如果您在本地IDC或VPC使用了非RFC 1918規定的私人網段,例如30.0.0.0/16,當與其他VPC建立網路連接時,由於VPC預設將RFC 1918之外的IP地址空間視為公網網段,當VPC中的雲產品資源具備公網訪問能力後,即使配置了目標網段為 30.0.0.0/16 的路由指向本地IDC或VPC,依舊優先訪問公網,無法訪問目標本地IDC或VPC。為了確保流量能夠準確無誤地到達目標,您可以使用IPv4網關,對使用的網段進行精確的流量導向控制以實現公網私用,避免非預期的公網暴露,增強網路的安全性。
情境樣本
某企業在阿里雲華東1(杭州)地區建立了VPC1和VPC2,其中VPC2使用了非RFC 1918規定的私人網段30.0.0.0/16。企業通過建立對等串連以實現VPC1與VPC2之間的網路互連。然而,在此配置下,綁定了EIP的ECS1嘗試訪問ECS2時,由於VPC預設將RFC 1918之外的IP地址空間視為公網網段,ECS1具備公網訪問能力且未被公網流量網關集中控制,流量將優先導向公網,而非預期的內部網路。為保證流量在網路間的正確傳輸,企業可建立IPv4網關、配置指向IPv4網關的路由並啟用IPv4網關,實現公網私用。
注意事項
當您建立IPv4網關後,您需要配置指向IPv4網關的路由,並啟用IPv4網關。只有當VPC中的IPv4網關啟用成功,且VPC路由表中配置了指向IPv4網關的路由條目時,VPC中的執行個體才能訪問公網:
在啟用IPv4網關前不會影響VPC中的資源流量。但在啟用過程中可能會導致流量路徑切換閃斷。
啟用IPv4網關時,系統會為選擇的路由表添加一條目標網段為
0.0.0.0/0的預設路由指向IPv4網關,使關聯的交換器具備訪問公網的能力,避免因路由未配置導致公網訪問不通。如果選擇的路由表已經存在目標網段為
0.0.0.0/0的路由條目,無法再添加指向IPv4網關的預設路由,則啟用IPv4網關時無法選擇該路由表。若與該路由表關聯的交換器需要公網訪問,建議您做好路由規劃。
前提條件
已在華東1(杭州)地區建立網段為
10.0.0.0/16的VPC1與網段為30.0.0.0/16的VPC2。具體操作,請參見建立和管理專用網路。已建立2台ECS執行個體ECS1、ECS2。具體操作,請參見通過控制台使用ECS執行個體。
已建立EIP,並與ECS1綁定。具體操作,請參見將EIP綁定至ECS執行個體。
已建立VPC對等串連,VPC1和VPC2分別為發起端和接收端,並在對等串連的兩端添加指向對端的路由條目以管理流量。具體操作,請參見建立和管理VPC對等串連。
已建立自訂路由表與交換器1綁定,並配置目標網段為
30.0.0.0/16的路由指向對等串連。具體操作,請參見建立和管理路由表。已建立自訂路由表與交換器2綁定,並配置目標網段為
10.0.0.0/16的路由指向對等串連。
操作步驟
步驟一:建立IPv4網關
- 登入專用網路管理主控台。
在左側導覽列,單擊IPv4網關。
在頂部功能表列處,選擇IPv4網關的地區。
在IPv4網關頁面,單擊建立IPv4網關。
在建立IPv4網關設定精靈,配置以下資訊,然後單擊建立。
專用網路:選擇IPv4網關所屬的專用網路,本文選擇VPC1。
步驟二:啟用IPv4網關
在啟用IPv4網關設定精靈,選擇與交換器1綁定的路由表,單擊啟用。系統會自動添加一條目標網段為0.0.0.0/0的預設路由指向IPv4網關。
步驟三:結果驗證
使用網路智慧型服務NIS,進行VPC對等串連路徑分析。
在專用網路管理主控台的VPC對等串連頁面,找到目標VPC對等串連執行個體,在目標執行個體的診斷列選擇,配置以下參數。
源:選擇源類型。本文選擇ECS執行個體ID類型,選擇ECS1執行個體。
目的:選擇目的類型。本文選擇ECS執行個體ID類型,選擇ECS2執行個體。
協議:選擇檢測的協議類型。本文使用ICMP協議。
經測試,VPC2使用了非RFC 1918規定的私人網段30.0.0.0/16,綁定了EIP的ECS1嘗試訪問ECS2時,流量被導向公網。建立並啟用IPv4網關後實現公網私用,流量準確無誤地到達目標。
相關文檔
如果您需要瞭解IPv4網關的概念、支援地區、使用限制以及具體操作,請參見IPv4網關。