VPC不會自動分配IPv4網關,執行個體有公網IP預設就可以訪問互連網,為了集中控制VPC的公網訪問,並降低直接存取公網帶來的安全風險,您可以使用IPv4網關,實現統一的控制和管理。當您希望針對公網入方向流量引流至安全防火牆處理的情境,可以使用網關路由表能力,實現對公網入方向流量的靈活管理和安全防護。
前提條件
注意事項
當您建立IPv4網關後,您需要配置指向IPv4網關的路由,並啟用IPv4網關:
在啟用IPv4網關前不會影響VPC中的資源流量。但在啟用過程中可能會導致流量路徑切換閃斷。
啟用IPv4網關前,確保需要公網訪問的交換器關聯的路由表,都已配置指向IPv4網關的路由,以防止啟用後因未配置路由導致流量中斷。
只有當VPC中的IPv4網關啟用成功,且VPC路由表中配置了指向IPv4網關的路由條目時,VPC中的執行個體才能訪問公網。
使用IPv4網關的VPC內不能存在使用網卡可見度模式的EIP資源。
VPC啟用IPv4網關能力之後,無法關閉該能力。刪除IPv4網關,VPC中的執行個體將不具備公網訪問的能力。
說明在菲律賓(馬尼拉)地區,刪除IPv4網關時您可以選擇回退到公網IP直接存取公網的模式。
公網訪問集中管控
建立並啟用IPv4網關後,您可以選擇主路由表或者子網路由表,系統會自動為選擇的路由表添加一條目標網段為0.0.0.0/0的預設路由指向IPv4網關。此時,路由表關聯的交換器中的資源,能夠通過IPv4網關訪問公網。
建立並啟用IPv4網關
- 登入專用網路管理主控台。
- 在頂部功能表列處,選擇要建立IPv4網關的地區。
- 在左側導覽列,單擊IPv4網關。
在IPv4網關頁面,單擊建立IPv4網關。
在建立IPv4網關對話方塊,建立並啟用IPv4網關,同時配置指向IPv4網關的路由。
建立IPv4網關
在建立IPv4網關設定精靈,配置以下資訊,然後單擊建立。
參數
說明
地區
自動顯示IPv4網關地區。
資源群組
選擇IPv4網關所屬的資源群組。
標籤鍵
選擇或輸入完整的標籤鍵。最多支援輸入20個標籤鍵。
標籤鍵最多支援128個字元,不能以
aliyun或acs:開頭,也不能包含http://或https://。標籤值
選擇或輸入完整的標籤值。最多支援輸入20個標籤值。
標籤值最多支援128個字元,不能以
aliyun或acs:開頭,也不能包含http://或https://。專用網路
選擇IPv4網關關聯的VPC。
說明IPv4網關屬於VPC進階功能。當關聯的VPC不支援該進階特性(不支援建立IPv4網關)時,您需要聯絡阿里雲工程師處理。
名稱
輸入IPv4網關的名稱。
描述
輸入IPv4網關的描述資訊。
啟用IPv4網關
在啟用IPv4網關設定精靈,選擇一個或多個路由表,然後單擊啟用。
說明建議您選擇交換器中存在NAT Gateway執行個體或公網IP執行個體所屬的路由表,選擇該路由表後,系統會添加預設路由指向IPv4網關,避免因路由未配置導致公網訪問不通。
選擇路由表後,系統會自動為其添加一條目標網段為
0.0.0.0/0的預設路由指向IPv4網關,使關聯的交換器具備訪問公網的能力。如果當前路由表已經存在目標網段為
0.0.0.0/0的預設路由,則無法再添加IPv4網關的預設路由。若與該路由表關聯的交換器需要公網訪問,建議您做好路由規劃。
稍等片刻,即可看到啟用成功的提示,然後單擊關閉。
(可選)入方向路由策略控制
建立並啟用IPv4網關後,您可以建立網關路由表,並將其綁定至IPv4網關,綁定後可以將公網入流量引流至VPC,實現靈活管理和安全防護。
步驟一:建立網關路由表並修改路由條目
綁定了IPv4網關的路由表即為網關路由表,您可以通過修改路由條目控制IPv4網關進入VPC的流量路徑。一個VPC下只能建立一張網關路由表。
- 登入專用網路管理主控台。
- 在頂部功能表列,選擇要建立路由表的地區。
- 在左側導覽列,單擊路由表。
- 在路由表頁面,單擊建立路由表。
在建立路由表頁面,配置以下參數資訊,然後單擊確定。
參數
說明
資源群組
選擇要建立的路由表所屬資源群組。
專用網路
選擇路由表所屬的VPC。
本文選擇IPv4網關所屬的VPC。
綁定物件類型
選擇路由表綁定的物件類型。
交換器:路由表綁定的對象為交換器,為自訂路由表,管理交換器內的流量。
邊界網關:路由表綁定的對象為IPv4網關,為網關路由表,控制IPv4網關進入VPC的流量路徑。
本文選擇邊界網關。
名稱
輸入路由表的名稱。
描述
輸入路由表的描述。
在路由表頁面,查看並找到已建立的網關路由表,然後單擊路由表ID。
在頁簽,找到目標系統路由條目,然後在操作列單擊編輯。
在編輯路由條目對話方塊,配置以下參數資訊,然後單擊確定。
配置
說明
目的網段
顯示轉寄流量的目標網段。目的網段不支援修改。
下一跳類型
選擇下一跳類型:
Local:將目的地址在目標網段範圍內的流量路由至本地。
ECS執行個體:將目的地址在目標網段範圍內的流量路由至選擇的ECS執行個體。
彈性網卡:將目的地址在目標網段範圍內的流量路由至選擇的輔助彈性網卡。
重要當路由條目的下一跳類型為彈性網卡或ECS執行個體時,需要先將下一跳類型修改為Local,然後再將下一跳類型修改為彈性網卡或ECS執行個體後修改具體的下一跳執行個體。不支援當下一跳類型為彈性網卡或ECS執行個體時,直接修改下一跳為其他的彈性網卡執行個體或ECS執行個體。
資源群組
選擇下一跳所屬的資源群組。
當下一跳類型選擇為ECS執行個體或彈性網卡時,需要配置該參數。
ECS執行個體或彈性網卡
選擇下一跳執行個體。
當下一跳類型選擇為ECS執行個體或彈性網卡時,需要配置具體的下一跳執行個體。
名稱
修改路由條目的名稱。
描述
修改路由表的描述資訊。
步驟二:綁定網關路由表至IPv4網關
建立完成網關路由表後,將網關路由表綁定至IPv4網關,您後續可以通過配置路由條目管理IPv4網關進入VPC的流量路徑。綁定網關路由表前,請確保您已經建立並啟用IPv4網關,具體操作,請參見公網訪問集中管控。
- 登入專用網路管理主控台。
- 在頂部功能表列處,選擇IPv4網關的地區。
- 在左側導覽列,單擊IPv4網關。
- 在IPv4網關頁面,找到目標IPv4網關,然後單擊IPv4網關的執行個體ID。
在IPv4網關詳情頁面,然後在網關路由條目頁簽,單擊立即綁定。
在綁定路由表對話方塊,確認綁定的網關路由表,然後單擊確定。
綁定成功後,公網入方向流量會按照網關路由表配置的路由條目引流到對應執行個體,實現靈活管理和安全防護。
解除綁定網關路由表
若您不需要將公網入流量引流至VPC,您可以將IPv4網關與網關路由表解除綁定。
- 登入專用網路管理主控台。
- 在頂部功能表列處,選擇IPv4網關的地區。
- 在頂部功能表列處,選擇IPv4網關的地區。
- 在左側導覽列,單擊IPv4網關。
- 在IPv4網關頁面,找到目標IPv4網關,然後單擊IPv4網關的執行個體ID。
在IPv4網關詳情頁面,然後在網關路由條目頁簽,單擊解除綁定。
在彈出的對話方塊,單擊確定。
刪除IPv4網關
刪除IPv4網關有以下兩種模式:
私網模式:該模式下刪除IPv4網關後,所屬VPC中的執行個體將不具備公網訪問的能力。
公網模式:該模式下刪除IPv4網關後,所屬VPC中的執行個體訪問公網的能力不再受IPv4網關的集中控制,公網IP綁定執行個體後可直接存取公網。
刪除IPv4網關前:
若您的IPv4網關有綁定的網關路由表,請將該IPv4網關與網關路由表解除綁定。具體操作,請參見解除綁定網關路由表。
刪除IPv4網關選擇私網模式時,您需要先刪除VPC路由表中所有指向IPv4網關的路由條目。具體操作,請參見添加和刪除路由條目。
刪除IPv4網關選擇公網模式時,系統會自動刪除所有指向IPv4網關的路由條目。
- 登入專用網路管理主控台。
- 在頂部功能表列處,選擇IPv4網關的地區。
- 在左側導覽列,單擊IPv4網關。
在IPv4網關頁面,找到要刪除的IPv4網關,然後在操作列單擊刪除。
在彈出的對話方塊中,根據您的需要選擇刪除模式,然後單擊確認刪除。
私網模式:如果您需要IPv4網關關聯的VPC中的資源不具備公網訪問能力,可以選擇該模式刪除。
公網模式:如果您需要IPv4網關關聯的VPC中的資源具備訪問公網能力,但是不需要受IPv4網關的集中控制,可以選擇該模式刪除。
重要刪除IPv4網關選擇私網模式後,若您需要再次訪問公網,請在所屬VPC下重新建立IPv4網關,並配置指向IPv4網關的預設路由。此時VPC中的執行個體重新具備公網訪問的能力。
更多操作
操作 | 步驟 |
啟用IPv4網關 | 當您未啟用IPv4網關時,您需要啟用並配置路由表,使該IPv4網關關聯的VPC具有集中控制訪問公網的能力。
|
編輯IPv4網關 |
|
更換IPv4網關綁定的網關路由表 |
|
修改網關路由表 |
|
相關文檔
如果您需要在已有公網NAT Gateway的VPC中開啟IPv4網關時,請參見如何在已有公網NAT Gateway的VPC中開啟IPv4網關。