本文介绍了在开启VPC边界防火墙时,需要您注意的限制条件。

限制项 描述 处理建议
云企业网(CEN)相关 在云企业网中存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版,您将无法创建VPC边界防火墙。
  • 您需要升级到云防火墙旗舰版。相关操作,请参见升级
云企业网中的VPC所在的地域都需要是VPC边界防火墙支持的地域,否则会导致无法开启该云企业网的VPC边界防火墙。 云企业网中的VPC所在的地域都是VPC边界防火墙支持的地域。关于VPC边界防火墙支持的地域,请参见支持的地域
2021年05月01日之前开通VPC边界防火墙的用户,在云企业网中不可以发布32位网段的路由。如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。2021年05月01日及之后开通VPC边界防火墙的用户无此限制。 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者联系产品钉钉群售后人员。
2021年05月01日之前开通VPC边界防火墙的用户,如果在您的拓扑中,存在公网私用的地址段,开启VPC边界防火墙后,对SLB和RDS的访问将会中断。2021年05月01日及之后开通VPC边界防火墙的用户无此限制。 建议按标准规划您的网络,避免出现公网私用的情况。
云企业网中发布的路由数最大为100。 建议您减少发布的路由数,路由数调整到100条以内。相关内容,请联系产品钉钉群售后人员。
开启VPC边界防火墙会为用户添加自定义路由,由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。 增加VPC的配额。

您可以前往专有网络管理控制台配额管理页面,修改当前账号下VPC路由表的自定义路由配额。

在云企业网中开启VPC边界防火墙时,如果VPC中存在自定义路由表且绑定了vSwitch,不支持开通VPC边界防火墙。 您可以删除相关的自定义路由表或vSwitch解除绑定自定义路由表。
以下非VPC间互访流量不经过云防火墙,因此无法受到云防火墙的防护:
  • VBR(Virtual Border Router)互访流量
  • CCN(Cloud Connect Network)互访流量
  • VBR与CCN互访流量
如果您需要进一步咨询,请提交工单,或者联系产品钉钉群售后人员。
SLB服务和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现业务原有的长连接失效问题。 建议如下:
  • 在开启或关闭VPC边界防火墙的过程前,暂时设置SLB的健康检查为本VPC后端,避免健康检查抖动。
  • 在客户端增加连接保活以及重连机制。
已开启VPC边界防火墙的VPC数量和地域数量的总和小于等于32个(未开启VPC边界防火墙不影响)。 无。
在云企业网中开启VPC边界防火墙时,支持添加的网络实例数量为15个。 建议您升级到CEN-TR。相关信息,请咨询产品钉钉群售后人员。
云企业网转发路由器(CEN-TR)相关 在云企业网中开启VPC边界防火墙时, CEN-TR支持添加的网络实例(包含VPC、VBR和CCN)在每个地域数量最多为100个。
说明 CEN-TR支持添加的VPC中,包含了开启VPC边界防火墙时自动新增的VPC(即您在专有网络管理控制台专有网络页面,查看到的实例名称为Cloud_Firewall_VPC的新增VPC)。
无。
CEN-TR存在如下限制:
  • 如果已创建的VPC边界防火墙使用的是自动模式, 创建VPC边界防火墙后,需要联系售后服务人员将自动新增的VPC(名称是Cloud_Firewall_VPC)加入白名单之后,才能开启VPC边界防火墙。
  • 如果已创建的VPC边界防火墙使用的是手动模式,需要联系售后服务将该VPC加入白名单之后,才能开启VPC边界防火墙。
如果您需要将VPC加入白名单,请提交工单,或者联系产品钉钉群售后人员。
高速通道相关 在高速通道中开启VPC边界防火墙不支持防护VPC跨地域、跨账号及VPC与VBR间的互访流量。 如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访流量,建议您改为CEN组网。相关信息,请咨询产品钉钉群售后人员。
开启VPC边界防火墙会为用户添加自定义路由,由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。 增加VPC的配额。

您可以前往专有网络管理控制台配额管理页面,修改当前账号下VPC路由表的自定义路由配额。

在高速通道中不支持32位网段的路由。如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者联系产品钉钉群售后人员。
通用限制 每个地域最多支持19个VPC实例和1个VPC边界防火墙(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个VPC(即您在专有网络管理控制台专有网络页面,查看到的实例名称为Cloud_Firewall_VPC的新增VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。 如果配额已满,您需要前往专有网络管理控制台配额管理页面修改VPC配额的上限。如果VPC配额上限已无法修改,请提交工单,或者咨询钉钉群售后人员。