本文介绍在开启VPC边界防火墙时,需要您注意的限制条件及处理建议。

通用限制

限制项 处理建议
每个地域最多支持19个VPC实例和1个VPC边界防火墙(即VPC边界防火墙会占用1个配额)。开启VPC边界防火墙后,每个地域会自动新增一个VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC。关于如何查看该VPC的详细信息,请参见查看专有网络)。VPC配额不足的情况下,您将无法开启VPC边界防火墙。 如果配额已满,您需要修改VPC配额的上限,具体操作,请参见管理配额
注意 如果VPC配额上限已无法修改,请咨询云防火墙钉钉群售后人员。

云企业网相关限制

限制项 处理建议
在云企业网中存在跨账号开通的VPC时,如果跨账号开通的VPC未获得云防火墙的授权或您的云防火墙版本不是旗舰版,您将无法创建VPC边界防火墙。
  • 需要升级到云防火墙旗舰版。具体操作,请参见升级
云企业网中的VPC所在的地域都需要是VPC边界防火墙支持的地域,否则会导致无法为该云企业网开启VPC边界防火墙。 云企业网中的VPC所在的地域都是VPC边界防火墙支持的地域。相关内容,请参见VPC边界防火墙支持的地域
如果您是在2021年05月01日之前开通了VPC边界防火墙,并且您的网络拓扑中存在公网私用的地址段,开启VPC边界防火墙后,您的服务器对SLB和RDS的访问将会中断。
注意 2021年05月01日及之后开通VPC边界防火墙的用户无此限制。
建议按标准规划您的网络,避免出现公网私用的情况。
云企业网中发布的路由数最大为100。 建议您减少发布的路由数,并将路由数减少到100条以内。如有需要,请联系云防火墙钉群售后人员。
开启VPC边界防火墙会为用户添加自定义路由。由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。 增加VPC的配额。

您需要修改当前账号下VPC路由表的自定义路由配额,具体操作,请参见管理配额
在云企业网中开启VPC边界防火墙时,如果VPC中存在自定义路由表且绑定了vSwitch,不支持开通VPC边界防火墙。 您可以删除相关的自定义路由表或vSwitch解除绑定自定义路由表。
以下非VPC间互访流量不经过云防火墙,因此无法受到云防火墙的防护:
  • VBR间的互访流量
  • CCN间的互访流量
  • VBR与CCN间的互访流量
 如果您需要进一步咨询,请联系云防火墙钉钉群售后人员。
SLB和RDS等云服务在开启或关闭VPC边界防火墙过程中,会出现长连接失效问题。
  • 在开启或关闭VPC边界防火墙的过程前,暂时设置SLB的健康检查为本VPC后端,避免健康检查抖动。
  • 在客户端增加连接保活以及重连机制。
已开启VPC边界防火墙的VPC数量和地域数量的总和小于等于32个(未开启VPC边界防火墙不影响)。 无。
在云企业网中开启VPC边界防火墙时,支持添加的网络实例数量为15个。 建议您使用云企业网转发路由器。相关信息,请咨询云防火墙钉钉群售后人员。
为云企业网创建VPC边界防火墙时,该云企业网中不能存在策略行为设置为拒绝类型的路由策略(系统默认生产的优先级为5000拒绝类型路由策略除外),否则将会导致业务中断。 建议您删除相关路由策略,或咨询云防火墙钉钉群售后人员。
开启VPC边界防火墙后,如果增加或者删除云企业网的路由策略,云防火墙需要15~30分钟的时间完成路由学习。 建议您等待云防火墙路由学习完成后观察路由策略生效情况,或通过云防火墙钉钉群咨询售后人员。
单专线云企业网用户使用防火墙时,开墙或者网络割接时可能会造成流量中断。 建议开墙或者网络割接前,先通过云防火墙钉钉群咨询售后人员。

云企业网转发路由器相关限制

限制项 处理建议
在云企业网中开启VPC边界防火墙时, 转发路由器支持添加的网络实例(包含VPC、VBR和CCN)在每个地域数量最多为100个。
说明 转发路由器支持添加的VPC中,包含了开启VPC边界防火墙时自动新增的VPC(即新增一个实例名称为Cloud_Firewall_VPC的VPC。关于如何查看该VPC的详细信息,请参见查看专有网络)。
无。
转发路由器存在如下限制:
  • 如果已创建的VPC边界防火墙使用的是自动模式, 创建VPC边界防火墙后,需要联系售后服务人员将自动新增的VPC(名称是Cloud_Firewall_VPC)加入白名单之后,才能开启VPC边界防火墙。
  • 如果已创建的VPC边界防火墙使用的是手动模式,需要联系售后服务将该VPC加入白名单之后,才能开启VPC边界防火墙。
如果您需要将VPC加入白名单,请联系钉钉群售后人员。

高速通道相关限制

限制项 处理建议
在高速通道中开启VPC边界防火墙,不支持防护VPC跨地域、跨账号及VPC与VBR间的互访流量。 如果需要防护VPC跨地域、跨账号或VPC与VBR间的互访流量,建议您改为组云企业网组网。相关信息,请咨询产品钉钉群售后人员。
开启VPC边界防火墙会为用户添加自定义路由。由于每个用户VPC路由表中自定义路由的数量存在限制,超过数量限制则无法再为您开启VPC边界防火墙。VPC实例自定义路由的最大数量为400。 增加VPC的配额。

您需要修改当前账号下VPC路由表的自定义路由配额,具体操作,请参见管理配额
在高速通道中不支持32位网段的路由。如果有32位网段的路由,开启VPC边界防火墙后,会导致对此网段的网络访问中断。 建议您先将网段掩码长度修改为小于等于30后,再开启VPC边界防火墙,或者联系产品钉钉群售后人员。
开启VPC边界防火墙后,如果增加或者删除高速通道的VPC路由表信息,云防火墙需要15~30分钟的时间完成路由学习。 建议您等待云防火墙路由学习完成后观察路由表生效情况,或通过云防火墙钉钉群咨询售后人员。