當您使用了轉寄路由器TR(Transit Router),可以手動設定轉寄路由器與VPC邊界防火牆之間的互訪路由,實現VPC邊界防火牆對轉寄路由器串連的VPC之間的所有流量進行防護。本文介紹了如何連通轉寄路由器與VPC邊界防火牆之間的網路。
適用對象
Cloud Firewall可以防護通過雲企業網轉寄路由器串連的網路執行個體之間的流量,網路執行個體包括VPC、VBR、CCN、VPN。
本文僅針對VPC邊界防火牆手動引流模式的配置,適用於對多個VPC(相同地區)之間互訪流量的防護。
情境示意圖
前提條件
已在雲企業網控制台建立了雲企業網執行個體,且建立了兩個Virtual Private Cloud(本文中分別以VPC-01和VPC-02為例)。具體操作,請參見建立雲企業網執行個體。
步驟一:為VPC邊界防火牆建立VPC執行個體
VPC邊界防火牆需要佔用一個VPC,所以您需要專門建立一個VPC執行個體。
為防火牆配置的Virtual Private Cloud必須和CEN-TR歸屬於同一個帳號,否則無法正常建立VPC防火牆。
登入專用網路管理主控台。
在頂部功能表列,選擇要建立自訂專用網路的地區,單擊建立專用網路。
在建立專用網路對話方塊,根據以下資訊配置專用網路,然後單擊確認。
配置項
如何設定
地區
選擇需要開啟VPC防火牆的地區。
名稱
VPC執行個體名稱,本文樣本中為Cfw-TR-manual-VPC。
IPv4網段
VPC的主IPv4網段,需要至少26位的私網地址,並且不與業務使用的網段衝突。
交換器
網路連接執行個體可綁定的交換器,需要至少28位的私網地址。
其中,2個交換器提供給TR網路執行個體串連使用,需選擇兩個支援TR服務且不同的可用性區域進行建立,建議選擇業務所在的可用性區域以降低延遲;另1個交換器提供給VPC邊界防火牆使用,可用性區域任選。
本文樣本中,TR網路執行個體串連主交換器命名為TR-Vswitch-01,備交換器命名為TR-VSwitch-02,VPC防火牆交換器命名為Cfw-Vswitch。
在專用網路頁面,定位到防火牆VPC執行個體Cfw-TR-manual-VPC,並單擊執行個體ID。
在該專用網路頁面資源管理頁簽,單擊路由表的添加選項或在路由表頁面單擊建立路由表。
在建立路由表對話方塊,根據以下資訊配置路由表,然後單擊確認。
配置項
如何設定
專用網路
選擇上述步驟建立的防火牆VPC。本文樣本選擇Cfw-TR-manual-VPC。
綁定物件類型
選擇路由表綁定的物件類型為交換器。
名稱
自訂路由表的名稱。本文樣本的自訂路由表名稱配置執行個體值為VPC-CFW-RouteTable。
步驟二:在轉寄路由器中添加防火牆VPC的網路執行個體串連
本步驟建立VPC執行個體(Cfw-TR-manual-VPC)與轉寄路由器企業版之間的串連。
- 登入雲企業網管理主控台。
在雲企業網執行個體頁面,定位到需要引流到Cloud FirewallVPC邊界防火牆的雲企業網執行個體,並單擊執行個體ID。
在該雲企業網執行個體頁面基本資料頁簽,單擊操作列的建立網路執行個體串連或單擊頁面上方VPC基礎資訊右側的
表徵圖。在串連網路執行個體頁面,設定Cfw-TR-manual-VPC和轉寄路由器之間的串連資訊。
以下是建立網路連接執行個體時,關鍵的配置項說明。
配置項
如何設定
執行個體類型
通過雲企業網串連的網路執行個體的類型。此處選擇Virtual Private Cloud。
地區
通過雲企業網串連的網路執行個體的地址。此處需要與建立Cfw-TR-manual-VPC時指定的地區保持一致。
網路執行個體
通過雲企業網串連的網路執行個體。此處選擇Cfw-TR-manual-VPC的執行個體ID。
交換器
網路連接執行個體可綁定的交換器。主交換器選擇TR-Vswitch-01,備交換器為TR-VSwitch-02。
其他配置項的說明,請參見使用企業版轉寄路由器建立VPC串連。
步驟三:為兩個VPC建立雲企業網網路執行個體串連
您需要為VPC-01和VPC-02分別建立網路執行個體串連,將兩個VPC載入到該雲企業網中。
相關內容,請參見使用企業版轉寄路由器建立VPC串連。
步驟四:建立VPC邊界防火牆
本步驟為Cfw-TR-manual-VPC建立VPC邊界防火牆。
在Cloud Firewall控制台頁簽,找到需要開啟防火牆的轉寄路由執行個體,單擊操作列建立。建立該VPC邊界防火牆時,引流模式選擇手動引流、專用網路選擇Cfw-TR-manual-VPC、交換器選擇Cfw-Vswitch。相關內容,請參見配置企業版轉寄路由器的VPC邊界防火牆。
完成此步驟後,Cloud Firewall會在Cfw-Vswitch下建立1個彈性網卡用於引流(可在ECS控制台的頁面查看,系統預設分配名稱為cfw-bonding-eni的網卡)。該彈性網卡是一個虛擬網卡,用於路由引流配置,防火牆叢集會預設綁定多個不同可用性區域的虛擬網卡來保障叢集高可用。手動引流模式下防火牆叢集預設是兩個可用性區域雙活模式(自動分配),具備高可用能力。
步驟五:為防火牆VPC配置VPC路由
本步驟配置VPC路由,將TR轉寄到防火牆VPC的流量引流到VPC邊界防火牆上,並將VPC邊界防火牆處理完的流量再轉寄到TR。
登入專用網路管理主控台。
在路由表頁面,選擇防火牆VPC執行個體的系統路由表。
在路由條目列表,選擇自訂路由條目頁簽。
單擊添加路由條目,配置以下路由條目資訊,同時刪除其他自訂路由條目(若有)。
關鍵配置項說明:
目標網段:選擇0.0.0.0/0。
下一跳類型:選擇輔助彈性網卡。
輔助彈性網卡:選擇步驟三建立的Cfw-bonding-eni。
本步驟完成後,TR轉寄到防火牆VPC的流量會被引流到VPC邊界防火牆上。
在路由表頁面,開啟此前建立的自訂路由表VPC-CFW-RouteTable,在已綁定交換器頁簽,單擊綁定交換器。其中交換器選擇Cfw-Vswitch。然後單擊確定。
在路由條目列表頁簽,選擇自訂路由條目頁簽。單擊添加路由條目,配置以下路由條目資訊,同時刪除其他自訂路由條目(若有)。
關鍵配置項說明:
目標網段:選擇0.0.0.0/0。
下一跳類型:選擇轉寄路由器。
轉寄路由器:選擇VPC防火牆的網路執行個體串連。
本操作完成後,VPC邊界防火牆處理完的流量會被再轉寄到TR。
步驟六:配置轉寄路由器的路由
本步驟為VPC-01、VPC-02和防火牆VPC配置轉寄路由器的路由,實現VPC-01和VPC-02互訪流量過VPC邊界防火牆。
- 登入雲企業網管理主控台。
在雲企業網控制台,定位到需要開啟VPC邊界防火牆的轉寄路由器,單擊執行個體ID,然後切換到轉寄路由器路由表頁簽。
在轉寄路由器路由表頁簽,單擊左側路由器列表中第一行的系統路由表。
在系統路由表的路由表詳情頁簽中,單擊路由學習頁簽。
在路由學習頁簽,建立兩條路由學習,關聯串連分別選擇VPC-01和VPC-02。
本操作會為系統路由表建立路由學習,自動同步VPC-01和VPC-02的路由。
路由學習建立完成後,您可以在路由條目頁簽查看自動學習的路由資訊。
切換到系統路由表的路由表詳情頁面,單擊關聯轉寄頁簽。
在關聯轉寄頁簽,單擊建立關聯轉寄。
在添加關聯轉寄對話方塊,選擇Cfw-TR-manual-VPC。
本操作完成後,防火牆VPC可以通過轉寄路由器自動轉寄目的為VPC-01和VPC-02的流量。
單擊轉寄路由器路由表頁面左側的建立路由表按鈕。在建立路由表對話方塊,配置路由表的資訊。
轉寄路由器選擇需要開啟VPC邊界防火牆的轉寄路由器,並配置對應的路由表名稱。本文樣本中路由表名稱設定為Cfw-TR-RouteTable。
新增的路由表Cfw-TR-RouteTable用於轉寄VPC-01和VPC-02到VPC邊界防火牆Cfw-TR-manual-VPC之間的流量。
定位到Cfw-TR-RouteTable路由表,單擊建立路由條目。在添加路由條目對話方塊,配置路由條目的資訊。
配置項說明:
目的地址:選擇預設位址區段
0.0.0.0/0。是否為黑洞路由:選擇預設選項
否。下一跳串連:選擇防火牆VPC執行個體Cfw-TR-manual-VPC對應的轉寄路由器串連執行個體ID。
在轉寄路由器路由表頁簽,單擊左側路由表列表中的系統路由表,然後在路由表詳情頁簽,單擊關聯轉寄。
警告下列操作12-14由於發生路由切換,會造成TCP長串連閃斷,建議在業務低峰期或者變更視窗期進行操作。
在關聯轉寄頁簽,刪除下一跳為VPC-01和VPC-02的關聯轉寄。然後在轉寄路由器路由表頁簽,單擊左側路由表列表中Cfw-TR-RouteTable路由表。
在路由表詳情頁面,單擊關聯轉寄,然後單擊建立關聯轉寄。
在添加關聯轉寄頁面,關聯轉寄選擇VPC-01和VPC-02,單擊確定儲存該關聯轉寄設定。
本操作完成後,VPC-01和VPC-02的流量關聯轉寄到Cfw-TR-RouteTable,VPC-01和VPC-02的互訪流量會被轉寄到防火牆VPC。
步驟七:驗證轉寄配置是否成功
您可以在流量日誌功能查看是否有來自該雲企業網的流量日誌。如果有相關流量日誌,代錶轉發配置成功。具體步驟,請參見日誌審計。