该功能邀测中,如需使用请联系您的阿里云客户经理申请。
通过策略路由(PBR, Policy-based Routing)功能,可对进入网络实例连接(Attachment)的流量叠加一层基于源 IP / 目的 IP / 协议 / 端口 / DSCP 的匹配,命中后跳转到指定路由表执行转发。
应用场景
通用判断:目的相同、按源决定路径,或按部分流量做安全/合规重定向。
场景 A:源 IP 决定专线(生产 / 镜像分流)
前提:同一 vSwitch 内两子网,分别需走 VBR-A、VBR-B,目的同为 IDC
10.1.0.0/16。配置:两条 PBR 规则,分别匹配两子网 CIDR,跳转到对应 VBR 的路由表。
进阶:双隧道 ECMP 时配合CEN路由策略(RouteMap) 的
AsPathPrepend实现回程路径对称。
场景 B:子网级主备路径
前提:单 VPC 内两子网,A/B 两条专线接入 TR;子网 A 要 A 主 B 备、子网 B 反过来。
配置:创建
vtb-a-primary、vtb-b-primary两张路由表,各用 RouteMap 把对端 VBR 降权;PBR 把两子网分别引向对应路由表。进阶:主链路故障时 BGP 自动收敛到备路径;回程对称依赖双向 RouteMap。
场景 C:跨 VPC 安全引流
前提:云防火墙作为 Attachment 接入 TR,拥有独立路由表
vtb-firewall。配置:在源 VPC 的 Attachment 上绑定策略表,匹配条件
SourceCidr=10.0.1.0/24, DestinationCidr=10.0.0.0/8,目标vtb-firewall。其余流量未命中规则,按默认路由表直通。注意:防火墙有状态,回程也要过墙——对端 Attachment 同样绑策略表或关联到走防火墙的路由表。
场景 D:多租户路径隔离
前提:多租户共享同一 VPC/vSwitch,每个租户走独立 IPsec 隧道访问各自 IDC。
配置:每个租户的 IPsec Attachment 关联独立路由表;PBR 按租户源网段映射到对应路由表。
场景 E:多活架构就近出口
前提:各 AZ 子网及就近专线出口分别为独立 Attachment(
10.1.1.0/24 → att-vbr-az1、10.1.2.0/24 → att-vbr-az2)。配置:各 AZ 出口独立路由表;PBR 把每个 AZ 子网映射到对应出口路由表,避免 ECMP 跨 AZ 打散。
进阶:出口故障切换可在备路由表中预置跨 AZ fallback 路由,接受降级以保证可用性。
场景 F:合规审计独立通道
前提:DMZ 区子网
10.2.0.0/24出向流量需走审计通道;审计设备作为 Attachment,关联vtb-audit。配置:PBR 匹配 DMZ 源网段,跳转到
vtb-audit;其他子网不绑或不命中,按默认路由表转发。注意:阻断式审计本质同防火墙,需做回程对称;镜像式审计回程影响小。
场景 G:灰度发布流量染色
前提:灰度子网
10.3.100.0/24与正式子网共享 VPC;灰度后端集群独立 Attachment,关联vtb-gray。配置:PBR
SourceCidr=10.3.100.0/24 → vtb-gray,优先级低于安全/合规规则。注意:网络层只决定路径,业务版本切换、降级仍需应用层配合。
工作原理
流量匹配流程
流量进入网络实例连接后先匹配策略路由表中的规则,再查对应路由表,详细流程为:
报文进入网络实例连接(Attachment)
判断:是否绑定了策略路由表?
是 → 继续步骤 3
否 → 跳转到步骤 6
按照优先级逐条匹配策略路由表中的规则
判断:是否命中了规则?
是 → 继续步骤 5
否 → 跳转到步骤 6
查询规则指定的目标 TR 路由表 → 跳转到步骤 7
查询关联转发绑定的 TR 路由表
转发到下一跳
流程说明:
优先级有序:数值越小优先级越高,命中即停止匹配。
解耦匹配与转发:策略路由表 只决定"走哪张路由表",下一跳由路由表自行解析。
入口级控制:策略表绑定到网络实例连接,仅对该入口流入 TR 的流量生效。
规则匹配字段
策略路由表中的规则包含如下字段:
字段 | 必选 | 说明 |
IP地址类型 | 否 |
|
源CIDR | 否 | 源网段,CIDR 格式 |
目的CIDR | 否 | 目的网段,CIDR 格式 |
协议 | 否 |
|
源端口范围 | 否 | 例 |
目的端口范围 | 否 | 同上 |
DSCP | 否 | 匹配IP包到达TR时已经存在的DSCP值,如果不设置则代表匹配所有的DSCP值。 如果在ECS操作系统内或线下IDC中没有设置过DSCP,建议不设置该字段。 |
优先级 | 是 | 1~100,数值越小优先级越高。 |
转发目标路由表 | 是 | 命中后跳转的目标路由表 |
使用策略路由
仅需3步:
创建策略路由表
单击TR的实例ID进入详情页,切换到策略路由表页签,单击创建策略路由表完成创建。
添加策略路由规则
在刚刚创建的策略路由表的操作列,单击查看规则。
在策略路由表详情滑窗的策略路由规则页签下,单击添加策略路由规则。
在添加策略路由规则弹窗中,设置:
匹配条件:详见规则匹配字段。
优先级:1~100,数值越小优先级越高。
转发目标路由表:命中规则后跳转的目标路由表。
支持添加多条规则。
将策略路由表绑定到网络实例连接:
在策略路由表的操作列,单击绑定管理。
在策略路由表详情滑窗的策略路由规则页签下,单击绑定网络实例连接完成绑定。
绑定完成后,进入网络实例连接的流量都会先匹配策略路由规则:
命中规则后查询对应的目标路由表进行转发。
如果未命中规则,那么流量会直接查询该网络实例连接关联转发的路由表。
管理策略路由
解绑策略路由表:在目标策略路由表的操作列单击绑定管理,然后在目标绑定关系的操作列单击解绑。
删除策略路由表:将策略路由表中与所有网络实例连接解绑后,在目标策略路由表的操作列单击删除。
编辑策略路由规则:在目标策略规则的右上角单击编辑。
只支持编辑名称和描述,其他字段(匹配条件、优先级、转发目标路由表)如需编辑,请删除重建。
删除策略路由规则:在目标策略规则的右上角单击删除。
更多信息
配额与限制
配额:
配额项 | 默认值 | 是否可申请提升 |
单 TR 实例策略表数 ( | 20 | 是,联系客户经理提升 |
单 TR 实例策略规则总数 ( | 100 | 是,联系客户经理提升 |
单 Attachment 绑定的策略表数 ( | 1 | 否 |
监控指标
通过云监控查看(维度:PolicyBasedRouteId):
指标 | 单位 | 语义 |
| packets | 实际匹配的报文数 |
| bps | 匹配流量平均带宽 |
| Gbytes | 匹配流量累计字节数 |
常见问题
为什么我配了规则但没生效?
依次检查:
① 策略表是否已绑定到流量入口的 Attachment(前往TR详情页的地域内连接管理页签,在目标Attachment的的关联路由表列直接确认);
② 规则配置正确,且确保有命中规则的流量产生;
③ 是否有更高优先级(更小 Priority)的规则先命中;
④ 报文方向:策略路由仅作用于流入 TR 的方向,可通过云监控的 PolicyBasedRouteHitCount 监控指标确认命中情况。