向目標網段的流量轉發至VPC對等連接。
轉發路由器:將指向目標網段的流量轉發至指定的轉發路由器。
VPN網關:將指向目標網段的流量轉發至指定的VPN網關。
當需要通過VPN網關連接本地網絡或者其他VPC時,配置此類型的路由。
ECS實例:將指向目標網段的流量轉發至VPC內的一臺ECS實例。
當需要通過該ECS實例部署的應用訪問互聯網或其他應用時,配置此類型的路由。
彈性網卡:將指向目標網段的流量轉發至指定的彈性網卡。
高可用虛擬IP:將指向目標網段的流量轉發至高可用虛擬IP。
路由器接口(邊界路由器方向):將指向目標網段的流量轉發至指定的邊界路由器。
當需要使用高速通道連接本地網絡(物理專線接入)時,配置此類型的路由。
路由器接口(專有網絡方向):將指向目標網段的流量轉發至指定的邊界路由器。
專線網關:將指向目標網段的流量轉發至指定的專線網關。
網關型負載均衡終端節點:將目的地址在目標網段范圍內的流量路由至網關型負載均衡終端節點。
說明當前僅支持在華北6(烏蘭察布),選擇下一跳類型為網關型負載均衡終端節點。
IPv6網段
ECS實例:將指向目標網段的流量轉發至VPC內的一臺ECS實例。
當需要通過該ECS實例部署的應用訪問互聯網或其他應用時,配置此類型的路由。
IPv6網關:將指向目標網段的流量轉發至指定的IPv6網關。
當需要通過IPv6網關進行IPv6通信時,配置此類型的路由。只有在系統路由表添加路由,且系統路由表關聯的交換機所在地域已有IPv6網關時,才能將流量轉發至指定的IPv6網關。
彈性網卡:將指向目標網段的流量轉發至指定的彈性網卡。
路由器接口(邊界路由器方向):將指向目標網段的流量轉發至指定的邊界路由器。
當需要使用高速通道連接本地網絡(物理專線接入)時,配置此類型的路由。
專線網關:將指向目標網段的流量轉發至指定的專線網關。
VPC對等連接:將指向目標網段的流量轉發至VPC對等連接。
網關型負載均衡終端節點:將目的地址在目標網段范圍內的流量路由至網關型負載均衡終端節點。
說明當前僅支持在華北6(烏蘭察布),選擇下一跳類型為網關型負載均衡終端節點。
動態路由
從路由動態源通過路由同步的方式學習的路由。云企業網CEN、VPN網關、專線網關ECR可作為路由動態源。
說明VPC僅支持單一路由動態源,即VPC同一時刻僅接收單一路由動態源的動態路由。例如,VPC關聯ECR后,再加入CEN,開啟傳播路由將會失敗;創建VPN網關并開啟路由自動傳播后,VPN網關學習到的BGP路由將會自動傳播到VPC的系統路由表中,此時無法將VPC添加至ECR。
VPC無法通過路由動態源學習到與交換機網段相同或更加明細的路由條目。
靜態路由發布
靜態路由發布至ECR
VPC支持靜態路由發布至專線網關ECR。您可以將VPC系統路由表配置的自定義路由條目發布至ECR,實現動態路由傳播。在不存在路由沖突的情況下,ECR關聯的本地IDC均可學習到該路由。
目前支持靜態路由發布至ECR的地域有馬來西亞(吉隆坡)。
VPC與ECR關聯后,VPC系統路由條目默認發布至ECR。
靜態路由發布至ECR后,路由會通過BGP發布到ECR關聯的本地IDC,但不會發布到ECR關聯的其他VPC。
如果您發布的靜態路由存在路由沖突,您可以在ECR的路由條目頁簽查看到目標路由條目,但其狀態顯示為沖突,目標路由條目并不會生效。
使用靜態路由發布至專線網關ECR時,您需要注意以下限制:
VPC自定義路由表配置的路由條目不支持發布至ECR。
前綴列表的路由條目不支持發布至ECR。
VPC創建的主備路由和負載路由不支持發布到ECR;VPC路由發布至ECR后,不再支持配置成負載路由或主備路由。
VPC路由發布至ECR后,如果您需要對發布的路由進行修改,目標路由的下一跳僅可設置為支持路由發布的路由類型。
下表列出了VPC實例各類型路由條目在ECR中的默認發布狀態以及是否支持發布和撤回操作。
路由類型
路由條目所屬實例
是否默認發布
是否支持發布操作
是否支持撤回操作
VPC系統路由條目
VPC
是
支持
不支持
指向IPv4網關的路由條目
VPC
否
支持
支持
指向IPv6網關的路由條目
VPC
否
支持
支持
指向NAT網關的路由條目
VPC
否
支持
支持
指向VPC對等連接的路由條目
VPC
否
不支持
不支持
指向轉發路由器的路由條目
VPC
否
不支持
不支持
指向VPN網關的路由條目
VPC
否
支持
支持
指向ECS實例的路由條目
VPC
否
支持
支持
指向彈性網卡的路由條目
VPC
否
支持
支持
指向高可用虛擬IP的路由條目
VPC
否
支持
支持
指向路由器接口(邊界路由器方向)的路由條目
VPC
否
不支持
不支持
指向路由器接口(專有網絡方向)的路由條目
VPC
否
不支持
不支持
指向專線網關的路由條目
VPC
否
不支持
不支持
發布路由至轉發路由器
轉發路由器支持路由發布功能。您可以將轉發路由器連接的VPC實例的路由發布到轉發路由器中,在沒有路由沖突的條件下,轉發路由器中的其他網絡實例可以學習到該路由。VPC實例各類型路由條目在轉發路由器中的默認發布狀態以及是否支持發布和撤回操作,請參見發布路由至轉發路由器。
當您的VPC使用ECR+TR方案實現混合云組網,路由發布到轉發路由器與VPC發布靜態路由至ECR維持各自的發布規則。
路由優先級
路由優先級的生效規則分為以下幾種情況:
目標網段相同
負載路由:僅下一跳為路由器接口(邊界路由器方向)時支持負載分擔 ,且需要配合健康檢查使用。
主備路由:僅下一跳為路由器接口(邊界路由器方向)時支持主備方式,且需要配合健康檢查使用。
其余情況不支持目標網段相同。自定義路由和動態路由的目標網段不支持和系統路由的網段相同,自定義路由也不能和動態路由的目標網段相同。
目標網段重疊
根據最長掩碼匹配規則確定如何路由網絡流量。自定義路由和動態路由的目標網段可以包含系統路由的網段,且自定義路由的網段不支持比系統路由的網段更加明細(云服務系統路由除外)。您可以創建比云服務系統路由
100.64.0.0/10網段更明細的自定義路由,但不支持和該網段相同。重要由于目標網段為
100.64.0.0/10的系統路由用于VPC內的云產品通信,建議您謹慎配置更明細的路由,如果配置錯誤將導致部分云產品服務無法正常訪問和使用。例如,下表為某VPC的路由表, 表中的“-”表示VPC內部。
目標網段
下一跳類型
下一跳
路由條目類型
100.64.0.0/10-
-
系統
192.168.0.0/24-
-
系統
0.0.0.0/0ECS實例
i-bp15u6os7nx2c9h9****
自定義
10.0.0.0/24ECS實例
i-bp1966ss26t47ka4****
自定義
目標網段為
100.64.0.0/10和192.168.0.0/24的兩條路由均為系統路由。目標網段為0.0.0.0/0和10.0.0.0/24的兩條路由為自定義路由,表示將訪問0.0.0.0/0地址段的流量轉發至ID為i-bp15u6os7nx2c9h9****的ECS實例,將訪問10.0.0.0/24地址段的流量轉發至ID為i-bp1966ss26t47ka4****的ECS實例。根據最長掩碼匹配規則,在該VPC中,訪問10.0.0.1的流量會轉發至i-bp1966ss26t47ka4****,而訪問10.0.1.1的流量會轉發至i-bp15u6os7nx2c9h9****。
目標網段不同
當目標網段不同時,下一跳可以相同。
使用限制和配額
自定義路由表發布及地域支持情況
公有云支持的地域
區域 | 支持自定義路由表的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地域)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地域)、華東6(福州-本地地域)、日本(東京)、韓國(首爾)、新加坡、澳大利亞(悉尼)(關停中)、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、泰國(曼谷) |
歐洲與美洲 | 德國(法蘭克福)、英國(倫敦)、美國(硅谷)、美國(弗吉尼亞) |
中東 | 阿聯酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運營。 |
金融云支持的地域
區域 | 支持自定義路由表的地域 |
亞太 | 華南1 金融云、華東2 金融云、華北2 金融云(邀測) |
政務云支持的地域
區域 | 支持自定義路由表的地域 |
亞太 | 華北2 阿里政務云1 |
配額限制
配額名稱 | 描述 | 默認限制 | 提升配額 |
vpc_quota_route_tables_num | 單個VPC支持創建的自定義路由表的數量 | 9個 | |
vpc_quota_route_entrys_num | 單個路由表支持創建的自定義路由條目的數量(不包括動態傳播路由條目) | 200條 | |
vpc_quota_dynamic_route_entrys_num | 單個路由表來自動態傳播的路由條目數量 | 500條 | |
vpc_quota_havip_custom_route_entry | 指向一個HaVip實例的自定義路由上限 | 5個 | |
vpc_quota_vpn_custom_route_entry | 單個VPC內指向VPN的自定義路由上限 | 50個 | |
無 | 單個路由表支持綁定的標簽數量 | 20個 | 無法提升 |
單個VPC支持創建的路由器的數量 | 1個 | ||
單個VPC支持指向轉發路由器TR連接的最大路由條目數量 | 600條 |
路由示例
您可以通過在路由表中添加自定義路由條目控制VPC的出入流量。
VPC私網路由
當VPC內不同交換機的流量路由存在明顯差異,系統路由表無法滿足業務需求,您可在VPC內創建自定義路由表,通過自定義路由表和交換機綁定,將交換機網段作為目標網段,用于交換機內的云產品通信,從而更靈活地進行網絡管理。
跨VPC互聯(VPC對等連接)
VPC對等連接是兩個VPC之間的網絡連接,支持IPv4和IPv6互連 。您可以通過VPC對等連接實現IPv4和IPv6流量互通,從而實現兩個VPC之間的云上內網通信。
跨VPC互聯(VPN網關)
您可以使用VPN網關產品,通過在兩個VPC之間建立IPsec-VPN連接,對數據進行加密傳輸,實現資源的安全互訪。
連接本地IDC(高速通道)
您可以使用物理專線將本地IDC通過高速通道的VBR上連方式接入云上網絡。
您可以組合使用物理專線和專線網關ECR,實現本地IDC與VPC更優體驗、更大規格和更低時延的連接。
連接本地IDC(VPN網關)
您可以通過建立加密隧道的方式,實現本地數據中心等網絡與云上專有網絡之間安全可靠的網絡連接。
