文档

IPv4网关概述

更新时间:

IPv4网关是连接专有网络 VPC和公网的网络组件。您可以使用IPv4网关结合子网路由的能力实现公网访问集中控制,以及将访问公网的流量引流至虚拟防火墙,实现安全防护。本文介绍IPv4网关的基本功能、使用场景及限制等信息。

功能发布及地域支持情况

默认开通IPv4网关功能的地域如下表所示。

区域

支持的IPv4网关的地域

亚太

华东1(杭州)华东2(上海)华东5 (南京-本地地域华北1(青岛)华北2(北京)华北3(张家口)华北5(呼和浩特)华北6(乌兰察布)华南1(深圳)华南2(河源)华南3(广州)西南1(成都)中国香港华中1(武汉-本地地域)华东6(福州-本地地域)日本(东京)韩国(首尔)新加坡澳大利亚(悉尼)马来西亚(吉隆坡)印度尼西亚(雅加达)菲律宾(马尼拉)泰国(曼谷)印度(孟买)

欧洲与美洲

德国(法兰克福)英国(伦敦)美国(硅谷)美国(弗吉尼亚)

中东

阿联酋(迪拜)沙特(利雅得)

重要

沙特(利雅得)地域由合作伙伴运营。

功能简介

IPv4网关具有以下功能。

  • 作为VPC路由表中的路由下一跳,控制VPC访问公网的目的地址范围。

  • 为VPC中分配了IPv4公网地址的网络资源(例如弹性网卡、ECS等),提供网络地址转换功能。

使用场景

公网访问集中控制

云服务器ECS(Elastic Compute Service)拥有了公网IP(例如固定公网IP或者EIP),可以直接访问公网,不受VPC路由表控制。为了降低ECS直接访问公网可能带来的安全管控风险,您可以使用IPv4网关及子网路由能力,对VPC中访问公网的行为进行约束,根据需求使得子网具备访问公网的能力或者不具备访问公网的能力。公网访问控制如上图场景所示,具体配置流程如下:

  1. 在VPC中创建IPv4网关。具体操作,请参见创建和管理IPv4网关

  2. 在交换机1中创建公网NAT网关,并为交换机1创建自定义路由表(子网路由表-1),该路由表的默认路由条目(0.0.0.0/0)指向IPv4网关。

  3. 为交换机2和交换机3创建自定义路由表(子网路由表-2),该路由表的默认路由条目(0.0.0.0/0)指向公网NAT网关。

  4. 激活IPv4网关,使IPv4网关生效。

    激活IPv4网关后,VPC路由表中未配置指向IPv4网关的路由条目,则与该路由表关联的子网不具备访问公网能力,被称为私网子网;VPC路由表中配置指向IPv4网关的路由条目,与该路由表关联子网具备访问公网的能力,被称为公网子网。

入方向路由策略控制

IPv4网关结合子网路由能力,可以将访问公网的流量引流至虚拟防火墙(例如云防火墙)做安全防护。IPv4虚拟防火墙如上图场景所示,以绑定EIP的ECS实例与公网之间的流量经过防火墙为例,说明路由配置步骤。

  1. 在指定VPC中创建IPv4网关。

  2. 为虚拟防火墙规划独立的交换机并独立绑定一张自定义路由表,该路由表的默认路由条目(0.0.0.0/0)指向IPv4网关,使得虚拟防火墙所在交换机具备访问公网的能力。

  3. 为应用服务规划独立的交换机并独立绑定一张自定义路由表,该路由表的默认路由条目(0.0.0.0/0)指向虚拟防火墙的弹性网卡。

  4. 在VPC中新建一张自定义路由表并绑定IPv4网关,用来对公网入方向的流量进行路由控制,此路由表被称为网关路由表。将网关路由表中指向应用服务所在交换机网段的路由条目的下一跳修改为虚拟防火墙的弹性网卡。

使用限制

功能限制

  • IPv4网关当前仅支持IPv4流量。

  • IPv4网关是地域级别的资源,只能在同一个地域中使用。

  • 一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。

  • 只有激活成功的IPv4网关才具有公网访问能力。

  • 一个IPv4网关仅能绑定一张网关路由表。

  • IPv4网关不能绑定系统路由表。

  • 已绑定交换机的路由表不能与IPv4网关绑定。

  • 网关路由表不支持配置自定义路由条目,但可以修改网关路由表中路由条目的下一跳类型。

    路由条目的下一跳类型支持修改为Local、弹性网卡或ECS实例。当路由条目的下一跳类型为弹性网卡或ECS实例时,需要先将下一跳类型修改为Local,然后再将下一跳类型修改为弹性网卡或ECS实例之后修改具体的下一跳实例。不支持当下一跳类型为弹性网卡或ECS实例时,直接修改下一跳为其他的弹性网卡或ECS实例。

  • VPC内包含以下资源时,不支持创建IPv4网关。

注意事项

  • 在VPC内创建IPv4网关,需要激活才能生效,激活后VPC内访问公网行为受IPv4网关控制。为了避免激活IPv4网关造成的流量中断,需要在VPC路由表中配置默认路由(0.0.0.0)或者更明细公网地址段指向IPv4网关。

  • 只要VPC创建过IPv4网关并且激活过,那么该VPC访问公网的行为将会受IPv4网关控制,必须将到公网地址的路由指向IPv4网关,才能访问公网。

配额限制

配额名称

描述

默认限制

提升配额

单个VPC支持的IPv4网关个数

1个

无法提升

单个IPv4网关支持的网关路由表个数

1个