升級(jí)基礎(chǔ)版轉(zhuǎn)發(fā)路由器涉及VPC邊界防火墻變更的最佳實(shí)踐
由于VPC邊界防火墻是基于云企業(yè)網(wǎng)的網(wǎng)絡(luò)架構(gòu)創(chuàng)建的,如果云企業(yè)網(wǎng)的基礎(chǔ)版轉(zhuǎn)發(fā)路由器升級(jí)到企業(yè)版轉(zhuǎn)發(fā)路由器,則VPC邊界防火墻也需要根據(jù)網(wǎng)絡(luò)架構(gòu)的變化進(jìn)行變更。本文介紹如何同步變更VPC邊界防火墻,從而重新防護(hù)升級(jí)后的企業(yè)版轉(zhuǎn)發(fā)路由器的流量。
變更前后的差異點(diǎn)
云企業(yè)網(wǎng)基礎(chǔ)版轉(zhuǎn)發(fā)路由器升級(jí)到企業(yè)版,創(chuàng)建的VPC邊界防火墻的差異如下:
對(duì)比類型 | 基于基礎(chǔ)版轉(zhuǎn)發(fā)路由器的VPC邊界防火墻 | 基于企業(yè)版轉(zhuǎn)發(fā)路由器的VPC邊界防火墻 |
防護(hù)范圍 | 支持防護(hù):
不支持防護(hù):
| 支持防護(hù):
不支持防護(hù):多個(gè)CCN互訪的流量 |
開(kāi)啟VPC邊界防火墻的實(shí)例粒度 | 以VPC實(shí)例為粒度開(kāi)啟VPC邊界防火墻。 | 以企業(yè)版轉(zhuǎn)發(fā)路由器為粒度開(kāi)啟VPC邊界防火墻。 |
開(kāi)啟和關(guān)閉VPC邊界防火墻的影響 |
| 自動(dòng)引流
手動(dòng)引流
|
引流的網(wǎng)段規(guī)劃 | 為自動(dòng)創(chuàng)建的云防火墻VPC和交換機(jī)分配網(wǎng)段,用于自動(dòng)創(chuàng)建防火墻安全VPC(Cloud_Firewall_VPC)進(jìn)行流量引流處理。從分配的VPC網(wǎng)段中劃分1個(gè)子網(wǎng)網(wǎng)段,該子網(wǎng)網(wǎng)段用于云防火墻VPC的交換機(jī)。子網(wǎng)網(wǎng)段的掩碼需小于等于29位,且不與網(wǎng)絡(luò)規(guī)劃的網(wǎng)段沖突。 需要配置引流保護(hù)的業(yè)務(wù)VPC交換機(jī),用于云防火墻引流所需要的彈性網(wǎng)卡使用。云防火墻會(huì)自動(dòng)分配,如果您的業(yè)務(wù)延時(shí)敏感,可以自定義業(yè)務(wù)VPC可用區(qū),以降低網(wǎng)絡(luò)延時(shí)。 | 為VPC邊界防火墻占用的VPC實(shí)例規(guī)劃好用于引流的3個(gè)子網(wǎng)網(wǎng)段。該VPC實(shí)例交換機(jī)的3個(gè)子網(wǎng)網(wǎng)段的掩碼需小于等于28位,且不與網(wǎng)絡(luò)規(guī)劃的網(wǎng)段沖突。 |
引流方式 | 開(kāi)啟VPC邊界防火墻的業(yè)務(wù)VPC實(shí)例與其他通信網(wǎng)元之間的流量,默認(rèn)引流到VPC邊界防火墻。 | 提前確定創(chuàng)建企業(yè)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻采用的引流模式(自動(dòng)引流或者手動(dòng)引流)、以及如果采用自動(dòng)引流模式,需要確定好業(yè)務(wù)符合的引流場(chǎng)景。
|
注意事項(xiàng)
若轉(zhuǎn)發(fā)路由器路由表缺失5000優(yōu)先級(jí)默認(rèn)路由策略,或該路由策略缺失新的VPN 網(wǎng)關(guān)(VPN Gateway)、專線網(wǎng)關(guān)ECR(Express Connect Router)實(shí)例類型,會(huì)導(dǎo)致企業(yè)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻開(kāi)啟時(shí)校驗(yàn)不通過(guò),請(qǐng)?zhí)峤辉破髽I(yè)網(wǎng)工單聯(lián)系技術(shù)人員進(jìn)行5000優(yōu)先級(jí)默認(rèn)路由策略刷新。
升級(jí)后會(huì)保留已創(chuàng)建的基礎(chǔ)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻訪問(wèn)控制策略。
重要開(kāi)啟企業(yè)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻時(shí),需檢查配置的云防火墻的訪問(wèn)控制策略是否放行引流網(wǎng)元的正常通信。如果新增了網(wǎng)元需要再增加對(duì)應(yīng)的訪問(wèn)控制策略。
方案概覽
以下圖網(wǎng)絡(luò)架構(gòu)為例,為您展示升級(jí)前后的網(wǎng)絡(luò)變化:
詳細(xì)方案:
您需要先了解開(kāi)啟和關(guān)閉VPC邊界防火墻對(duì)業(yè)務(wù)的影響。具體內(nèi)容,請(qǐng)參見(jiàn)開(kāi)啟防火墻開(kāi)關(guān)對(duì)業(yè)務(wù)有什么影響?。
刪除已創(chuàng)建的基礎(chǔ)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻:升級(jí)企業(yè)版轉(zhuǎn)發(fā)路由器之前務(wù)必關(guān)閉并刪除基礎(chǔ)版轉(zhuǎn)發(fā)路由器VPC防火墻。
在刪除基礎(chǔ)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻前,需要先關(guān)閉VPC邊界防火墻,即流量引流到云防火墻的路由會(huì)相應(yīng)刪除。然后您還需要手動(dòng)刪除VPC邊界防火墻。
將基礎(chǔ)版轉(zhuǎn)發(fā)路由器升級(jí)到企業(yè)版轉(zhuǎn)發(fā)路由器:升級(jí)成功后,需要等待云企業(yè)網(wǎng)企業(yè)版資產(chǎn)自動(dòng)同步,路由學(xué)習(xí)的時(shí)間與您的路由條目數(shù)有關(guān)。或者手動(dòng)對(duì)資產(chǎn)進(jìn)行同步。建議您在業(yè)務(wù)低峰期進(jìn)行操作。
升級(jí)業(yè)務(wù)的組網(wǎng)架構(gòu),在升級(jí)前,您需要了解基礎(chǔ)版轉(zhuǎn)發(fā)路由器和企業(yè)版轉(zhuǎn)發(fā)路由器的工作原理。具體信息,請(qǐng)參見(jiàn)轉(zhuǎn)發(fā)路由器工作原理。
為企業(yè)版轉(zhuǎn)發(fā)路由器創(chuàng)建VPC邊界防火墻:您可以先使用一鍵開(kāi)啟檢查能力,幫您先檢查是否存在路由報(bào)錯(cuò)問(wèn)題。然后再創(chuàng)建VPC邊界防火墻,推薦使用自動(dòng)引流模式。
如果升級(jí)失敗,您需要啟動(dòng)應(yīng)急回退方案。具體方案,請(qǐng)參見(jiàn)常見(jiàn)問(wèn)題。
1. 刪除已創(chuàng)建的基礎(chǔ)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻
關(guān)閉基礎(chǔ)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻會(huì)引起業(yè)務(wù)流量會(huì)閃斷。
登錄云防火墻控制臺(tái)。在左側(cè)導(dǎo)航欄,單擊防火墻開(kāi)關(guān)。
在VPC邊界防火墻的云企業(yè)網(wǎng)(基礎(chǔ)版)頁(yè)簽,關(guān)閉需要升級(jí)的基礎(chǔ)版轉(zhuǎn)發(fā)路由器下所有VPC邊界防火墻。
如果待關(guān)閉多個(gè)VPC邊界防火墻,可以通過(guò)批量關(guān)閉。
單擊操作列刪除,刪除VPC邊界防火墻。
VPC邊界防火墻只能逐個(gè)刪除,無(wú)法批量刪除。
2. 將基礎(chǔ)版轉(zhuǎn)發(fā)路由器升級(jí)到企業(yè)版轉(zhuǎn)發(fā)路由器
升級(jí)過(guò)程中,系統(tǒng)會(huì)將專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)實(shí)例中通過(guò)云企業(yè)網(wǎng)學(xué)習(xí)到的動(dòng)態(tài)路由條目轉(zhuǎn)換為自定義路由條目,自定義路由條目的下一跳指向企業(yè)版轉(zhuǎn)發(fā)路由器。轉(zhuǎn)換過(guò)程不會(huì)影響您的業(yè)務(wù)。
升級(jí)完成后,企業(yè)版轉(zhuǎn)發(fā)路由器默認(rèn)不會(huì)向VPC實(shí)例傳播路由,您可以為VPC實(shí)例開(kāi)啟路由同步功能,允許企業(yè)版轉(zhuǎn)發(fā)路由器向VPC實(shí)例自動(dòng)傳播路由。具體操作,請(qǐng)參見(jiàn)路由同步。
僅以下地域的基礎(chǔ)版轉(zhuǎn)發(fā)路由器支持升級(jí)至企業(yè)版轉(zhuǎn)發(fā)路由器。
區(qū)域
地域
可用區(qū)
中國(guó)內(nèi)地
華東1(杭州)
B、H、I、J、K
華東2(上海)
B、E、F、G、L、M、N
華東5(南京-本地地域)
A
華東6(福州-本地地域)
A
華中1(武漢-本地地域)
A
華南1(深圳)
A(停止新用戶新購(gòu))、 C、D、E、F
華南2(河源)
A、B
華南3(廣州)
A、B
華北1(青島)
B、C
華北2(北京)
C、G、H、I、J、K、L
華北3(張家口)
A、B、C
華北5(呼和浩特)
A、B
華北6(烏蘭察布)
A、B、C
西南1(成都)
A、B
亞太
新加坡
A、B、C
中國(guó)香港
B、C、D
馬來(lái)西亞(吉隆坡)
A、B
印度尼西亞(雅加達(dá))
A、B、C
菲律賓(馬尼拉)
A
日本(東京)
A、B、C
韓國(guó)(首爾)
A
泰國(guó)(曼谷)
A
歐洲
德國(guó)(法蘭克福)
A、B、C
英國(guó)(倫敦)
A、B
北美
美國(guó)(弗吉尼亞)
A、B
美國(guó)(硅谷)
A、B
基礎(chǔ)版轉(zhuǎn)發(fā)路由器升級(jí)到企業(yè)版轉(zhuǎn)發(fā)路由器的具體操作,請(qǐng)參見(jiàn)升級(jí)基礎(chǔ)版轉(zhuǎn)發(fā)路由器。
3. 為企業(yè)版轉(zhuǎn)發(fā)路由器創(chuàng)建VPC邊界防火墻
在云防火墻控制臺(tái),進(jìn)入VPC邊界防火墻的云企業(yè)網(wǎng)(企業(yè)版)頁(yè)簽。
如果待防護(hù)的企業(yè)版轉(zhuǎn)發(fā)路由器實(shí)例未同步到云防火墻,單擊同步資產(chǎn)。
定位到待防護(hù)的企業(yè)版轉(zhuǎn)發(fā)路由器實(shí)例,單擊操作列創(chuàng)建,選擇自動(dòng)引流模式,然后進(jìn)行一鍵開(kāi)啟檢查,幫您檢查當(dāng)前資產(chǎn)是否滿足開(kāi)啟VPC邊界防火墻的條件。
您也可以根據(jù)實(shí)際業(yè)務(wù),選擇手動(dòng)引流模式。本文以自動(dòng)引流模式為例。
檢查完成后,您需要關(guān)注診斷詳情,如果存在檢查未通過(guò)的內(nèi)容,您需要根據(jù)云防火墻給的整改建議進(jìn)行整改,然后再進(jìn)行一鍵開(kāi)啟檢查,直到所有檢查項(xiàng)均顯示通過(guò)。
創(chuàng)建VPC邊界防火墻。
重要為VPC邊界防火墻分配的VPC實(shí)例網(wǎng)段不能與業(yè)務(wù)網(wǎng)段沖突。選擇交換機(jī)可用區(qū)域時(shí),建議根據(jù)業(yè)務(wù)就近選擇,以便降低通過(guò)云防火墻流量的網(wǎng)絡(luò)時(shí)延。
創(chuàng)建引流場(chǎng)景。
以下以創(chuàng)建點(diǎn)到多點(diǎn)的引流場(chǎng)景為例。
待引流場(chǎng)景創(chuàng)建完成后,云防火墻即可防護(hù)企業(yè)版轉(zhuǎn)發(fā)路由器連接的網(wǎng)絡(luò)實(shí)例之間的流量。
創(chuàng)建引流過(guò)程時(shí)間較長(zhǎng),預(yù)計(jì)在30分鐘內(nèi)完成引流配置。
創(chuàng)建VPC邊界防火墻的詳細(xì)步驟,請(qǐng)參見(jiàn)配置企業(yè)版轉(zhuǎn)發(fā)路由器的VPC邊界防火墻。
常見(jiàn)問(wèn)題
如果升級(jí)失敗怎么辦?
如果升級(jí)失敗,您需要啟動(dòng)應(yīng)急回退方案:
關(guān)閉企業(yè)版轉(zhuǎn)發(fā)路由器的引流模式并刪除創(chuàng)建的企業(yè)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻。
推薦使用路由回滾的方式關(guān)閉剛創(chuàng)建的引流場(chǎng)景。
排查企業(yè)版轉(zhuǎn)發(fā)路由器和VPC邊界防火墻實(shí)例問(wèn)題。
待問(wèn)題排查后重新創(chuàng)建企業(yè)版轉(zhuǎn)發(fā)路由器VPC邊界防火墻。