IPv4网关是连接专有网络 VPC和公网的网络组件。您可以使用IPv4网关结合子网路由的能力实现公网访问集中控制,以及将访问公网的流量引流至虚拟防火墙,实现安全防护。本文介绍IPv4网关的基本功能、使用场景及限制等信息。
功能发布及地域支持情况
默认开通IPv4网关功能的地域如下表所示。
区域 | 支持的IPv4网关的地域 |
亚太 | 华东1(杭州)、华东2(上海)、华东5 (南京-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华中1(武汉-本地地域)、华东6(福州-本地地域)、日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 阿联酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴运营。 |
功能简介
IPv4网关具有以下功能。
作为VPC路由表中的路由下一跳,控制VPC访问公网的目的地址范围。
为VPC中分配了IPv4公网地址的网络资源(例如弹性网卡、ECS等),提供网络地址转换功能。
使用场景
公网访问集中控制
云服务器ECS通过固定公网IP、弹性公网IP或者公网NAT网关,可以直接访问公网。为了降低ECS直接访问公网可能带来的安全管控风险,您可以使用IPv4网关及子网路由能力,对VPC中访问公网的行为进行约束,根据需求使得子网具备访问公网的能力或者不具备访问公网的能力。
如上图场景所示,具体配置流程如下:
在交换机1中创建公网NAT网关,并为交换机1创建自定义路由表(子网路由表-1)。
在VPC中创建IPv4网关,选择子网路由表-1,该路由表的默认路由条目(0.0.0.0/0)指向IPv4网关,然后激活IPv4网关。
为交换机2和交换机3创建自定义路由表(子网路由表-2),该路由表的默认路由条目(0.0.0.0/0)指向公网NAT网关。
说明激活IPv4网关后:
如果VPC路由表没有配置指向IPv4网关的路由,则与该路由表关联的交换机中的资源无法直接访问公网。但这些资源可以通过公网NAT网关访问公网。这种交换机被称为私有交换机(如上图交换机2和交换机3)。关联的子网路由表-2中没有默认路由指向IPv4网关。
如果在VPC路由表中配置指向IPv4网关的路由,则与该路由表关联的交换机中的资源具备直接访问公网的能力,这种交换机被称为公有交换机(如上图交换机1)。关联的子网路由表-1中的默认路由条目(0.0.0.0/0)指向IPv4网关。
入方向路由策略控制
IPv4网关结合子网路由能力,可以将访问公网的流量引流至虚拟防火墙(例如云防火墙)做安全防护。
如上图场景所示,以绑定EIP的ECS实例与公网之间的流量经过防火墙为例,说明路由配置步骤。
为虚拟防火墙规划独立的交换机并独立绑定一张自定义路由表(子网路由表-1)。
在VPC中创建IPv4网关,选择子网路由表-1,该路由表的默认路由条目(0.0.0.0/0)指向IPv4网关,然后激活IPv4网关。使得虚拟防火墙所在交换机具备访问公网的能力。
为应用服务规划独立的交换机并独立绑定一张自定义路由表,该路由表的默认路由条目(0.0.0.0/0)指向虚拟防火墙的弹性网卡。
在VPC中新建一张自定义路由表并绑定IPv4网关,用来对公网入方向的流量进行路由控制,此路由表被称为网关路由表。将网关路由表中指向应用服务所在交换机网段的路由条目的下一跳修改为虚拟防火墙的弹性网卡。
使用限制
功能限制
IPv4网关当前仅支持IPv4流量。
IPv4网关是地域级别的资源,只能在同一个地域中使用。
一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。
一个IPv4网关仅能绑定一张网关路由表。
IPv4网关不能绑定系统路由表。
已绑定交换机的路由表不能与IPv4网关绑定。
如下场景不支持创建IPv4网关。
VPC内存在网卡可见模式的EIP资源。关于EIP网卡可见模式,请参见以EIP网卡可见模式绑定辅助弹性网卡(不推荐)。
VPC下的公网NAT网关不兼容IPv4网关时,不支持创建IPv4网关。若需要公网NAT网关兼容IPv4网关,您可以切换公网NAT网关的模式,使其兼容IPv4网关。具体操作,请参见切换公网NAT网关模式。
共享VPC不支持创建IPv4网关。
通过弹性公网IP或者任播弹性公网IP绑定私网传统型负载均衡CLB时,公网主动访问的流量不受IPv4网关的限制。
配额限制
配额名称 | 描述 | 默认限制 | 提升配额 |
无 | 单个VPC支持的IPv4网关个数 | 1个 | 无法提升 |
单个IPv4网关支持的网关路由表个数 | 1个 |