IPv4网关是连接专有网络VPC(Virtual Private Cloud)和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。

功能发布及地域支持情况

需要提交工单使用IPv4网关功能的地域如下表所示。

区域 支持IPv4网关的地域
亚太 华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华北6(乌兰察布)、华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国(香港)

默认开通IPv4网关功能的地域如下表所示。

区域 支持IPv4网关的地域
亚太 日本(东京)、韩国(首尔)、新加坡、澳大利亚(悉尼)、菲律宾(马尼拉)、泰国(曼谷)、印度(孟买)
欧洲与美洲 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚)
中东与印度 阿联酋(迪拜)

功能简介

IPv4网关具有以下功能。

  • 作为VPC路由表中的路由下一跳,控制VPC访问公网的目的地址范围。
  • 为VPC中分配了IPv4公网地址的网络资源(例如弹性网卡、ECS等),提供网络地址转换功能。

使用场景

公网访问集中控制

云服务器ECS(Elastic Compute Service)拥有了公网IP(例如固定公网IP或者EIP),可以直接访问公网,不受VPC路由表控制。为了降低ECS直接访问公网可能带来的安全管控风险,您可以使用IPv4网关及子网路由能力,对VPC中访问公网的行为进行约束,根据需求使得子网具备访问公网的能力或者不具备访问公网的能力。具体配置流程如下:
  1. 在指定VPC中创建IPv4网关。具体操作,请参见创建IPv4网关
  2. 在VPC路由表中配置指向IPv4网关的路由条目。
  3. 激活IPv4网关,使IPv4网关生效。

    激活IPv4网关后,VPC路由表中未配置指向IPv4网关的路由条目,则与该路由表关联的子网不具备访问公网能力,被称为私网子网;VPC路由表中配置指向IPv4网关的路由条目,与该路由表关联子网具备访问公网的能力,被称为公网子网。

入方向路由策略控制

IPv4网关结合子网路由能力,可以将访问公网的流量引流至虚拟防火墙(例如云防火墙)做安全防护。IPv4虚拟防火墙如上图场景所示,以绑定EIP的ECS实例与公网之间的流量经过防火墙为例,说明路由配置步骤。
  1. 在指定VPC中创建IPv4网关。
  2. 为虚拟防火墙规划独立的交换机并独立绑定一张自定义路由表,该路由表的默认路由条目(0.0.0.0/0)指向IPv4网关,使得虚拟防火墙所在交换机具备访问公网的能力。
  3. 为应用服务规划独立的交换机并独立绑定一张自定义路由表,该路由表的默认路由条目(0.0.0.0/0)指向虚拟防火墙的弹性网卡。
  4. 在VPC中新建一张自定义路由表并绑定IPv4网关,用来对公网入方向的流量进行路由控制,此路由表被称为网关路由表。将网关路由表中指向应用服务所在交换机网段的路由条目的下一跳修改为虚拟防火墙的弹性网卡。

使用限制

功能限制

  • IPv4网关当前仅支持IPv4流量。
  • 一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。
  • 只有激活成功的IPv4网关才具有公网访问能力。
  • 一个IPv4网关仅能绑定一张网关路由表。
  • 网关路由表的下一跳类型仅支持Local、弹性网卡或ECS实例。
  • VPC内包含以下资源时,不支持创建IPv4网关。

注意事项

  • 在VPC内创建IPv4网关,需要激活才能生效,激活后VPC内访问公网行为受IPv4网关控制。为了避免激活IPv4网关造成的流量中断,需要在VPC路由表中配置默认路由(0.0.0.0)或者更明细公网地址段指向IPv4网关。
  • 只要VPC创建过IPv4网关并且激活过,那么该VPC访问公网的行为将会受IPv4网关控制,必须要有路由指向IPv4网关才能访问公网。

配额限制

资源 默认限制 提升配额
单个VPC支持的IPv4网关个数 1个 无法提升
单个IPv4网关支持的网关路由表个数 1个