該功能邀測中,如需使用請聯絡您的阿里雲客戶經理申請。
通過策略路由(PBR, Policy-based Routing)功能,可對進入網路執行個體串連(Attachment)的流量疊加一層基於源 IP / 目的 IP / 協議 / 連接埠 / DSCP 的匹配,命中後跳轉到指定路由表執行轉寄。
應用情境
通用判斷:目的相同、按源決定路徑,或按部分流量做安全/合規重新導向。
情境 A:源 IP 決定專線(生產 / 鏡像分流)
前提:同一 vSwitch 內兩子網,分別需走 VBR-A、VBR-B,目的同為 IDC
10.1.0.0/16。配置:兩條 PBR 規則,分別匹配兩子網 CIDR,跳轉到對應 VBR 的路由表。
進階:雙隧道 ECMP 時配合CEN路由策略(RouteMap) 的
AsPathPrepend實現回程路徑對稱。
情境 B:子網級主備路徑
前提:單 VPC 內兩子網,A/B 兩條專線接入 TR;子網 A 要 A 主 B 備、子網 B 反過來。
配置:建立
vtb-a-primary、vtb-b-primary兩張路由表,各用 RouteMap 把對端 VBR 降權;PBR 把兩子網分別引向對應路由表。進階:主鏈路故障時 BGP 自動收斂到備路徑;回程對稱依賴雙向 RouteMap。
情境 C:跨 VPC 安全引流
前提:Cloud Firewall作為 Attachment 接入 TR,擁有獨立路由表
vtb-firewall。配置:在源 VPC 的 Attachment 上繫結原則表,匹配條件
SourceCidr=10.0.1.0/24, DestinationCidr=10.0.0.0/8,目標vtb-firewall。其餘流量未命中規則,按預設路由表直通。注意:防火牆有狀態,回程也要過牆——對端 Attachment 同樣綁策略表或關聯到走防火牆的路由表。
情境 D:多租戶路徑隔離
前提:多租戶共用同一 VPC/vSwitch,每個租戶走獨立 IPsec 隧道訪問各自 IDC。
配置:每個租戶的 IPsec Attachment 關聯獨立路由表;PBR 按租戶源網段映射到對應路由表。
情境 E:多活架構就近出口
前提:各 AZ 子網及就近專線出口分別為獨立 Attachment(
10.1.1.0/24 → att-vbr-az1、10.1.2.0/24 → att-vbr-az2)。配置:各 AZ 出口獨立路由表;PBR 把每個 AZ 子網映射到對應出口路由表,避免 ECMP 跨 AZ 打散。
進階:出口故障切換可在備路由表中預置跨 AZ fallback 路由,接受降級以保證可用性。
情境 F:合規審計獨立通道
前提:DMZ 區子網
10.2.0.0/24出向流量需走審計通道;審計裝置作為 Attachment,關聯vtb-audit。配置:PBR 匹配 DMZ 源網段,跳轉到
vtb-audit;其他子網不綁或不命中,按預設路由錶轉發。注意:阻斷式審計本質同防火牆,需做回程對稱;鏡像式審計回程影響小。
情境 G:灰階發布流量染色
前提:灰階子網
10.3.100.0/24與正式子網共用 VPC;灰階後端叢集獨立 Attachment,關聯vtb-gray。配置:PBR
SourceCidr=10.3.100.0/24 → vtb-gray,優先順序低於安全/合規規則。注意:網路層只決定路徑,業務版本切換、降級仍需應用程式層配合。
工作原理
流量匹配流程
流量進入網路執行個體串連後先匹配策略路由表中的規則,再查對應路由表,詳細流程為:
報文進入網路執行個體串連(Attachment)
判斷:是否綁定了策略路由表?
是 → 繼續步驟 3
否 → 跳轉到步驟 6
按照優先順序逐條匹配策略路由表中的規則
判斷:是否命中了規則?
是 → 繼續步驟 5
否 → 跳轉到步驟 6
查詢規則指定的目標 TR 路由表 → 跳轉到步驟 7
查詢關聯轉寄綁定的 TR 路由表
轉寄到下一跳
流程說明:
優先順序有序:數值越小優先順序越高,命中即停止匹配。
解耦匹配與轉寄:策略路由表 只決定"走哪張路由表",下一跳由路由表自行解析。
入口級控制:策略表綁定到網路執行個體串連,僅對該入口流入 TR 的流量生效。
規則匹配欄位
策略路由表中的規則包含如下欄位:
欄位 | 必選 | 說明 |
IP地址类型 | 否 |
|
源CIDR | 否 | 源網段,CIDR 格式 |
目的CIDR | 否 | 目的網段,CIDR 格式 |
协议 | 否 |
|
源端口范围 | 否 | 例 |
目的端口范围 | 否 | 同上 |
DSCP | 否 | 匹配IP包到达TR时已经存在的DSCP值,如果不设置则代表匹配所有的DSCP值。 如果在ECS操作系统内或线下IDC中没有设置过DSCP,建议不设置该字段。 |
优先级 | 是 | 1~100,數值越小優先順序越高。 |
转发目标路由表 | 是 | 命中後跳轉的目標路由表 |
使用原則路由
僅需3步:
建立策略路由表
單擊TR的執行個體ID進入詳情頁,切換到策略路由表頁簽,單擊创建策略路由表完成建立。
添加策略路由规则
在剛剛建立的策略路由表的操作列,單擊查看规则。
在策略路由表详情滑窗的策略路由规则頁簽下,單擊添加策略路由规则。
在添加策略路由规则彈窗中,設定:
匹配條件:詳見規則匹配欄位。
优先级:1~100,數值越小優先順序越高。
转发目标路由表:命中規則後跳轉的目標路由表。
支援添加多條規則。
將策略路由表綁定到网络实例连接:
在策略路由表的操作列,單擊绑定管理。
在策略路由表详情滑窗的策略路由规则頁簽下,單擊绑定网络实例连接完成綁定。
綁定完成後,進入網路執行個體串連的流量都會先匹配策略路由规则:
命中規則後查詢對應的目標路由表進行轉寄。
如果未命中規則,那麼流量會直接查詢該網路執行個體串連關聯轉寄的路由表。
管理原則路由
解除綁定策略路由表:在目標策略路由表的操作列單擊绑定管理,然後在目標綁定關係的操作列單擊解绑。
刪除策略路由表:將策略路由表中與所有網路執行個體串連解除綁定後,在目標策略路由表的操作列單擊刪除。
編輯策略路由規則:在目標策略規則的右上方單擊編輯。
只支援編輯名稱和描述,其他欄位(匹配條件、优先级、转发目标路由表)如需編輯,請刪除重建。
刪除策略路由規則:在目標策略規則的右上方單擊刪除。
更多資訊
配額與限制
配額:
配額項 | 預設值 | 是否可申請提升 |
單 TR 執行個體策略表數 ( | 20 | 是,聯絡客戶經理提升 |
單 TR 執行個體策略規則總數 ( | 100 | 是,聯絡客戶經理提升 |
單 Attachment 綁定的策略表數 ( | 1 | 否 |
監控指標
通過CloudMonitor查看(維度:PolicyBasedRouteId):
指標 | 單位 | 語義 |
| packets | 實際匹配的報文數 |
| bps | 匹配流量平均頻寬 |
| Gbytes | 匹配流量累計位元組數 |
常見問題
為什麼我配了規則但沒生效?
依次檢查:
① 策略表是否已綁定到流量入口的 Attachment(前往TR詳情頁的地域内连接管理頁簽,在目標Attachment的的关联路由表列直接確認);
② 規則配置正確,且確保有命中規則的流量產生;
③ 是否有更高優先順序(更小 Priority)的規則先命中;
④ 報文方向:策略路由僅作用於流入 TR 的方向,可通過CloudMonitor的 PolicyBasedRouteHitCount 監控指標確認命中情況。