升级基础版转发路由器涉及VPC边界防火墙变更的最佳实践

由于VPC边界防火墙是基于云企业网的网络架构创建的,如果云企业网的基础版转发路由器升级到企业版转发路由器,则VPC边界防火墙也需要根据网络架构的变化进行变更。本文介绍如何同步变更VPC边界防火墙,从而重新防护升级后的企业版转发路由器的流量。

变更前后的差异点

云企业网基础版转发路由器升级到企业版,创建的VPC边界防火墙的差异如下:

对比类型

基于基础版转发路由器的VPC边界防火墙

基于企业版转发路由器的VPC边界防火墙

防护范围

支持防护:

  • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量

  • 通过基础版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量

  • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)

  • VPC和云连接网CCN(Cloud Connect Network)互访的流量

不支持防护:

  • 多个VBR互访的流量

  • CCN和VBR互访的流量

  • 多个CCN互访的流量

支持防护:

  • 同地域多个专有网络VPC(Virtual Private Cloud)互访的流量

  • 通过企业版转发路由器TR(Transit Router)实现跨地域多个VPC互访的流量

  • VPC和边界路由器VBR(Virtual Border Router)互访的流量(即VPC和本地数据中心IDC互访的流量)

  • VPC和云连接网CCN(Cloud Connect Network)互访的流量

  • 多个VBR互访的流量

  • CCN和VBR互访的流量

  • VPC和公网VPN互访的流量

不支持防护:多个CCN互访的流量

开启VPC边界防火墙的实例粒度

以VPC实例为粒度开启VPC边界防火墙。

以企业版转发路由器为粒度开启VPC边界防火墙。

开启和关闭VPC边界防火墙的影响

  • 创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。

    创建时长约5分钟。

  • 开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),过程中会出现长连接秒级闪断,短连接无影响。

    说明

    建议在开启VPC边界防火墙之前检查您的应用程序是否支持TCP自动重传机制,并密切关注应用连接状态,以避免由于未配置重传机制而导致的连接中断。

自动引流

  • 创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。

    创建时长约5分钟。

  • 开启和关闭VPC边界防火墙,预计约需要5~30分钟(取决于路由条目数),对业务无影响。

手动引流

  • 创建VPC边界防火墙、关闭后删除VPC边界防火墙对业务无影响。

    创建时长约5分钟。

  • 开启和关闭VPC边界防火墙,业务影响时间不定,取决于切流方式。

引流的网段规划

为自动创建的云防火墙VPC和交换机分配网段,用于自动创建防火墙安全VPC(Cloud_Firewall_VPC)进行流量引流处理。从分配的VPC网段中划分1个子网网段,该子网网段用于云防火墙VPC的交换机。子网网段的掩码需小于等于29位,且不与网络规划的网段冲突。

需要配置引流保护的业务VPC交换机,用于云防火墙引流所需要的弹性网卡使用。云防火墙会自动分配,如果您的业务延时敏感,可以自定义业务VPC可用区,以降低网络延时。

为VPC边界防火墙占用的VPC实例规划好用于引流的3个子网网段。该VPC实例交换机的3个子网网段的掩码需小于等于28位,且不与网络规划的网段冲突。

引流方式

开启VPC边界防火墙的业务VPC实例与其他通信网元之间的流量,默认引流到VPC边界防火墙。

提前确定创建企业版转发路由器VPC边界防火墙采用的引流模式(自动引流或者手动引流)、以及如果采用自动引流模式,需要确定好业务符合的引流场景。

  • 点到点:两个网元之间流量经过云防火墙管控。适用于简单的网络拓扑环境。

  • 点到多点:一个网元与多个网元之间的流量经过云防火墙管控。适用于星形网络拓扑环境;支持子引流实例选择ALL,一键实现到主引流实例的所有流量经过云防火墙管控(等同于基础版转发路由器VPC边界防火墙的引流场景)。

    重要

    若转发路由器路由表存在自定义的拒绝路由策略,则不支持点到多点的引流场景,建议改成多点间互联的引流场景。

  • 多点间互联:多个网元之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。

注意事项

  • 若转发路由器路由表缺失5000优先级默认路由策略,或该路由策略缺失新的VPN 网关(VPN Gateway)、专线网关ECR(Express Connect Router)实例类型,会导致企业版转发路由器VPC边界防火墙开启时校验不通过,请提交云企业网工单联系技术人员进行5000优先级默认路由策略刷新。

  • 升级后会保留已创建的基础版转发路由器VPC边界防火墙访问控制策略。

    重要

    开启企业版转发路由器VPC边界防火墙时,需检查配置的云防火墙的访问控制策略是否放行引流网元的正常通信。如果新增了网元需要再增加对应的访问控制策略。

方案概览

以下图网络架构为例,为您展示升级前后的网络变化:

image

详细方案:

您需要先了解开启和关闭VPC边界防火墙对业务的影响。具体内容,请参见开启防火墙开关对业务有什么影响?

  1. 删除已创建的基础版转发路由器VPC边界防火墙:升级企业版转发路由器之前务必关闭并删除基础版转发路由器VPC防火墙。

    在删除基础版转发路由器VPC边界防火墙前,需要先关闭VPC边界防火墙,即流量引流到云防火墙的路由会相应删除。然后您还需要手动删除VPC边界防火墙。

  2. 将基础版转发路由器升级到企业版转发路由器:升级成功后,需要等待云企业网企业版资产自动同步,路由学习的时间与您的路由条目数有关。或者手动对资产进行同步。建议您在业务低峰期进行操作。

    升级业务的组网架构,在升级前,您需要了解基础版转发路由器和企业版转发路由器的工作原理。具体信息,请参见转发路由器工作原理

  3. 为企业版转发路由器创建VPC边界防火墙:您可以先使用一键开启检查能力,帮您先检查是否存在路由报错问题。然后再创建VPC边界防火墙,推荐使用自动引流模式。

    如果升级失败,您需要启动应急回退方案。具体方案,请参见常见问题

1. 删除已创建的基础版转发路由器VPC边界防火墙

重要

关闭基础版转发路由器VPC边界防火墙会引起业务流量会闪断。

  1. 登录云防火墙控制台。在左侧导航栏,单击防火墙开关

  2. VPC边界防火墙云企业网(基础版)页签,关闭需要升级的基础版转发路由器下所有VPC边界防火墙。

    image

    如果待关闭多个VPC边界防火墙,可以通过批量关闭

  3. 单击操作删除,删除VPC边界防火墙。

    VPC边界防火墙只能逐个删除,无法批量删除。

2. 将基础版转发路由器升级到企业版转发路由器

  • 升级过程中,系统会将专有网络VPC(Virtual Private Cloud)实例中通过云企业网学习到的动态路由条目转换为自定义路由条目,自定义路由条目的下一跳指向企业版转发路由器。转换过程不会影响您的业务。

    升级完成后,企业版转发路由器默认不会向VPC实例传播路由,您可以为VPC实例开启路由同步功能,允许企业版转发路由器向VPC实例自动传播路由。具体操作,请参见路由同步

  • 仅以下地域的基础版转发路由器支持升级至企业版转发路由器

    单击此处,查看企业版转发路由器支持的地域和可用区

    区域

    地域

    可用区

    中国内地

    华东1(杭州)

    B、H、I、J、K

    华东2(上海)

    B、E、F、G、L、M、N

    华东5(南京-本地地域)

    A

    华东6(福州-本地地域)

    A

    华中1(武汉-本地地域)

    A

    华南1(深圳)

    A(停止新用户新购)、 C、D、E、F

    华南2(河源)

    A、B

    华南3(广州)

    A、B

    华北1(青岛)

    B、C

    华北2(北京)

    C、G、H、I、J、K、L

    华北3(张家口)

    A、B、C

    华北5(呼和浩特)

    A、B

    华北6(乌兰察布)

    A、B、C

    西南1(成都)

    A、B

    亚太

    新加坡

    A、B、C

    中国香港

    B、C、D

    马来西亚(吉隆坡)

    A、B

    印度尼西亚(雅加达)

    A、B、C

    菲律宾(马尼拉)

    A

    日本(东京)

    A、B、C

    韩国(首尔)

    A

    泰国(曼谷)

    A

    欧洲

    德国(法兰克福)

    A、B、C

    英国(伦敦)

    A、B

    北美

    美国(弗吉尼亚)

    A、B

    美国(硅谷)

    A、B

基础版转发路由器升级到企业版转发路由器的具体操作,请参见升级基础版转发路由器

3. 为企业版转发路由器创建VPC边界防火墙

  1. 在云防火墙控制台,进入VPC边界防火墙的云企业网(企业版)页签。

  2. 如果待防护的企业版转发路由器实例未同步到云防火墙,单击同步资产

  3. 定位到待防护的企业版转发路由器实例,单击操作创建,选择自动引流模式,然后进行一键开启检查,帮您检查当前资产是否满足开启VPC边界防火墙的条件。

    您也可以根据实际业务,选择手动引流模式。本文以自动引流模式为例。

    image

    检查完成后,您需要关注诊断详情,如果存在检查未通过的内容,您需要根据云防火墙给的整改建议进行整改,然后再进行一键开启检查,直到所有检查项均显示通过。

  4. 创建VPC边界防火墙。

    image

    重要

    为VPC边界防火墙分配的VPC实例网段不能与业务网段冲突。选择交换机可用区域时,建议根据业务就近选择,以便降低通过云防火墙流量的网络时延。

  5. 创建引流场景。

    以下以创建点到多点的引流场景为例。

    image

  1. 待引流场景创建完成后,云防火墙即可防护企业版转发路由器连接的网络实例之间的流量。

    创建引流过程时间较长,预计在30分钟内完成引流配置。

    创建VPC边界防火墙的详细步骤,请参见配置企业版转发路由器的VPC边界防火墙

常见问题

如果升级失败怎么办?

如果升级失败,您需要启动应急回退方案:

  1. 关闭企业版转发路由器的引流模式并删除创建的企业版转发路由器VPC边界防火墙。

    推荐使用路由回滚的方式关闭刚创建的引流场景。

    image

  2. 排查企业版转发路由器和VPC边界防火墙实例问题。

  3. 待问题排查后重新创建企业版转发路由器VPC边界防火墙。