如果您在本地IDC或VPC使用了非RFC 1918规定的私有网段,例如30.0.0.0/16,当与其他VPC建立网络连接时,由于VPC默认将RFC 1918之外的IP地址空间视为公网网段,当VPC中的云产品资源具备公网访问能力后,即使配置了目标网段为 30.0.0.0/16 的路由指向本地IDC或VPC,依旧优先访问公网,无法访问目标本地IDC或VPC。为了确保流量能够准确无误地到达目标,您可以使用IPv4网关,对使用的网段进行精确的流量导向控制以实现公网私用,避免非预期的公网暴露,增强网络的安全性。
场景示例
某企业在阿里云华东1(杭州)地域创建了VPC1和VPC2,其中VPC2使用了非RFC 1918规定的私有网段30.0.0.0/16。企业通过建立对等连接以实现VPC1与VPC2之间的网络互通。然而,在此配置下,绑定了EIP的ECS1尝试访问ECS2时,由于VPC默认将RFC 1918之外的IP地址空间视为公网网段,ECS1具备公网访问能力且未被公网流量网关集中控制,流量将优先导向公网,而非预期的内部网络。为保证流量在网络间的正确传输,企业可创建IPv4网关、配置指向IPv4网关的路由并激活IPv4网关,实现公网私用。
注意事项
当您创建IPv4网关后,您需要配置指向IPv4网关的路由,并激活IPv4网关。只有当VPC中的IPv4网关激活成功,且VPC路由表中配置了指向IPv4网关的路由条目时,VPC中的实例才能访问公网:
在激活IPv4网关前不会影响VPC中的资源流量。但在激活过程中可能会导致流量路径切换闪断。
激活IPv4网关时,系统会为选择的路由表添加一条目标网段为
0.0.0.0/0的默认路由指向IPv4网关,使关联的交换机具备访问公网的能力,避免因路由未配置导致公网访问不通。如果选择的路由表已经存在目标网段为
0.0.0.0/0的路由条目,无法再添加指向IPv4网关的默认路由,则激活IPv4网关时无法选择该路由表。若与该路由表关联的交换机需要公网访问,建议您做好路由规划。
前提条件
已在华东1(杭州)地域创建网段为
10.0.0.0/16的VPC1与网段为30.0.0.0/16的VPC2。具体操作,请参见创建和管理专有网络。已创建2台ECS实例ECS1、ECS2。具体操作,请参见通过控制台使用ECS实例。
已创建EIP,并与ECS1绑定。具体操作,请参见将EIP绑定至ECS实例。
已创建VPC对等连接,VPC1和VPC2分别为发起端和接收端,并在对等连接的两端添加指向对端的路由条目以管理流量。具体操作,请参见创建和管理VPC对等连接。
已创建自定义路由表与交换机1绑定,并配置目标网段为
30.0.0.0/16的路由指向对等连接。具体操作,请参见创建和管理路由表。已创建自定义路由表与交换机2绑定,并配置目标网段为
10.0.0.0/16的路由指向对等连接。
操作步骤
步骤一:创建IPv4网关
- 登录专有网络管理控制台。
在左侧导航栏,单击IPv4网关。
在顶部菜单栏处,选择IPv4网关的地域。
在IPv4网关页面,单击创建IPv4网关。
在创建IPv4网关配置向导,配置以下信息,然后单击创建。
专有网络:选择IPv4网关所属的专有网络,本文选择VPC1。
步骤二:激活IPv4网关
在激活IPv4网关配置向导,选择与交换机1绑定的路由表,单击激活。系统会自动添加一条目标网段为0.0.0.0/0的默认路由指向IPv4网关。
步骤三:结果验证
使用网络智能服务NIS,进行VPC对等连接路径分析。
在专有网络管理控制台的VPC对等连接页面,找到目标VPC对等连接实例,在目标实例的诊断列选择,配置以下参数。
源:选择源类型。本文选择ECS实例ID类型,选择ECS1实例。
目的:选择目的类型。本文选择ECS实例ID类型,选择ECS2实例。
协议:选择检测的协议类型。本文使用ICMP协议。
经测试,VPC2使用了非RFC 1918规定的私有网段30.0.0.0/16,绑定了EIP的ECS1尝试访问ECS2时,流量被导向公网。创建并激活IPv4网关后实现公网私用,流量准确无误地到达目标。
相关文档
如果您需要了解IPv4网关的概念、支持地域、使用限制以及具体操作,请参见IPv4网关。