AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云防火墙 云防火墙CFW 实践教程 防火墙接入最佳实践 VPC边界防火墙迁移可用区最佳实践

VPC边界防火墙迁移可用区最佳实践

更新时间:
产品详情
我的收藏

本文介绍了VPC边界防火墙从默认可用区(双活AZ架构)迁移至指定主备可用区(主备AZ架构)的部署方案,以减少流量跨可用区运行导致的延迟问题。

场景示例

某企业在北京地域创建VPC防火墙时主、备可用区选择了如图所示的默认(自动分配)选项。

image

则创建的VPC防火墙会采用默认的双活可用区(双活AZ)架构容灾方案。在双活AZ架构下,云防火墙集群在正常处理流量时,不会就近转发,而是随机将流量分发到两个可用区。这可能会导致流量跨可用区转发。

为了解决这个问题,VPC防火墙推出了主备可用区(主备AZ)架构容灾方案,以实现VPC防火墙优先在主AZ处理流量,容灾场景再切换到备AZ转发流量。

已经使用双活AZ方案的VPC防火墙实例,可按照下文步骤迁移至主备AZ方案。

迁移前

迁移后

imageimage

注意事项

  • 迁移需要关闭并删除对应地域的VPC防火墙,然后重新创建所有VPC防火墙,期间原有的VPC防火墙访问控制策略会保留。

  • CEN基础版VPC防火墙关闭或开启引流期间,会有秒级路由闪断。

    CEN企业版VPC防火墙关闭或开启引流期间,不会有路由闪断。

    (建议变更期间配置高优先级ANY流量放行策略,避免单向过墙流量被策略拦截)。具体操作,请参见配置VPC边界访问控制策略

  • 提前记录原有VPC防火墙的VPC网段和交换机网段,可以在重新创建时复用。

  • 主备AZ架构下,主可用区和备可用区存在依赖,以实际可选的可用区为准。

云企业网CEN基础版迁移主备AZ架构

将云企业网CEN基础版某地域的VPC边界防火墙从双活可用区迁移为主备可用区架构前,需先关闭并删除对应CEN在该地域内的所有VPC防火墙,然后重新创建。

步骤一:关闭并删除VPC防火墙

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. VPC边界防火墙 > 云企业网(基础版)页签中,单击批量关闭

    image

  3. 批量关闭对话框中,选择需要关闭的云企业网实例地域,并单击确定

  4. 批量关闭成功后,在对应地域的资产操作列,单击删除。删除该地域内所有VPC防火墙。

步骤二:创建VPC防火墙

  1. 在对应地域云企业网实例的操作列,单击创建

  2. 创建防火墙面板中,单击一键开启检查

    基础版转发路由器支持诊断是否满足一键开启VPC边界防火墙的条件。您可以在检测完成后,选择开启诊断配置向导查看诊断结果。如果您已了解VPC边界防火墙的创建细则,可以跳过一键开启诊断功能,直接创建。若诊断失败,请参见云防火墙开启失败原因及解决方案汇总文档获取解决方案。

  3. 配置防火墙VPC网段、主可用区、备用可用区、业务VPC所需交换机的实例和可用区、入侵防御等配置。

    重要

    • 指定防火墙VPC配置中的主、备可用区业务流量发生的可用区即可启用主备AZ架构模式,但如果业务VPC所需交换机可用区主可用区选择不同,仍然会有流量延迟。

      所以如果您的业务延时敏感,请将防火墙VPC配置中主可用区业务VPC所需交换机可用区均设置为业务流量发生的可用区,以便进一步降低延时

    • 入侵防御设置将应用于同一云企业网下的所有网络实例。

    image

  4. 单击开始创建,创建VPC边界防火墙。

  5. 完成创建后,重复上述操作,为云企业网中其他VPC配置引流保护的业务VPC交换机。同时保持可用区设置和防火墙VPC的主可用区相同。

  6. 区域内的所有VPC全部配置完成后,在防火墙开关列统一为所有VPC开启防火墙开关。

    image

云企业网CEN企业版迁移主备AZ架构

云企业网CEN企业版中,若需将VPC边界防火墙从双活可用区迁移为主备可用区架构,需先删除对应地域的引流场景,删除并重新创建VPC边界防火墙后恢复原有引流场景。

步骤一:关闭并删除引流场景

  1. 登录云防火墙控制台在左侧导航栏,单击防火墙开关

  2. VPC边界防火墙 > 云企业网(企业版)页签中,在对应地域VPC防火墙的操作列,单击详情

    image

  3. VPC边界防火墙详情 > 引流场景页签中,单击开关按钮。

  4. 关闭引流场景对话框中,建议选择路由回滚,并单击确定

    关闭引流场景期间,您可以在防火墙任务页签,查看关闭任务执行情况。

  5. 关闭引流场景完成后,单击删除。删除引流场景,并关闭VPC边界防火墙详情面板。

    image

步骤二:删除VPC防火墙

  1. 在对应地域云企业网示例的操作列,单击删除

  2. 删除对话框中,单击确定,删除该防火墙实例。

    image

步骤三:创建VPC防火墙并配置引流场景

  1. 在对应地域云企业网示例的操作列,单击创建

    image

  2. 创建防火墙面板中选择自动引流模式。并单击一键开启检查

    企业版TR转发路由器支持诊断是否满足一键开启VPC边界防火墙的条件。您可以在检测完成后,在创建前检查配置向导查看诊断结果。如果您已了解VPC边界防火墙的创建细则,可以单击跳过直接创建。如果诊断失败,查看失败原因及解决方案,请参见云防火墙开启失败原因及解决方案汇总

  3. 配置防火墙VPC网段、主可用区、备用可用区、入侵防御等配置。

    重要

    • 如果您的业务延时敏感,建议主可用区和备可用区选择实际业务的可用区,以便降低延时。

    • 入侵防御设置将应用于同一云企业网下的所有网络实例。

    image

  4. VPC防火墙创建完成后,单击下一步,重新配置引流场景。

  5. 单击下一步,完成VPC防火墙的全部配置,自动开启VPC防火墙。

相关文档

上一篇:防护云企业网TR跨地域场景的VPC之间的流量(手动引流)下一篇:流量分析最佳实践