IPv4网关概述
IPv4网关是连接专有网络VPC(Virtual Private Cloud)和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。
功能发布及地域支持情况
默认开通IPv4网关功能的地域如下表所示。
区域 | 支持IPv4网关的地域 |
亚太-中国 | 华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华北6(乌兰察布)、华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港 |
亚太-其他 | 日本(东京)、韩国(首尔)、新加坡、澳大利亚(悉尼)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、印度(孟买) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 阿联酋(迪拜) |
功能简介
IPv4网关具有以下功能。
作为VPC路由表中的路由下一跳,控制VPC访问公网的目的地址范围。
为VPC中分配了IPv4公网地址的网络资源(例如弹性网卡、ECS等),提供网络地址转换功能。
使用场景
公网访问集中控制
云服务器ECS(Elastic Compute Service)拥有了公网IP(例如固定公网IP或者EIP),可以直接访问公网,不受VPC路由表控制。为了降低ECS直接访问公网可能带来的安全管控风险,您可以使用IPv4网关及子网路由能力,对VPC中访问公网的行为进行约束,根据需求使得子网具备访问公网的能力或者不具备访问公网的能力。
如上图场景所示,具体配置流程如下:
在VPC中创建IPv4网关。具体操作,请参见创建IPv4网关并关联VPC。
在交换机1中创建公网NAT网关,并为交换机1创建自定义路由表(子网路由表-1),该路由表的默认路由条目(0.0.0.0/0)指向IPv4网关。
为交换机2和交换机3创建自定义路由表(子网路由表-2),该路由表的默认路由条目(0.0.0.0/0)指向公网NAT网关。
激活IPv4网关,使IPv4网关生效。
激活IPv4网关后,VPC路由表中未配置指向IPv4网关的路由条目,则与该路由表关联的子网不具备访问公网能力,被称为私网子网;VPC路由表中配置指向IPv4网关的路由条目,与该路由表关联子网具备访问公网的能力,被称为公网子网。
入方向路由策略控制
IPv4网关结合子网路由能力,可以将访问公网的流量引流至虚拟防火墙(例如云防火墙)做安全防护。
如上图场景所示,以绑定EIP的ECS实例与公网之间的流量经过防火墙为例,说明路由配置步骤。
在指定VPC中创建IPv4网关。
为虚拟防火墙规划独立的交换机并独立绑定一张自定义路由表,该路由表的默认路由条目(0.0.0.0/0)指向IPv4网关,使得虚拟防火墙所在交换机具备访问公网的能力。
为应用服务规划独立的交换机并独立绑定一张自定义路由表,该路由表的默认路由条目(0.0.0.0/0)指向虚拟防火墙的弹性网卡。
在VPC中新建一张自定义路由表并绑定IPv4网关,用来对公网入方向的流量进行路由控制,此路由表被称为网关路由表。将网关路由表中指向应用服务所在交换机网段的路由条目的下一跳修改为虚拟防火墙的弹性网卡。
使用限制
功能限制
IPv4网关当前仅支持IPv4流量。
IPv4网关是地域级别的资源,只能在同一个地域中使用。
一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。
只有激活成功的IPv4网关才具有公网访问能力。
一个IPv4网关仅能绑定一张网关路由表。
IPv4网关不能绑定系统路由表。
已绑定交换机的路由表不能与IPv4网关绑定。
网关路由表不支持配置自定义路由条目,但可以修改网关路由表中路由条目的下一跳类型。
路由条目的下一跳类型支持修改为Local、弹性网卡或ECS实例。当路由条目的下一跳类型为弹性网卡或ECS实例时,需要先将下一跳类型修改为Local,然后再将下一跳类型修改为弹性网卡或ECS实例之后修改具体的下一跳实例。不支持当下一跳类型为弹性网卡或ECS实例时,直接修改下一跳为其他的弹性网卡或ECS实例。
VPC内包含以下资源时,不支持创建IPv4网关。
VPC内存在网卡可见模式的EIP资源。关于EIP网卡可见模式,请参见以EIP网卡可见模式绑定辅助弹性网卡(不推荐)。
注意事项
在VPC内创建IPv4网关,需要激活才能生效,激活后VPC内访问公网行为受IPv4网关控制。为了避免激活IPv4网关造成的流量中断,需要在VPC路由表中配置默认路由(0.0.0.0)或者更明细公网地址段指向IPv4网关。
只要VPC创建过IPv4网关并且激活过,那么该VPC访问公网的行为将会受IPv4网关控制,必须将到公网地址的路由指向IPv4网关,才能访问公网。
配额限制
资源 | 默认限制 | 提升配额 |
单个VPC支持的IPv4网关个数 | 1个 | 无法提升 |
单个IPv4网关支持的网关路由表个数 | 1个 |
