VPC边界防火墙帮助您检测和管控两个VPC、VPC和本地数据中心之间的流量。如果VPC已通过高速通道连接,或者同属于一个云企业网,您可以在高速通道或云企业网下创建VPC边界防火墙,实现控制VPC间的访问流量。本文介绍如何创建VPC边界防火墙。
前提条件
已购买了云企业网或高速通道实例,并且已使用云企业网或高速通道完成了两个VPC之间的网络互联。详细操作,请参见高速通道同账号VPC互联、云企业网同地域VPC互联。
为云企业网创建VPC边界防火墙:已实现云企业网VPC互联。
版本支持说明
云防火墙企业版、旗舰版支持VPC边界防火墙,高级版不支持。
注意事项
- VPC资源:名称为
Cloud_Firewall_VPC
。不要把其他业务资源加入到Cloud_Firewall_VPC中。不要手动修改和删除此VPC内的网络资源。
- 交换机资源:名称为
Cloud_Firewall_VSWITCH
,其网段为10.219.219.216/29。网络规划时请避开使用VPC边界防火墙交换机的网段10.219.219.216/29,防止因为网段冲突导致跨VPC互访流量不通。
- 自定义路由表条目:备注信息为
Created by cloud firewall. Do not modify or delete it.
。 - 创建、开启、关闭或删除VPC边界防火墙时,会自动修改您的VPC路由表中的自定义路由,导致短时间内会出现网络中断。如果需要批量操作或频繁开关VPC边界防火墙,为不影响您的业务,建议在业务流量较小的低峰期进行。
为云企业网创建VPC边界防火墙
云防火墙支持云企业网中的跨账号VPC流量防护,即当两个不同阿里云账号下VPC通过云企业网互通时,您仍可以使用云防火墙防护连通的VPC流量。在使用云防火墙防护跨账号VPC前,您需要授权云防火墙访问云资源,具体操作,请参见授权云防火墙访问云资源。
- 是否支持VPC边界防火墙功能取决于云企业网所属的阿里云账号是否有购买云防火墙付费版,与该云企业网下加入的VPC实例所属的阿里云账号是否有购买云防火墙无关。
例如,使用账号A创建了云企业网和VPC_1,使用账号B创建了VPC_2,VPC_1和VPC_2通过账号A的云企业网实现网络互通,此时您可以使用账号A购买云防火墙付费版,用于防护VPC_1和VPC_2的流量。
- 同一个云企业网同地域可开启VPC边界防火墙的VPC数量最大规格是10个,如需增加规格,请提交工单。
- VPC边界防火墙支持防护VPC和VPC互访、VPC和VBR互访(即VPC-IDC)、VPC和CCN互访流量,不支持防护VBR和VBR互访、CCN和CCN互访、CCN和VBR互访流量。
为高速通道创建VPC边界防火墙
防护VPC和本地数据中心(IDC)间的流量
VPC边界防火墙支持对VPC和VBR之间的流量(即VPC到本地数据中心之间的流量)进行防护。使用云企业网连接VPC和本地数据中心的情况下,该云企业网的VPC边界防火墙开启后,会自动对该VPC和VBR之间的流量开启防护,无需为云企业网VBR单独创建和开启VPC防火墙。
登录云防火墙控制台,在防火墙开关页面,您可以在VPC防火墙页签的云企业网列表中,查看到云企业网VBR的防护信息。
后续步骤
- 在VPC边界防火墙页面,编辑或者删除已创建的VPC边界防火墙实例。
- 在VPC边界防火墙页面,开启或关闭VPC边界防火墙。更多信息,请参见开启或关闭VPC边界防火墙。
- 在VPC边界防火墙。 页面,设置VPC边界防火墙策略,控制VPC间的访问活动。更多信息,请参见
如果VPC边界防火墙已开启,您可以在VPC访问活动。
页面,查看VPC间访问流量的数据统计和分析结果。更多信息,请参见