Virtual Private Cloud：IPv4網關概述

Elastic Compute Service通過固定公網IP、Elastic IP Address或者公網NAT Gateway，可以直接存取公網。為了降低ECS直接存取公網可能帶來的安全管控風險，您可以使用IPv4網關及子網路由能力，對VPC中訪問公網的行為進行約束，根據需求使得子網具備訪問公網的能力或者不具備訪問公網的能力。

如上圖情境所示，具體配置流程如下：

1. 在交換器1中建立公網NAT Gateway，並為交換器1建立自訂路由表（子網路由表-1）。

2. 在VPC中建立IPv4網關，選擇子網路由表-1，該路由表的預設路由條目（0.0.0.0/0）指向IPv4網關，然後啟用IPv4網關。

3. 為交換器2和交換器3建立自訂路由表（子網路由表-2），該路由表的預設路由條目（0.0.0.0/0）指向公網NAT Gateway。

   說明

   啟用IPv4網關後：

   • 如果VPC路由表沒有配置指向IPv4網關的路由，則與該路由表關聯的交換器中的資源無法直接存取公網。但這些資源可以通過公網NAT Gateway訪問公網。這種交換器被稱為私人交換器（如上圖交換器2和交換器3）。關聯的子網路由表-2中沒有預設路由指向IPv4網關。

   • 如果在VPC路由表中配置指向IPv4網關的路由，則與該路由表關聯的交換器中的資源具備直接存取公網的能力，這種交換器被稱為公有交換器（如上圖交換器1）。關聯的子網路由表-1中的預設路由條目（0.0.0.0/0）指向IPv4網關。

IPv4網關結合子網路由能力，可以將訪問公網的流量引流至虛擬防火牆（例如Cloud Firewall）做安全防護。

如上圖情境所示，以綁定EIP的ECS執行個體與公網之間的流量經過防火牆為例，說明路由配置步驟。

1. 為虛擬防火牆規劃獨立的交換器並獨立綁定一張自訂路由表（子網路由表-1）。

2. 在VPC中建立IPv4網關，選擇子網路由表-1，該路由表的預設路由條目（0.0.0.0/0）指向IPv4網關，然後啟用IPv4網關。使得虛擬防火牆所在交換器具備訪問公網的能力。

3. 為應用服務規劃獨立的交換器並獨立綁定一張自訂路由表，該路由表的預設路由條目（0.0.0.0/0）指向虛擬防火牆的彈性網卡。

4. 在VPC中建立一張自訂路由表並綁定IPv4網關，用來對公網入方向的流量進行路由控制，此路由表被稱為網關路由表。將網關路由表中指嚮應用服務所在交換器網段的路由條目的下一跳修改為虛擬防火牆的彈性網卡。