VPC不会自动分配IPv4网关,实例有公网IP默认就可以访问互联网,为了集中控制VPC的公网访问,并降低直接访问公网带来的安全风险,您可以使用IPv4网关,实现统一的控制和管理。当您希望针对公网入方向流量引流至安全防火墙处理的场景,可以使用网关路由表能力,实现对公网入方向流量的灵活管理和安全防护。
前提条件
注意事项
当您创建IPv4网关后,您需要配置指向IPv4网关的路由,并激活IPv4网关:
在激活IPv4网关前不会影响VPC中的资源流量。但在激活过程中可能会导致流量路径切换闪断。
激活IPv4网关前,确保需要公网访问的交换机关联的路由表,都已配置指向IPv4网关的路由,以防止激活后因未配置路由导致流量中断。
只有当VPC中的IPv4网关激活成功,且VPC路由表中配置了指向IPv4网关的路由条目时,VPC中的实例才能访问公网。
使用IPv4网关的VPC内不能存在使用网卡可见模式的EIP资源。
VPC启用IPv4网关能力之后,无法关闭该能力。删除IPv4网关,VPC中的实例将不具备公网访问的能力。
公网访问集中管控
创建并激活IPv4网关后,您可以选择主路由表或者子网路由表,系统会自动为选择的路由表添加一条目标网段为0.0.0.0/0
的默认路由指向IPv4网关。此时,路由表关联的交换机中的资源,能够通过IPv4网关访问公网。
创建并激活IPv4网关
- 登录专有网络管理控制台。
- 在顶部菜单栏处,选择要创建IPv4网关的地域。
- 在左侧导航栏,单击IPv4网关。
在IPv4网关页面,单击创建IPv4网关。
在创建IPv4网关对话框,创建并激活IPv4网关,同时配置指向IPv4网关的路由。
创建IPv4网关
在创建IPv4网关配置向导,配置以下信息,其他参数可保持默认值或根据实际情况修改。
参数
说明
地域
自动显示IPv4网关地域。
专有网络
选择IPv4网关关联的VPC。
激活IPv4网关
在激活IPv4网关配置向导,选择一个或多个路由表,然后单击激活。
说明建议您选择交换机中存在NAT网关实例或公网IP实例所属的路由表,选择该路由表后,系统会添加默认路由指向IPv4网关,避免因路由未配置导致公网访问不通。
选择路由表后,系统会自动为其添加一条目标网段为
0.0.0.0/0
的默认路由指向IPv4网关,使关联的交换机具备访问公网的能力。如果当前路由表已经存在目标网段为
0.0.0.0/0
的默认路由,则无法再添加IPv4网关的默认路由。若与该路由表关联的交换机需要公网访问,建议您做好路由规划。
(可选)入方向路由策略控制
创建并激活IPv4网关后,您可以创建网关路由表,并将其绑定至IPv4网关,绑定后可以将公网入流量引流至VPC,实现灵活管理和安全防护。
步骤一:创建网关路由表并修改路由条目
绑定了IPv4网关的路由表即为网关路由表,您可以通过修改路由条目控制IPv4网关进入VPC的流量路径。一个VPC下只能创建一张网关路由表。
- 在路由表页面,单击创建路由表。
在创建路由表页面,配置以下信息,其他参数可保持默认值或根据实际情况修改。
参数
说明
专有网络
选择路由表所属的VPC。
本文选择IPv4网关所属的VPC。
绑定对象类型
选择路由表绑定的对象类型。
交换机:路由表绑定的对象为交换机,为自定义路由表,管理交换机内的流量。
边界网关:路由表绑定的对象为IPv4网关,为网关路由表,控制IPv4网关进入VPC的流量路径。
本文选择边界网关。
在路由表页面,查看并找到已创建的网关路由表,然后单击路由表ID。
在 页签,找到目标系统路由条目,然后在操作列单击编辑。
在编辑路由条目对话框,配置以下信息,其他参数可保持默认值或根据实际情况修改。
配置
说明
目的网段
显示转发流量的目标网段。目的网段不支持修改。
下一跳类型
选择下一跳类型:
Local:将目的地址在目标网段范围内的流量路由至本地。
ECS实例:将目的地址在目标网段范围内的流量路由至选择的ECS实例。
弹性网卡:将目的地址在目标网段范围内的流量路由至选择的辅助弹性网卡。
重要当路由条目的下一跳类型为弹性网卡或ECS实例时,需要先将下一跳类型修改为Local,然后再将下一跳类型修改为弹性网卡或ECS实例后修改具体的下一跳实例。不支持当下一跳类型为弹性网卡或ECS实例时,直接修改下一跳为其他的弹性网卡实例或ECS实例。
资源组
选择下一跳所属的资源组。
当下一跳类型选择为ECS实例或弹性网卡时,需要配置该参数。
ECS实例或弹性网卡
选择下一跳实例。
当下一跳类型选择为ECS实例或弹性网卡时,需要配置具体的下一跳实例。
步骤二:绑定网关路由表至IPv4网关
创建完成网关路由表后,将网关路由表绑定至IPv4网关,您后续可以通过配置路由条目管理IPv4网关进入VPC的流量路径。绑定网关路由表前,请确保您已经创建并激活IPv4网关,具体操作,请参见公网访问集中管控。
- 在IPv4网关页面,找到目标IPv4网关,然后单击IPv4网关的实例ID。
在IPv4网关详情页面,然后在网关路由条目页签,单击立即绑定。
在绑定路由表对话框,确认绑定的网关路由表,然后单击确定。
绑定成功后,公网入方向流量会按照网关路由表配置的路由条目引流到对应实例,实现灵活管理和安全防护。
解绑网关路由表
若您不需要将公网入流量引流至VPC,您可以将IPv4网关与网关路由表解绑。
- 在左侧导航栏,单击IPv4网关。
- 在IPv4网关页面,找到目标IPv4网关,然后单击IPv4网关的实例ID。
在IPv4网关详情页面,然后在网关路由条目页签,单击解绑。
在弹出的对话框,单击确定。
删除IPv4网关
删除IPv4网关有以下两种模式:
私网模式:该模式下删除IPv4网关后,所属VPC中的实例将不具备公网访问的能力。
公网模式:该模式下删除IPv4网关后,所属VPC中的实例访问公网的能力不再受IPv4网关的集中控制,公网IP绑定实例后可直接访问公网。
删除IPv4网关前:
若您的IPv4网关有绑定的网关路由表,请将该IPv4网关与网关路由表解绑。具体操作,请参见解绑网关路由表。
删除IPv4网关选择私网模式时,您需要先删除VPC路由表中所有指向IPv4网关的路由条目。具体操作,请参见添加和删除路由条目。
删除IPv4网关选择公网模式时,系统会自动删除所有指向IPv4网关的路由条目。
- 登录专有网络管理控制台。
- 在顶部菜单栏处,选择IPv4网关的地域。
- 在左侧导航栏,单击IPv4网关。
在IPv4网关页面,找到要删除的IPv4网关,然后在操作列单击删除。
在弹出的对话框中,根据您的需要选择删除模式,然后单击确认删除。
私网模式:如果您需要IPv4网关关联的VPC中的资源不具备公网访问能力,可以选择该模式删除。
公网模式:如果您需要IPv4网关关联的VPC中的资源具备访问公网能力,但是不需要受IPv4网关的集中控制,可以选择该模式删除。
重要删除IPv4网关选择私网模式后,若您需要再次访问公网,请在所属VPC下重新创建IPv4网关,并配置指向IPv4网关的默认路由。此时VPC中的实例重新具备公网访问的能力。
更多操作
操作 | 步骤 |
激活IPv4网关 | 当您未激活IPv4网关时,您需要激活并配置路由表,使该IPv4网关关联的VPC具有集中控制访问公网的能力。
|
编辑IPv4网关 |
|
更换IPv4网关绑定的网关路由表 |
|
修改网关路由表 |
|
相关文档
如果您需要在已有公网NAT网关的VPC中开启IPv4网关时,请参见如何在已有公网NAT网关的VPC中开启IPv4网关。