本文介紹Cloud FirewallVPC邊界防火牆的基本概念和應用情境。
什麼是VPC邊界防火牆
VPC邊界防火牆協助您檢測和管控Virtual Private Cloud(Virtual Private Cloud)之間、VPC和本機資料中心之間的流量。如果VPC同屬於一個雲企業網,或者已通過Express Connect串連,您可以建立VPC邊界防火牆,實現控制VPC之間、VPC與本機資料之間的訪問流量。
同時,VPC邊界防火牆支援跨帳號管理。例如,使用帳號A建立了雲企業網和VPC_1,使用帳號B建立了VPC_2,VPC_1和VPC_2通過帳號A的雲企業網實現網路互連,此時您可以使用帳號A購買Cloud Firewall企業版或者旗艦版,用於防護VPC_1和VPC_2的流量。
防護原理
關於VPC邊界防火牆的防護原理圖,請參見:
防護範圍
目前Cloud Firewall為您提供三種類型的VPC邊界防火牆。您可以根據您的組網架構選擇合適的VPC邊界防火牆。
VPC邊界防火牆類型 | 應用情境 | 操作指導 |
企業版轉寄路由器的VPC邊界防火牆 | 支援防護:
不支援防護:多個CCN互訪的流量 | |
基礎版轉寄路由器的VPC邊界防火牆 | 支援防護:
不支援防護:
| |
Express ConnectVPC邊界防火牆 | 支援防護:
不支援防護:
說明 如果需要防護VPC跨地區、跨帳號或VPC與VBR間的互訪的流量,建議您改為雲企業網組網。相關資訊,請提交工單。 |
防護規格
VPC邊界防火牆的防護規格分為可防護的公網IP數量和公網流量處理能力。
防護規格 | 說明 | Cloud Firewall訂用帳戶版(企業版、旗艦版) | Cloud Firewall按量版 |
VPC防火牆執行個體數 | 可建立的VPC邊界防火牆數量。 | 取決於您建立的VPC邊界防火牆數量和購買的VPC流量處理能力。如果配額不足,您可以升級規格。具體操作,請參見配置企業版轉寄路由器的VPC邊界防火牆。 不同Cloud Firewall版本擁有配額不同。具體內容,請參見訂用帳戶。 | 根據實際開啟防護的執行個體數和處理的總流量計費,不存在配額限制。詳細計費內容,請參見隨用隨付。 |
VPC流量處理能力 | 可防護的VPC間的總流量峰值。 |
查看資產的防護情況及防護規格佔用數
您可以在VPC邊界防火牆頁面查看當前帳號下被防護的資產情況。
登入Cloud Firewall控制台。在左側導覽列,單擊防火牆開關。
在VPC邊界防火牆頁簽,您可以查看當前帳號下VPC防火牆未建立數、已建立數和可用授權數;網元總數、未保護數和已保護數。
當版本預設的可用授權數(可防護VPC邊界防火牆執行個體數)佔用滿時,您可以單擊升級授權數,根據實際需求進行授權數擴充。關於各版本支援的可防護VPC邊界防火牆執行個體數,請參見訂用帳戶。
單擊VPC防火牆地區的表徵圖,查看雲企業網(企業版)、雲企業網(基礎版)和Express ConnectVPC防火牆執行個體未建立數、已建立數。
單擊網元保護數地區的表徵圖,查看網元VPC、VBR、TR、VPN的總數以及未保護和已保護數。
其中,資料統計邏輯如下:
雲企業網(企業版)
網元未保護數:表示未接入VPC邊界防火牆保護的網元數,包含VPC、VBR、TR、VPN(不含手動模式下的網元數)。
網元已保護數:表示已接入VPC邊界防火牆保護的網元數,包含VPC、VBR、TR、VPN(不含手動模式下的網元數)。
可用授權數:已開啟VPC邊界防火牆執行個體數,以單個CEN-TR計算。
雲企業網(基礎版)
網元未保護數:未接入VPC邊界防火牆保護的VPC數。
網元已保護數:已接入VPC邊界防火牆保護的VPC數。
可用授權數:已開啟VPC邊界防火牆執行個體數,以單個VPC計算。
Express Connect
網元未保護數:未接入VPC邊界防火牆保護的VPC數。
網元已保護數:已接入VPC邊界防火牆的VPC數。
可用授權數:已開啟VPC邊界防火牆執行個體數,以每對VPC(即VPC執行個體和對端VPC執行個體)計算。