本文档主要介绍了在开启VPC边界防火墙时,需要您注意的限制条件。

限制项 描述 处理建议
VPC数量限制 在云企业网(同地域下)中开启VPC边界防火墙,默认支持6个VPC, 最多可扩展到20个VPC。
说明 云防火墙计划在2020年第四季度增加可支持的VPC数量。
无。
每个地域最多支持19个VPC实例和1个云防火墙VPC边界防火墙(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个VPC(您可以前往专有网络管理控制台专有网络页面查看实例名称为Cloud_Firewall_VPC的新增VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。 如果配额已满,您需要前往专有网络管理控制台配额管理页面修改VPC配额的上限。如果VPC配额上限已无法修改,请提交工单或咨询钉钉群售后人员。
已开启VPC边界防火墙的VPC数量和地域数量的总和小于等于32个(未开启VPC边界防火墙不影响)。
说明 云防火墙计划在2020年第四季度增加可支持的VPC数量。
VPC自定义路由条目限制 开启VPC防火墙会为用户添加自定义路由,由于每个用户VPC路由表中自定义路由的数量存在限制,VPC自定义路由数量为最大值时,您无法再开启VPC边界防火墙。相关内容请参见添加自定义路由条目 增加VPC的配额。

您可以前往专有网络管理控制台配额管理页面,修改当前账号下VPC路由表的自定义路由配额。

说明 请不要删除和修改云防火墙自动添加的自定义路由,否则会导致VPC边界防火墙到ECS的入方向流量无法受到VPC边界防火墙的防护。
云企业网(CEN)相关 云企业网下存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权,将无法为该云企业网创建VPC边界防火墙。 您需要用对应账号登录云防火墙完成授权后,再开启VPC边界防火墙。有关授权的详细操作请参见云企业网创建VPC边界防火墙
云企业网中的所有地域都需要是VPC防火墙支持的地域,否则会导致无法开启该云企业网的VPC边界防火墙。 无。
VPC防火墙用户在云企业网中不可以发布32位网段的路由。如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙。
非VPC间流量 以下非VPC间互访流量不经过云防火墙,因此无法受到云防火墙的防护:
  • VBR互访流量
  • CCN互访流量
  • VBR与CCN
如需进一步咨询请提交工单或联系产品钉钉群售后人员。
SLB和RDS相关 SLB服务和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现业务原有的长连接失效问题。如果您的SLB后端服务器存在自定义转发规则(自定义SNAT或DNAT、路由转发),SLB的健康检查报文以及流量进行跨VPC访问。
说明 计划于2020年第四季度针对该问题进行优化升级。
建议如下:
  • 在开启或关闭防火墙的过程前,暂时设置SLB的健康检查为本VPC后端,避免健康检查抖动。
  • 在客户端增加连接保活以及重连机制。
如果在您的拓扑中,存在公网私用的地址段,开启防火墙后,对SLB和RDS的访问将会中断。
说明 计划于2021年第一季度针对该问题进行优化升级。
建议按标准规划您的网络,避免公网私用。