全部產品
Search

搜尋本產品

    Virtual Private Cloud:使用IPv4網關統一公網出入口

    文件中心

    Virtual Private Cloud:使用IPv4網關統一公網出入口

    更新時間:Nov 08, 2024

    VPC與公網直接連通時,因未約束公網訪問行為可能會發生資料泄漏或遭受DDoS攻擊。此時您可以使用IPv4網關集中管控VPC公網訪問流量,配置統一的安全性原則,從而降低分散接入帶來的安全風險。

    情境樣本

    企業數字化轉型加速,業務系統與資源部署上雲,以利用雲端服務的便捷性和靈活性。這也為網路管理帶來了新挑戰。業務部門在擁有資源建立及系統管理權限的同時,可能會未經嚴格審批隨意為ECS執行個體配置公網IP,使其獲得公網訪問能力,從而導致營運部門難以實現對公網訪問有效集中地管理。

    為解決上述問題,您可以使用IPv4網關作為企業VPC與公網之間的統一出入口,結合自訂路由表和NAT Gateway等組件,集中控制公網訪問流量,有利於實施統一的安全性原則和審計,有效降低分散接入帶來的安全風險。

    本文以下圖情境為例。某企業在阿里雲華東1(杭州)地區採用公網直接存取的網路架構進行業務部署。為集中控制VPC內雲資源的公網訪問行為,通過建立IPv4網關、配置指向IPv4網關的路由並啟用IPv4網關,將其改造為IPv4網關集中控制架構。

    注意事項

    當您建立IPv4網關後,您需要配置指向IPv4網關的路由,並啟用IPv4網關。只有當VPC中的IPv4網關啟用成功,且VPC路由表中配置了指向IPv4網關的路由條目時,VPC中的執行個體才能訪問公網:

    • 在啟用IPv4網關前不會影響VPC中的資源流量。但在啟用過程中可能會導致流量路徑切換閃斷。

    • 啟用IPv4網關時,系統會為選擇的路由表添加一條目標網段為0.0.0.0/0的預設路由指向IPv4網關,使關聯的交換器具備訪問公網的能力,避免因路由未配置導致公網訪問不通。

    • 如果選擇的路由表已經存在目標網段為0.0.0.0/0的路由條目,無法再添加指向IPv4網關的預設路由,則啟用IPv4網關時無法選擇該路由表。若與該路由表關聯的交換器需要公網訪問,建議您做好路由規劃。

    前提條件

    您已按照以下步驟完成情境樣本中公網直接存取架構的搭建。

    1. 在華東1(杭州)地區建立VPC,並在VPC建立4個交換器。具體操作,請參見建立和管理專用網路

    2. 建立與交換器3關聯的公網NAT Gateway,訪問模式選擇稍後配置。具體操作,請參見建立和管理公網NAT Gateway執行個體

    3. 在不同交換器內分別部署ECS執行個體,ECS2選擇分配公網IPv4地址,ECS1、ECS3、ECS4不勾選。具體操作,請參見通過控制台使用ECS執行個體

    4. 建立2個EIP分別與ECS1和公網NAT Gateway綁定。具體操作,請參見將EIP綁定至ECS執行個體將EIP綁定至NAT Gateway

    5. 為公網NAT Gateway配置SNAT條目,選擇ECS/彈性網卡粒度,覆蓋ECS3和ECS4,將選擇公網IP地址配置為與公網NAT Gateway綁定的EIP。具體操作,請參見建立SNAT條目

    在公網直接存取架構下,您可在VPC基本資料頁簽,查看到IPv4公網訪問模式公網直接存取。各ECS通過直接分配的公網IPv4地址或綁定的EIP實現公網訪問。

    操作步驟

    您需要建立並啟用IPv4網關以集中控制VPC內雲資源的公網訪問行為,將公網直通架構改造為IPv4網關集中控制架構,協助阻止潛在的危險訪問。

    步驟一:配置路由表

    1. 登入專用網路管理主控台

    2. 建立4張路由表分別與4個交換器綁定。

    3. 在與交換器4綁定的路由表中添加目標網段為0.0.0.0/0,下一跳為公網NAT Gateway的自訂路由條目。

    說明

    由於未配置路由表即啟用IPv4網關會導致VPC喪失公網訪問能力,您需先進行路由表配置。

    步驟二:建立並啟用IPv4網關

    1. IPv4網關頁面,單擊建立IPv4網關

    2. 建立IPv4網關設定精靈,配置以下資訊,單擊建立

      • 專用網路:選擇IPv4網關所屬的專用網路。

    3. 啟用IPv4網關設定精靈,選擇與交換器1和交換器3綁定的路由表,單擊啟用

      您選擇了交換器中存在NAT Gateway執行個體與綁定了EIP的執行個體所屬的路由表,系統會自動為其添加一條目標網段為0.0.0.0/0的預設路由指向IPv4網關,使關聯的交換器具備訪問公網的能力,避免因路由未配置導致公網訪問不通。

    步驟三:結果驗證

    • 您可在VPC基本資料頁簽,查看到IPv4公網訪問模式公網直接存取切換為IPv4網關集中控制

    • 登入各ECS執行個體,驗證其公網訪問能力。經測試,僅ECS2執行個體無法訪問公網。

      ECS2所在交換器為私人交換器,由於其路由表中未配置指向IPv4網關的路由,即便ECS2分配了公網IPv4地址,也無法與互連網通訊。

      ipv4.png

    相關文檔

    • 如果您需要瞭解IPv4網關的概念、支援地區、使用限制以及具體操作,請參見IPv4網關

    • 如果同一交換器記憶體在直接存取公網的ECS和通過公網NAT Gateway訪問公網的ECS,當需要開啟IPv4網關集中控制公網訪問流量時,您可以通過建立公網NAT Gateway和保留原有公網NAT Gateway的方式。更多內容,請參見如何在已有公網NAT Gateway的VPC中開啟IPv4網關

    • 如果您建立了IPv4/IPv6雙棧VPC,且需要集中控制公網訪問行為時,您需要IPv4網關/IPv6網關分別實現對IPv4/IPv6流量的集中控制。更多內容,請參見如何?VPC內雲資源與IPv6互連網互連