全部產品
Search

搜尋本產品

    Cloud Firewall:VPC邊界防火牆遷移可用性區域最佳實務

    文件中心

    Cloud Firewall:VPC邊界防火牆遷移可用性區域最佳實務

    更新時間:Mar 15, 2025

    本文介紹了VPC邊界防火牆從預設可用性區域(雙活AZ架構)遷移至指定主備可用性區域(主備AZ架構)的部署方案,以減少流量跨可用性區域運行導致的延遲問題。

    情境樣本

    某企業在新加坡地區建立VPC防火牆時主、備可用性區域選擇了如圖所示的默认(自动分配)選項。

    image

    則建立的VPC防火牆會採用預設的雙活可用性區域(雙活AZ)架構容災方案。在雙活AZ架構下,Cloud Firewall叢集在正常處理流量時,不會就近轉寄,而是隨機將流量分發到兩個可用性區域。這可能會導致流量跨可用性區域轉寄。

    為瞭解決這個問題,VPC防火牆推出了主備可用性區域(主備AZ)架構容災方案,以實現VPC防火牆優先在主AZ處理流量,容災情境再切換到備AZ轉寄流量。

    已經使用雙活AZ方案的VPC防火牆執行個體,可按照下文步驟遷移至主備AZ方案。

    遷移前

    遷移後

    注意事項

    • 遷移需要關閉並刪除對應地區的VPC防火牆,然後重新建立所有VPC防火牆,期間原有的VPC防火牆存取控制策略會保留。

    • CEN基礎版VPC防火牆關閉或開啟引流期間,會有秒級路由閃斷。

      CEN企業版VPC防火牆關閉或開啟引流期間,不會有路由閃斷。

      (建議變更期間配置高優先順序ANY流量允許存取策略,避免單向過牆流量被策略攔截)。具體操作,請參見配置VPC邊界存取控制策略

    • 提前記錄原有VPC防火牆的VPC網段和交換器網段,可以在重新建立時複用。

    • 主備AZ架構下,主可用性區域和備可用性區域存在依賴,以實際可選的可用性區域為準。

    雲企業網CEN基礎版遷移主備AZ架構

    將雲企業網CEN基礎版某地區的VPC邊界防火牆從雙活可用性區域遷移為主備可用性區域架構前,需先關閉並刪除對應CEN在該地區內的所有VPC防火牆,然後重新建立。

    步驟一:關閉並刪除VPC防火牆

    1. 登入Cloud Firewall控制台在左側導覽列,單擊防火牆開關

    2. VPC边界防火墙 > 雲企業網(基礎版)頁簽中,單擊批量关闭

      image

    3. 批量关闭對話方塊中,選擇需要關閉的雲企業網實例地域,並單擊確定

    4. 批量關閉成功後,在對應地區的資產操作列,單擊刪除。刪除該地區內所有VPC防火牆。

    步驟二:建立VPC防火牆

    1. 在對應地區雲企業網執行個體的操作列,單擊創建

    2. 創建防火牆面板中,單擊一鍵開啟檢查

      基礎版轉寄路由器支援診斷是否滿足一鍵開啟VPC邊界防火牆的條件。您可以在檢測完成後,選擇开启诊断設定精靈查看診斷結果。如果您已瞭解VPC邊界防火牆的建立細則,可以跳過一鍵開啟診斷功能,直接建立。若診斷失敗,請參見Cloud Firewall開啟失敗原因及解決方案匯總文檔擷取解決方案。

    3. 配置防火牆VPC網段、主可用性區域、備用可用性區域、業務VPC所需交換器的執行個體和可用性區域、入侵防禦等配置。

      重要

      • 指定防火牆VPC配置中的主、備可用性區域業務流量發生的可用性區域即可啟用主備AZ架構模式,但如果業務VPC所需交換器可用性區域主可用性區域選擇不同,仍然會有流量延遲。

        所以如果您的業務延時敏感,請將防火牆VPC配置中主可用性區域業務VPC所需交換器可用性區域均設定為業務流量發生的可用性區域,以便進一步降低延時

      • 入侵防禦設定將應用於同一雲企業網下的所有網路執行個體。

      image

    4. 單擊开始创建,建立VPC邊界防火牆。

    5. 完成建立後,重複上述操作,為雲企業網中其他VPC配置引流保護的業務VPC交換器。同時保持可用性區域設定和防火牆VPC的主可用性區域相同。

    6. 地區內的所有VPC全部配置完成後,在防火牆開關列統一為所有VPC開啟防火牆開關。

      image

    雲企業網CEN企業版遷移主備AZ架構

    雲企業網CEN企業版中,若需將VPC邊界防火牆從雙活可用性區域遷移為主備可用性區域架構,需先刪除對應地區的引流情境,刪除並重新建立VPC邊界防火牆後恢複原有引流情境。

    步驟一:關閉並刪除引流情境

    1. 登入Cloud Firewall控制台在左側導覽列,單擊防火牆開關

    2. VPC边界防火墙 > 雲企業網(企業版)頁簽中,在對應地區VPC防火牆的操作列,單擊详情

      image

    3. VPC边界防火墙详情 > 引流场景頁簽中,單擊開關按鈕。

    4. 关闭引流场景對話方塊中,建議選擇路由回滚,並單擊確定

      關閉引流情境期間,您可以在防火墙任务頁簽,查看關閉任務執行情況。

    5. 關閉引流情境完成後,單擊刪除。刪除引流情境,並關閉VPC边界防火墙详情面板。

      image

    步驟二:刪除VPC防火牆

    1. 在對應地區雲企業網樣本的操作列,單擊刪除

    2. 刪除對話方塊中,單擊確定,刪除該防火牆執行個體。

      image

    步驟三:建立VPC防火牆並配置引流情境

    1. 在對應地區雲企業網樣本的操作列,單擊創建

      image

    2. 創建防火牆面板中選擇自動引流模式。並單擊一鍵開啟檢查

      企業版TR轉寄路由器支援診斷是否滿足一鍵開啟VPC邊界防火牆的條件。您可以在檢測完成後,在创建前检查設定精靈查看診斷結果。如果您已瞭解VPC邊界防火牆的建立細則,可以單擊跳過直接建立。如果診斷失敗,查看失敗原因及解決方案,請參見Cloud Firewall開啟失敗原因及解決方案匯總

    3. 配置防火牆VPC網段、主可用性區域、備用可用性區域、入侵防禦等配置。

      重要

      • 如果您的業務延時敏感,建議主可用性區域和備可用性區域選擇實際業務的可用性區域,以便降低延時。

      • 入侵防禦設定將應用於同一雲企業網下的所有網路執行個體。

      image

    4. VPC防火牆建立完成後,單擊下一步,重新設定引流情境。

    5. 單擊下一步,完成VPC防火牆的全部配置,自動開啟VPC防火牆。

    相關文檔