本文档主要介绍了在开启VPC边界防火墙时,需要您注意的限制条件。

限制项 描述 建议
云企业网中开启VPC边界防火墙可以支持的最大VPC数量 同地域下默认支持6个VPC, 最多可扩展到20个VPC。 无。
VPC自定义路由条目限制 开启VPC防火墙会为用户添加自定义路由,由于每个用户VPC路由表中自定义路由的数量存在限制,VPC自定义路由数量为最大值时,您无法再开启VPC边界防火墙。相关内容请参见添加自定义路由条目 增加VPC的配额。

您可以前往专有网络管理控制台配额管理页面,修改当前账号下VPC路由表的自定义路由配额。

说明 请不要删除和修改云防火墙自动添加的自定义路由,否则会导致VPC边界防火墙到ECS的入方向流量无法受到VPC边界防火墙的防护。
掩码长度网段限制 VPC防火墙用户在云企业网中不可以发布32位网段的路由。如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙。
VPC防火墙和地域数量的总和限制 已开启VPC边界防火墙的VPC数量和地域数量的总和小于等于32个(未开启VPC边界防火墙不影响)。 无。
云企业网中(CEN)存在跨账号的VPC 云企业网下存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权,将无法为该云企业网创建VPC边界防火墙。 您需要用对应账号登录云防火墙完成授权后,再开启VPC边界防火墙。有关授权的详细操作请参见云企业网创建VPC边界防火墙
云企业网中存在跨地域的VPC 该云企业网中的所有地域都需要是VPC防火墙所支持的地域,否则会导致无法开启该云企业网的VPC边界防火墙。 无。
云企业网中存在云连接网实例(CCN) 云企业网中存在云连接网实例(CCN)的情况下,默认无法为该云企业网开启VPC边界防火墙。 详情请咨询产品钉钉群售后人员。
VPC数量限制 每个地域最多支持19个VPC实例和1个云防火墙VPC(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个VPC(您可以前往专有网络管理控制台专有网络页面查看实例名称为Cloud_Firewall_VPC的新增VPC)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。 如果配额已满,您需要前往专有网络管理控制台配额管理页面修改VPC配额的上限。如果VPC配额上限已无法修改,请提交工单
VBR之间互访 VBR互访流量不经过云防火墙(云防火墙不提供防护)。 无。
CCN之间互访 CCN互访流量不经过云防火墙(云防火墙不提供防护)。 无。
开启VPC防火墙过程中业务出现闪断 SLB服务和RDS等数据库云服务在开启或关闭VPC边界防火墙过程中,会出现业务的原有长连接失效问题。 您需要在客户端增加连接保活以及重连机制。
仅支持东西向防护 VPC防火墙只支持东西向私网流量防护,无法防护VPC路由中0.0.0.0/0(默认路由)路由至公网的互访流量。 无。