IPv4網關是連接專有網絡 VPC和公網的網絡組件。您可以使用IPv4網關結合子網路由的能力實現公網訪問集中控制,以及將訪問公網的流量引流至虛擬防火墻,實現安全防護。本文介紹IPv4網關的基本功能、使用場景及限制等信息。
功能發布及地域支持情況
默認開通IPv4網關功能的地域如下表所示。
區域 | 支持的IPv4網關的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地域)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地域)、華東6(福州-本地地域)、日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、泰國(曼谷) |
歐洲與美洲 | 德國(法蘭克福)、英國(倫敦)、美國(硅谷)、美國(弗吉尼亞) |
中東 | 阿聯酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運營。 |
功能簡介
IPv4網關具有以下功能。
作為VPC路由表中的路由下一跳,控制VPC訪問公網的目的地址范圍。
為VPC中分配了IPv4公網地址的網絡資源(例如彈性網卡、ECS等),提供網絡地址轉換功能。
使用場景
公網訪問集中控制
云服務器ECS通過固定公網IP、彈性公網IP或者公網NAT網關,可以直接訪問公網。為了降低ECS直接訪問公網可能帶來的安全管控風險,您可以使用IPv4網關及子網路由能力,對VPC中訪問公網的行為進行約束,根據需求使得子網具備訪問公網的能力或者不具備訪問公網的能力。
如上圖場景所示,具體配置流程如下:
在交換機1中創建公網NAT網關,并為交換機1創建自定義路由表(子網路由表-1)。
在VPC中創建IPv4網關,選擇子網路由表-1,該路由表的默認路由條目(0.0.0.0/0)指向IPv4網關,然后激活IPv4網關。
為交換機2和交換機3創建自定義路由表(子網路由表-2),該路由表的默認路由條目(0.0.0.0/0)指向公網NAT網關。
說明激活IPv4網關后:
如果VPC路由表沒有配置指向IPv4網關的路由,則與該路由表關聯的交換機中的資源無法直接訪問公網。但這些資源可以通過公網NAT網關訪問公網。這種交換機被稱為私有交換機(如上圖交換機2和交換機3)。關聯的子網路由表-2中沒有默認路由指向IPv4網關。
如果在VPC路由表中配置指向IPv4網關的路由,則與該路由表關聯的交換機中的資源具備直接訪問公網的能力,這種交換機被稱為公有交換機(如上圖交換機1)。關聯的子網路由表-1中的默認路由條目(0.0.0.0/0)指向IPv4網關。
入方向路由策略控制
IPv4網關結合子網路由能力,可以將訪問公網的流量引流至虛擬防火墻(例如云防火墻)做安全防護。
如上圖場景所示,以綁定EIP的ECS實例與公網之間的流量經過防火墻為例,說明路由配置步驟。
為虛擬防火墻規劃獨立的交換機并獨立綁定一張自定義路由表(子網路由表-1)。
在VPC中創建IPv4網關,選擇子網路由表-1,該路由表的默認路由條目(0.0.0.0/0)指向IPv4網關,然后激活IPv4網關。使得虛擬防火墻所在交換機具備訪問公網的能力。
為應用服務規劃獨立的交換機并獨立綁定一張自定義路由表,該路由表的默認路由條目(0.0.0.0/0)指向虛擬防火墻的彈性網卡。
在VPC中新建一張自定義路由表并綁定IPv4網關,用來對公網入方向的流量進行路由控制,此路由表被稱為網關路由表。將網關路由表中指向應用服務所在交換機網段的路由條目的下一跳修改為虛擬防火墻的彈性網卡。
使用限制
功能限制
IPv4網關當前僅支持IPv4流量。
IPv4網關是地域級別的資源,只能在同一個地域中使用。
一個VPC下只支持創建一個IPv4網關,且一個IPv4網關僅能關聯一個VPC。
一個IPv4網關僅能綁定一張網關路由表。
IPv4網關不能綁定系統路由表。
已綁定交換機的路由表不能與IPv4網關綁定。
如下場景不支持創建IPv4網關。
VPC內存在網卡可見模式的EIP資源。關于EIP網卡可見模式,請參見以EIP網卡可見模式綁定輔助彈性網卡(不推薦)。
VPC下的公網NAT網關不兼容IPv4網關時,不支持創建IPv4網關。若需要公網NAT網關兼容IPv4網關,您可以切換公網NAT網關的模式,使其兼容IPv4網關。具體操作,請參見切換公網NAT網關模式。
共享VPC不支持創建IPv4網關。
通過彈性公網IP或者任播彈性公網IP綁定私網傳統型負載均衡CLB時,公網主動訪問的流量不受IPv4網關的限制。
配額限制
配額名稱 | 描述 | 默認限制 | 提升配額 |
無 | 單個VPC支持的IPv4網關個數 | 1個 | 無法提升 |
單個IPv4網關支持的網關路由表個數 | 1個 |