預設情況下VPC內的資源通過綁定公網IP即可與公網直接進行IPv4通訊,企業可能會存在未經營運部門管控的公網訪問方式(例如業務部門隨意為ECS執行個體配置公網IP),這為商業網路管理帶來安全風險。您可使用IPv4網關,通過路由表控制公網訪問流量統一經過IPv4網關,降低分散接入帶來的安全風險。
功能介紹
IPv4網關是VPC邊界上的公網IPv4流量控制組件。
IPv4網關在VPC中的位置
先瞭解VPC的如下組件,有助於您更好地理解IPv4網關。
公網IPv4地址:可以通過互連網直接存取的IPv4地址,它們是全球唯一的,可以在全球範圍內訪問。阿里雲當前提供2種類型的公網IPv4地址:
固定公網IP:隨ECS/CLB等執行個體一起建立與刪除的公網IP地址,與執行個體強綁定並且建立後無法更換,無法滿足靈活解除綁定與管理的需求。
Elastic IP Address:即EIP,是獨立的公網IP地址資源,可以動態解除綁定/綁定,滿足靈活管理的要求。
公網NAT Gateway:VPC內的網路位址轉譯裝置,通過綁定EIP提供公網訪問能力,實現VPC私網IPv4地址與公網IPv4地址(即EIP)的轉換,可以避免直接暴露VPC內資源真實IP地址,實現與公網安全通訊。VPC內資源可以通過NAT Gateway主動訪問公網,也可以通過NAT Gateway對外提供公網訪問服務。
負載平衡:VPC內的應用流量分發服務,通過綁定公網IP提供公網訪問能力,通過將流量分發到不同的後端伺服器來擴充應用系統的吞吐能力,消除系統單點故障,提升應用系統的可用性。VPC內資源只能通過負載平衡對外提供公網訪問服務,不能通過負載平衡主動訪問公網。
結合下方VPC公網入向流量與出向流量典型架構示意圖,您可以看出,IPv4網關用於統一管控公網訪問流量,是VPC邊界的公網流量網關,與公網IP地址、NAT Gateway、負載平衡存在明顯的區別。
為什麼使用IPv4網關
對比項 | 公網直接存取(VPC預設情況) | 使用IPv4網關集中控制 |
樣本 | 不使用IPv4網關,ECS通過固定公網IP/Elastic IP Address/公網NAT Gateway直接存取公網。 | 使用IPv4網關統一公網出入口,集中管控出入VPC的公網流量。 |
適用情境 | 少量ECS需具備獨立、直接的公網訪問能力。 適用於公網訪問需求頻繁變化的情境。 | 適用於大規模、多層級網路架構。 對網路安全合規性有嚴格要求的企業級環境。 |
操作複雜度 | 操作簡便快捷,無需進行路由配置。 | 需要進行網路規劃以及路由規則配置。 |
靈活性 | 每個執行個體獨立操作,互不影響。 | 網路原則的變更會影響VPC內所有執行個體。 |
安全性 | 安全防護主要依賴於執行個體自身的安全性群組規則配置。 | IPv4網關集中管控模式保障網路原則的一致性與整體安全性。 |
IPv4網關使用限制
功能限制
使用範圍:
IPv4網關是地區層級的資源,只能在同一個地區中使用。
關聯資源限制:
一個VPC下只支援建立一個IPv4網關,且一個IPv4網關僅能關聯一個VPC。
IPv4網關僅能綁定網關路由表(即邊界網關類型的路由表)。同時網關路由表與IPv4網關一對一綁定。
如下流量不受IPv4網關的限制:
通過Elastic IP Address或者任播Elastic IP Address綁定私網傳統型負載平衡CLB時,公網回包的流量不受IPv4網關的限制。
支援的地區
地區 | 支援IPv4網關的地區 |
亞太地區-中國 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地區)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地區)、華東6(福州-本地地區) |
亞太地區-其他 | 日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀) |
歐美地區 | 德國(法蘭克福)、英國(倫敦)、美國(矽谷)、美國(維吉尼亞) |
中東 | 阿聯酋(杜拜)、沙特(利雅得) 重要 沙特(利雅得)地區由夥伴營運。 |
使用IPv4網關
IPv4網關工作模式切換邏輯
IPv4網關建立後需要先啟用,方可統一管控公網流量。IPv4網關的工作模式不同,決定了VPC是否可以訪問公網以及是否集中管控公網流量。
您可參考下圖瞭解IPv4網關工作模式與切換邏輯:
在啟用IPv4網關之前,VPC內的網路流量不會受到影響。但在啟用過程中,可能會因流量路徑切換導致短暫的網路中斷。
情境樣本
此處以VPC中2台ECS公網訪問作為樣本,簡單示範IPv4網關使用過程。
公網訪問現狀 | 目標需求 |
VPC內的2個ECS,均可以通過綁定Elastic IP Address主動進行公網訪問,或者對外提供公網服務。 |
|
您需要在您希望使用IPv4網關的地區中已經建立好VPC、ECS、EIP,並且VPC未關聯IPv4網關。
步驟一:建立並啟用IPv4網關
如下情境不支援建立IPv4網關:
VPC記憶體在EIP網卡可見度模式的EIP資源。
VPC下的公網NAT Gateway不相容IPv4網關時,不支援建立IPv4網關。若需要公網NAT Gateway相容IPv4網關,您可以切換公網NAT Gateway模式,使其相容IPv4網關。
共用VPC不支援建立IPv4網關。
登入IPv4網關控制台,頂部功能表列選擇需要建立IPv4網關的地區。
單擊建立IPv4網關,選擇對應的VPC,並單擊建立。
選擇ECS所在交換器所綁定的路由表(如果交換器路由表不同則勾選多個),單擊啟用。
說明啟用時,系統會為您選擇的交換器路由表添加一條
0.0.0.0/0的預設路由指向IPv4網關,使得路由表關聯的交換器具備公網訪問能力。如果當前路由表已經存在目標網段為0.0.0.0/0的預設路由,則無法再添加IPv4網關的預設路由。在啟用IPv4網關之前,VPC內的網路流量不會受到影響。但在啟用過程中,可能會因流量路徑切換導致短暫的網路中斷。
完成IPv4網關啟用與交換器路由表配置。
此時,您的VPC已建立並啟用IPv4網關,可以測試IPv4網關的效果。
由於交換器的路由表中均含有
0.0.0.0/0的指向IPv4網關的路由,因此您對應交換器內的ECS執行個體均可以主動訪問公網。您可以使用ping aliyun.com命令進行測試,網路連通。由於IPv4網關沒有指向VPC內的路由,因此公網訪問VPC內ECS的流量將會被丟棄。您可以在公網用戶端,使用
ping ECS地址命令進行測試,網路不連通。
步驟二:配置公網入方向路由
IPv4網關的公網入方向路由,通過網關路由表進行控制。
建立網關路由表。
綁定物件類型為邊界網關的路由表叫做網關路由表。
登入路由表控制台,頂部功能表列選擇需要建立網關路由表的地區。
單擊建立路由表,選擇對應的VPC,綁定物件類型選擇邊界網關,配置路由表名稱並單擊確定。
配置網關路由。
在路由表頁面,找到已建立的網關路由表,單擊路由表ID。
找到頁簽,可以查看到系統路由條目。VPC內每個交換器都會在網關路由表中自動產生1條系統路由條目。
編輯目標網段指向ECS所在的交換器的2條路由條目,將下一跳設定為對應的ECS執行個體。
配置完成後,這兩條系統路由條目將轉化為自訂路由條目。確認路由條目狀態為可用。
綁定網關路由表至IPv4網關。
在網關路由表詳情頁,綁定邊界網關。
綁定完成後,確認邊界網關狀態為可用。
驗證公網入向流量訪問。
您可以在公網用戶端,使用
ping ECS地址命令進行測試。網路連通。您可以在公網用戶端,使用
ping VPC內其他地址命令進行測試。網路不連通。
更多操作
調整公網入方向路由
IPv4網關的公網入方向路由,通過網關路由表進行控制。
因此,您可以通過調整網關路由表的系統路由條目,調整公網入方向路由。
網關路由表僅允許修改系統路由,不支援建立自訂路由條目。
網關路由表編輯系統路由資訊並成功儲存後,將會轉化為自訂路由條目;刪除後可轉化為系統路由條目。
編輯網路路由表的系統路由條目時,下一跳類型的說明與建議如下:
Local:交換器內部所有IP地址均可被訪問。
ECS執行個體/彈性網卡:交換器內部指定執行個體或網卡可被訪問。常用於公網流量安全引流到特定ECS執行個體或彈性網卡。如果需要更換ECS執行個體或彈性網卡,需要先刪除路由條目再重新編輯系統路由資訊,無法直接替換。
網關型負載平衡終端節點:交換器內部指定終端節點可被訪問。用於GWLB情境的第三方安全裝置公網流量引流。
調整公網出方向路由
IPv4網關的公網出方向路由,通過交換器路由表進行控制。
當交換器路由表有路由條目下一跳為IPv4網關時,則對應路由條目地址的請求可以訪問公網。這種有指向IPv4網關的路由的交換器,稱之為公有交換器;反之則稱為私人交換器。
刪除IPv4網關
刪除前需要先解除綁定網關路由表。
刪除時需要選擇刪除模式,刪除模式影響VPC的公網訪問形態,詳情可參考IPv4網關工作模式切換邏輯。
刪除IPv4網關選擇私網模式時,您需要先刪除VPC路由表中所有指向IPv4網關的路由條目,方可進行配置。
警告選擇私網模式刪除後,VPC內部所有資源將全部無法與公網互連。請謹慎操作!
刪除IPv4網關選擇公網模式時,系統會自動刪除所有指向IPv4網關的路由條目。如果您需要回退到VPC初始狀態(執行個體綁定公網IP即可訪問公網),您可以選擇公網模式。
IPv4網關最佳實務
公網出口集中控制
企業可能會存在未經營運部門管控的公網訪問方式(例如業務部門隨意為ECS執行個體配置公網IP),這為商業網路管理帶來安全風險。
您可通過IPv4網關,將網路架構改造為IPv4網關集中控制架構,通過路由表控制公網訪問流量統一經過IPv4網關,有利於實施統一的安全性原則和審計,降低分散接入帶來的安全風險。
架構改造樣本:
詳細方案您可參考使用IPv4網關集中控制公網訪問流量。
公網網段私用
部分企業在本地IDC或VPC使用了非RFC 1918規定的私人網段,例如30.0.0.0/16。當與其他VPC或本地IDC建立網路連接時,由於VPC預設將RFC 1918之外的IP地址視為公網網段,VPC中雲產品資源具備公網訪問能力後,即便配置了指向30.0.0.0/16的路由條目指向本地IDC或VPC,依舊優先訪問公網,無法訪問目標VPC或本地IDC。
您可通過使用IPv4網關,集中控制VPC公網訪問行為,訪問30.0.0.0/16時將優先路由到其他VPC或本地IDC。
架構改造樣本:
詳細方案您可參考使用IPv4網關實現公網私用。
公網出入流量安全引流(第三方安全裝置)
單點架構
部分企業會在VPC內部署第三方安全裝置,用於公網出入方向的流量清洗。
您可以使用IPv4網關結合路由表在出入方向進行流量安全引流,將公網出入向流量導向安全裝置進行深度檢測與過濾,防止惡意攻擊和未經授權的訪問,實現安全防護。
GWLB高可用架構
單點架構時,如果第三方裝置故障將影響業務系統整體可用性。您可以使用網關型負載平衡GWLB,將第三方安全裝置進行高可用部署,消除單點故障。
在該情境下,使用IPv4網關結合路由表將公網流量引流至網關型終端節點GWLBe,GWLBe通過私網串連PrivateLink實現與GWLB互聯,並將流量傳輸至第三方安全裝置進行安全處理,流量清洗完成後再傳輸給應用伺服器或公網用戶端。
架構樣本:
IPv4公網流量入方向路徑 | IPv4公網流量出方向路徑 |
|
|
詳細方案您可參考通過GWLB快速實現IPv4流量的安全檢測。
常見問題
IPv4網關和公網NAT Gateway有什麼區別?
網路組件 | IPv4網關 | 公網NAT Gateway |
功能定位 | VPC邊界上的公網IPv4流量控制組件 | VPC內部的網路位址轉譯裝置 |
使用情境 | 公網流量集中控制 | 統一公網流量出口 |
是否提供公網訪問能力 | 不提供。是流量控制組件 | 通過綁定EIP提供公網訪問能力 (公網訪問能力是由EIP提供的,NAT Gateway本身不提供公網訪問能力) |
IPv4網關和公網NAT Gateway功能並無交叉,二者可以搭配同時使用。
您可參考IPv4網關在VPC中的位置,詳細瞭解相關網路組件之間的關係。
開啟IPv4網關的VPC如何恢複到VPC初始狀態?
如果您需要回退到VPC初始狀態(例如ECS執行個體綁定公網IP即可訪問公網),您可以刪除IPv4網關,刪除時選擇刪除模式為公網模式。
刪除模式影響VPC的公網訪問形態,詳情可參考IPv4網關工作模式切換邏輯。
IPv4網關收費嗎?
IPv4網關本身不收取費用。
公網流量費用是由公網IP收取,例如EIP或ECS/CLB固定公網IP,詳情參考對應產品計費文檔。
IPv6流量如何管控?
IPv4網關是VPC邊界上的公網IPv4流量控制組件。如果需要集中管控IPv6流量,您需要使用IPv6網關。
相關文檔
您可以通過調用以下API來管理IPv4網關: