操作场景
云防火墙开关提供 VPC 间防火墙开关功能,通过建立防火墙来承载不同 VPC 之间的访问流量,提供访问控制规则和日志审计系统。
当前版本的 VPC 间防火墙支持专线网关的防护,基于防火墙实例支持 CCN 多路由云联网模式,专线网关通过云联网与云上 VPC 资产建立连接,那么VPC间防火墙支持对这部分流量进行检测。
本文将介绍如何在 VPC 间开关页面,创建防火墙、查看带宽使用情况、规格信息以及查看网络拓扑和防火墙开关等操作。
架构简介
在系统使用此功能前,您需要先大概了解下 VPC 间防火墙的构成。
1个 VPC 间防火墙由多个防火墙实例组成,每个防火墙实例负责接入不同的 VPC 并打通与防火墙之间的网络连接。
VPC 间防火墙本质是通过修改 VPC 的路由实现将流量牵引至防火墙。防火墙实例之间是否互通,取决于不同实例之间接入的 VPC 是否存在可达路由通路,防火墙不会打通基础网络。防火墙打通网络的方式可通过修改私有网络的路由表下一跳或云联网多路由表实现。
VPC 间防火墙的异常场景说明
VPC 间防火墙在开启和关闭开关时,涉及后台自动修改您的路由策略,导致在一个极短的时间内会出现网络闪断,为不影响您的业务,请您合理安排操作 VPC 间防火墙开关的时间。如果需要进行批量或频繁的开关操作,建议在业务流量较小的深夜进行。
说明:
互联网边界防火墙的开关不存在类似问题。
VPC 间防火墙开关建立在 VPC 间的对等连接(或云联网)之上,若您变更(或删除)了对等连接(或云联网)的配置,则防火墙开关也会自动对应变更(或删除)。为了不影响您的业务,云防火墙只会对状态为关闭的开关立即执行变更(或删除)。
说明:
若您的云上资产有所变更(或删除),互联网边界防火墙开关会在短时间内(5分钟左右)自动同步。
若 VPC 间没有正在启用的路由,则防火墙开关无法开启。
云防火墙开关开启状态下,在 私有网络控制台 手动变更对应 VPC 路由表属于高危操作,由于云防火墙无法同步路由的变更,可能导致防火墙失效,网络连接中断。
云防火墙开关关闭状态下,您可以根据需要切换 VPC 间的其他对等连接(或云联网)路由,但请勿启用备注信息为“防火墙”的路由,否则将导致网络连接中断,防火墙开关故障。
相关信息
如需对所持有的公网 IP 以及关联的云上资产,配置对应的防火墙开关,可参见 互联网边界防火墙开关 进行操作。
如需对内网资产进行流量管控与安全防护,或基于 SNAT、DNAT 进行的网络流量转发,可参见 NAT 边界防火墙开关 进行操作。
如遇到 VPC 间防火墙相关问题,可参见 VPC 间防火墙 文档。