本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
默认情况下VPC内的资源通过绑定公网IP即可与公网直接进行IPv4通信,企业可能会存在未经运维部门管控的公网访问方式(例如业务部门随意为ECS实例配置公网IP),这为企业网络管理带来安全风险。您可使用IPv4网关,通过路由表控制公网访问流量统一经过IPv4网关,降低分散接入带来的安全风险。
功能介绍
IPv4网关是VPC边界上的公网IPv4流量控制组件。
IPv4网关在VPC中的位置
先了解VPC的如下组件,有助于您更好地理解IPv4网关。
公网IPv4地址:可以通过互联网直接访问的IPv4地址,它们是全球唯一的,可以在全球范围内访问。阿里云当前提供2种类型的公网IPv4地址:
固定公网IP:随ECS/CLB等实例一起创建与删除的公网IP地址,与实例强绑定并且创建后无法更换,无法满足灵活解绑与管理的需求。
弹性公网IP:即EIP,是独立的公网IP地址资源,可以动态解绑/绑定,满足灵活管理的要求。
公网NAT网关:VPC内的网络地址转换设备,通过绑定EIP提供公网访问能力,实现VPC私网IPv4地址与公网IPv4地址(即EIP)的转换,可以避免直接暴露VPC内资源真实IP地址,实现与公网安全通信。VPC内资源可以通过NAT网关主动访问公网,也可以通过NAT网关对外提供公网访问服务。
负载均衡:VPC内的应用流量分发服务,通过绑定公网IP提供公网访问能力,通过将流量分发到不同的后端服务器来扩展应用系统的吞吐能力,消除系统单点故障,提升应用系统的可用性。VPC内资源只能通过负载均衡对外提供公网访问服务,不能通过负载均衡主动访问公网。
结合下方VPC公网入向流量与出向流量典型架构示意图,您可以看出,IPv4网关用于统一管控公网访问流量,是VPC边界的公网流量网关,与公网IP地址、NAT网关、负载均衡存在明显的区别。
为什么使用IPv4网关
对比项 | 公网直接访问(VPC默认情况) | 使用IPv4网关集中控制 |
对比项 | 公网直接访问(VPC默认情况) | 使用IPv4网关集中控制 |
示例 | 不使用IPv4网关,ECS通过固定公网IP/弹性公网IP/公网NAT网关直接访问公网。 | 使用IPv4网关统一公网出入口,集中管控出入VPC的公网流量。 |
适用场景 | 少量ECS需具备独立、直接的公网访问能力。 适用于公网访问需求频繁变化的场景。 | 适用于大规模、多层级网络架构。 对网络安全合规性有严格要求的企业级环境。 |
操作复杂度 | 操作简便快捷,无需进行路由配置。 | 需要进行网络规划以及路由规则配置。 |
灵活性 | 每个实例独立操作,互不影响。 | 网络策略的变更会影响VPC内所有实例。 |
安全性 | 安全防护主要依赖于实例自身的安全组规则配置。 | IPv4网关集中管控模式保障网络策略的一致性与整体安全性。 |
IPv4网关使用限制
使用范围:
IPv4网关是地域级别的资源,只能在同一个地域中使用。
关联资源限制:
一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。
IPv4网关仅能绑定网关路由表(即边界网关类型的路由表)。同时网关路由表与IPv4网关一对一绑定。
如下流量不受IPv4网关的限制:
通过弹性公网IP或者任播弹性公网IP绑定私网传统型负载均衡CLB时,公网回包的流量不受IPv4网关的限制。
区域 | 支持IPv4网关的地域 |
亚太-中国 | 华东1(杭州)、华东2(上海)、华东5 (南京-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华中1(武汉-本地地域)、华东6(福州-本地地域) |
亚太-其他 | 日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 阿联酋(迪拜)、沙特(利雅得) 沙特(利雅得)地域由合作伙伴运营。 |
使用IPv4网关
IPv4网关工作模式切换逻辑
IPv4网关创建后需要先激活,方可统一管控公网流量。IPv4网关的工作模式不同,决定了VPC是否可以访问公网以及是否集中管控公网流量。
您可参考下图了解IPv4网关工作模式与切换逻辑:
在激活IPv4网关之前,VPC内的网络流量不会受到影响。但在激活过程中,可能会因流量路径切换导致短暂的网络中断。
场景示例
此处以VPC中2台ECS公网访问作为示例,简单演示IPv4网关使用过程。
公网访问现状 | 目标需求 |
公网访问现状 | 目标需求 |
VPC内的2个ECS,均可以通过绑定弹性公网IP主动进行公网访问,或者对外提供公网服务。 |
|
 | |
您需要在您希望使用IPv4网关的地域中已经创建好VPC、ECS、EIP,并且VPC未关联IPv4网关。
步骤一:创建并激活IPv4网关
如下场景不支持创建IPv4网关:
VPC内存在EIP网卡可见模式的EIP资源。
VPC下的公网NAT网关不兼容IPv4网关时,不支持创建IPv4网关。若需要公网NAT网关兼容IPv4网关,您可以切换公网NAT网关模式,使其兼容IPv4网关。
共享VPC不支持创建IPv4网关。
登录IPv4网关控制台,顶部菜单栏选择需要创建IPv4网关的地域。
单击创建IPv4网关,选择对应的VPC,并单击创建。
选择ECS所在交换机所绑定的路由表(如果交换机路由表不同则勾选多个),单击激活。
激活时,系统会为您选择的交换机路由表添加一条
0.0.0.0/0的默认路由指向IPv4网关,使得路由表关联的交换机具备公网访问能力。如果当前路由表已经存在目标网段为0.0.0.0/0的默认路由,则无法再添加IPv4网关的默认路由。在激活IPv4网关之前,VPC内的网络流量不会受到影响。但在激活过程中,可能会因流量路径切换导致短暂的网络中断。
完成IPv4网关激活与交换机路由表配置。
此时,您的VPC已创建并激活IPv4网关,可以测试IPv4网关的效果。
由于交换机的路由表中均含有
0.0.0.0/0的指向IPv4网关的路由,因此您对应交换机内的ECS实例均可以主动访问公网。您可以使用ping aliyun.com命令进行测试,网络连通。由于IPv4网关没有指向VPC内的路由,因此公网访问VPC内ECS的流量将会被丢弃。您可以在公网客户端,使用
ping ECS地址命令进行测试,网络不连通。
步骤二:配置公网入方向路由
IPv4网关的公网入方向路由,通过网关路由表进行控制。
创建网关路由表。
绑定对象类型为边界网关的路由表叫做网关路由表。
登录路由表控制台,顶部菜单栏选择需要创建网关路由表的地域。
单击创建路由表,选择对应的VPC,绑定对象类型选择边界网关,配置路由表名称并单击确定。
配置网关路由。
在路由表页面,找到已创建的网关路由表,单击路由表ID。
找到页签,可以查看到系统路由条目。VPC内每个交换机都会在网关路由表中自动生成1条系统路由条目。
编辑目标网段指向ECS所在的交换机的2条路由条目,将下一跳设置为对应的ECS实例。
配置完成后,这两条系统路由条目将转化为自定义路由条目。确认路由条目状态为可用。
绑定网关路由表至IPv4网关。
在网关路由表详情页,绑定边界网关。
绑定完成后,确认边界网关状态为可用。
验证公网入向流量访问。
您可以在公网客户端,使用
ping ECS地址命令进行测试。网络连通。您可以在公网客户端,使用
ping VPC内其他地址命令进行测试。网络不连通。
更多操作
调整公网入方向路由
IPv4网关的公网入方向路由,通过网关路由表进行控制。
因此,您可以通过调整网关路由表的系统路由条目,调整公网入方向路由。
网关路由表仅允许修改系统路由,不支持创建自定义路由条目。
网关路由表编辑系统路由信息并成功保存后,将会转化为自定义路由条目;删除后可转化为系统路由条目。
编辑网络路由表的系统路由条目时,下一跳类型的说明与建议如下:
Local:交换机内部所有IP地址均可被访问。
ECS实例/弹性网卡:交换机内部指定实例或网卡可被访问。常用于公网流量安全引流到特定ECS实例或弹性网卡。如果需要更换ECS实例或弹性网卡,需要先删除路由条目再重新编辑系统路由信息,无法直接替换。
网关型负载均衡终端节点:交换机内部指定终端节点可被访问。用于GWLB场景的第三方安全设备公网流量引流。
调整公网出方向路由
IPv4网关的公网出方向路由,通过交换机路由表进行控制。
当交换机路由表有路由条目下一跳为IPv4网关时,则对应路由条目地址的请求可以访问公网。这种有指向IPv4网关的路由的交换机,称之为公有交换机;反之则称为私有交换机。
删除IPv4网关
删除前需要先解绑网关路由表。
删除时需要选择删除模式,删除模式影响VPC的公网访问形态,详情可参考IPv4网关工作模式切换逻辑。
删除IPv4网关选择私网模式时,您需要先删除VPC路由表中所有指向IPv4网关的路由条目,方可进行配置。
选择私网模式删除后,VPC内部所有资源将全部无法与公网互通。请谨慎操作!
删除IPv4网关选择公网模式时,系统会自动删除所有指向IPv4网关的路由条目。如果您需要回退到VPC初始状态(实例绑定公网IP即可访问公网),您可以选择公网模式。
IPv4网关最佳实践
企业可能会存在未经运维部门管控的公网访问方式(例如业务部门随意为ECS实例配置公网IP),这为企业网络管理带来安全风险。
您可通过IPv4网关,将网络架构改造为IPv4网关集中控制架构,通过路由表控制公网访问流量统一经过IPv4网关,有利于实施统一的安全策略和审计,降低分散接入带来的安全风险。
架构改造示例:
详细方案您可参考使用IPv4网关集中控制公网访问流量。
部分企业在本地IDC或VPC使用了非RFC 1918规定的私有网段,例如30.0.0.0/16。当与其他VPC或本地IDC建立网络连接时,由于VPC默认将RFC 1918之外的IP地址视为公网网段,VPC中云产品资源具备公网访问能力后,即便配置了指向30.0.0.0/16的路由条目指向本地IDC或VPC,依旧优先访问公网,无法访问目标VPC或本地IDC。
您可通过使用IPv4网关,集中控制VPC公网访问行为,访问30.0.0.0/16时将优先路由到其他VPC或本地IDC。
架构改造示例:
详细方案您可参考使用IPv4网关实现公网私用。
单点架构
部分企业会在VPC内部署第三方安全设备,用于公网出入方向的流量清洗。
您可以使用IPv4网关结合路由表在出入方向进行流量安全引流,将公网出入向流量导向安全设备进行深度检测与过滤,防止恶意攻击和未经授权的访问,实现安全防护。
GWLB高可用架构
单点架构时,如果第三方设备故障将影响业务系统整体可用性。您可以使用网关型负载均衡GWLB,将第三方安全设备进行高可用部署,消除单点故障。
在该场景下,使用IPv4网关结合路由表将公网流量引流至网关型终端节点GWLBe,GWLBe通过私网连接PrivateLink实现与GWLB互联,并将流量传输至第三方安全设备进行安全处理,流量清洗完成后再传输给应用服务器或公网客户端。
架构示例:
IPv4公网流量入方向路径 | IPv4公网流量出方向路径 |
|
|
详细方案您可参考通过GWLB快速实现IPv4流量的安全检测。
常见问题
IPv4网关和公网NAT网关有什么区别?
网络组件 | IPv4网关 | 公网NAT网关 |
网络组件 | IPv4网关 | 公网NAT网关 |
功能定位 | VPC边界上的公网IPv4流量控制组件 | VPC内部的网络地址转换设备 |
使用场景 | 公网流量集中控制 | 统一公网流量出口 |
是否提供公网访问能力 | 不提供。是流量控制组件 | 通过绑定EIP提供公网访问能力 (公网访问能力是由EIP提供的,NAT网关本身不提供公网访问能力) |
IPv4网关和公网NAT网关功能并无交叉,二者可以搭配同时使用。
您可参考IPv4网关在VPC中的位置,详细了解相关网络组件之间的关系。
开启IPv4网关的VPC如何恢复到VPC初始状态?
如果您需要回退到VPC初始状态(例如ECS实例绑定公网IP即可访问公网),您可以删除IPv4网关,删除时选择删除模式为公网模式。
删除模式影响VPC的公网访问形态,详情可参考IPv4网关工作模式切换逻辑。
IPv4网关收费吗?
IPv4网关本身不收取费用。
公网流量费用是由公网IP收取,例如EIP或ECS/CLB固定公网IP,详情参考对应产品计费文档。
IPv6流量如何管控?
IPv4网关是VPC边界上的公网IPv4流量控制组件。如果需要集中管控IPv6流量,您需要使用IPv6网关。
相关文档
您可以通过调用以下API来管理IPv4网关:
- 本页导读 (1)
- 功能介绍
- IPv4网关在VPC中的位置
- 为什么使用IPv4网关
- IPv4网关使用限制
- 使用IPv4网关
- IPv4网关工作模式切换逻辑
- 场景示例
- 步骤一:创建并激活IPv4网关
- 步骤二:配置公网入方向路由
- 更多操作
- IPv4网关最佳实践
- 常见问题
- IPv4网关和公网NAT网关有什么区别?
- 开启IPv4网关的VPC如何恢复到VPC初始状态?
- IPv4网关收费吗?
- IPv6流量如何管控?
- 相关文档
