AI 助理
备案控制台
文档
输入文档关键字查找
首页 专有网络VPC 实践教程 使用IPv4网关集中控制公网访问流量

使用IPv4网关统一公网出入口

更新时间:
产品详情
我的收藏

VPC与公网直接连通时,因未约束公网访问行为可能会发生数据泄漏或遭受DDoS攻击。此时您可以使用IPv4网关集中管控VPC公网访问流量,配置统一的安全策略,从而降低分散接入带来的安全风险。

场景示例

企业数字化转型加速,业务系统与资源部署上云,以利用云服务的便捷性和灵活性。这也为网络管理带来了新挑战。业务部门在拥有资源创建及管理权限的同时,可能会未经严格审批随意为ECS实例配置公网IP,使其获得公网访问能力,从而导致运维部门难以实现对公网访问有效集中地管理。

为解决上述问题,您可以使用IPv4网关作为企业VPC与公网之间的统一出入口,结合自定义路由表和NAT网关等组件,集中控制公网访问流量,有利于实施统一的安全策略和审计,有效降低分散接入带来的安全风险。

本文以下图场景为例。某企业在阿里云华东1(杭州)地域采用公网直接访问的网络架构进行业务部署。为集中控制VPC内云资源的公网访问行为,通过创建IPv4网关、配置指向IPv4网关的路由并激活IPv4网关,将其改造为IPv4网关集中控制架构。

image

注意事项

当您创建IPv4网关后,您需要配置指向IPv4网关的路由,并激活IPv4网关。只有当VPC中的IPv4网关激活成功,且VPC路由表中配置了指向IPv4网关的路由条目时,VPC中的实例才能访问公网:

  • 在激活IPv4网关前不会影响VPC中的资源流量。但在激活过程中可能会导致流量路径切换闪断。

  • 激活IPv4网关时,系统会为选择的路由表添加一条目标网段为0.0.0.0/0的默认路由指向IPv4网关,使关联的交换机具备访问公网的能力,避免因路由未配置导致公网访问不通。

  • 如果选择的路由表已经存在目标网段为0.0.0.0/0的路由条目,无法再添加指向IPv4网关的默认路由,则激活IPv4网关时无法选择该路由表。若与该路由表关联的交换机需要公网访问,建议您做好路由规划。

前提条件

您已按照以下步骤完成场景示例中公网直接访问架构的搭建。

  1. 在华东1(杭州)地域创建VPC,并在VPC创建4个交换机。具体操作,请参见创建和管理专有网络

  2. 创建与交换机3关联的公网NAT网关,访问模式选择稍后配置。具体操作,请参见创建和管理公网NAT网关实例

  3. 在不同交换机内分别部署ECS实例,ECS2选择分配公网IPv4地址,ECS1、ECS3、ECS4不勾选。具体操作,请参见通过控制台使用ECS实例

  4. 创建2个EIP分别与ECS1和公网NAT网关绑定。具体操作,请参见将EIP绑定至ECS实例将EIP绑定至NAT网关

  5. 为公网NAT网关配置SNAT条目,选择ECS/弹性网卡粒度,覆盖ECS3和ECS4,将选择公网IP地址配置为与公网NAT网关绑定的EIP。具体操作,请参见创建SNAT条目

在公网直接访问架构下,您可在VPC基本信息页签,查看到IPv4公网访问模式公网直接访问。各ECS通过直接分配的公网IPv4地址或绑定的EIP实现公网访问。

操作步骤

您需要创建并激活IPv4网关以集中控制VPC内云资源的公网访问行为,将公网直通架构改造为IPv4网关集中控制架构,帮助阻止潜在的危险访问。

步骤一:配置路由表

  1. 登录专有网络管理控制台

  2. 创建4张路由表分别与4个交换机绑定。

  3. 在与交换机4绑定的路由表中添加目标网段为0.0.0.0/0,下一跳为公网NAT网关的自定义路由条目。

说明

由于未配置路由表即激活IPv4网关会导致VPC丧失公网访问能力,您需先进行路由表配置。

步骤二:创建并激活IPv4网关

  1. IPv4网关页面,单击创建IPv4网关

  2. 创建IPv4网关配置向导,配置以下信息,单击创建

    • 专有网络:选择IPv4网关所属的专有网络。

  3. 激活IPv4网关配置向导,选择与交换机1和交换机3绑定的路由表,单击激活

    您选择了交换机中存在NAT网关实例与绑定了EIP的实例所属的路由表,系统会自动为其添加一条目标网段为0.0.0.0/0的默认路由指向IPv4网关,使关联的交换机具备访问公网的能力,避免因路由未配置导致公网访问不通。

步骤三:结果验证

  • 您可在VPC基本信息页签,查看到IPv4公网访问模式公网直接访问切换为IPv4网关集中控制

  • 登录各ECS实例,验证其公网访问能力。经测试,仅ECS2实例无法访问公网。

    ECS2所在交换机为私有交换机,由于其路由表中未配置指向IPv4网关的路由,即便ECS2分配了公网IPv4地址,也无法与互联网通信。

    ipv4.png

相关文档

  • 如果您需要了解IPv4网关的概念、支持地域、使用限制以及具体操作,请参见IPv4网关

  • 如果同一交换机内存在直接访问公网的ECS和通过公网NAT网关访问公网的ECS,当需要开启IPv4网关集中控制公网访问流量时,您可以通过新建公网NAT网关和保留原有公网NAT网关的方式。更多内容,请参见如何在已有公网NAT网关的VPC中开启IPv4网关

  • 如果您创建了IPv4/IPv6双栈VPC,且需要集中控制公网访问行为时,您需要IPv4网关/IPv6网关分别实现对IPv4/IPv6流量的集中控制。更多内容,请参见如何实现VPC内云资源与IPv6互联网互通

上一篇:VPC内如何使用云产品?下一篇:使用IPv4网关实现公网私用
文档推荐