云防火墙提供集群模式的 VPC 边界开关功能,在 VPC 边界开关页面,可自动探测到您所持有的云联网实例,并为您配置对应的防火墙开关。
说明:
VPC 边界防火墙开关当前仅支持自定义路由接入模式,在开启防火墙开关后该实例流量不会自动接入云联网实例流量,请前往当前云联网实例的控制台配置引流至云防火墙,具体步骤请参见 自定义路由配置指引。配置成功后当前云联网实例的流量将经过防火墙,届时访问控制规则、入侵防御功能将对其生效,流量日志也会生成。
接入依赖与风险
接入影响
接入VPC 边界防火墙时,因需动态发布路由规则以实现流量牵引,会在路由生效瞬间产生1~2秒网络抖动,具体影响范围及应对建议如下:
业务访问:跨 VPC 云服务器到云服务器的互访、同 VPC 内服务器之间的互访均不会中断,用户感知为短暂延迟波动。
PaaS 服务访问:通过云联网连接的 PaaS 服务类型在切换至防火墙的过程中,已建立的长连接可能中断。需依赖应用层实现长连接自动重连机制,以确保服务快速恢复。
说明:
该网络抖动为路由发布的正常技术现象,建议在业务低峰期执行防火墙开关开启操作,并提前验证关键业务的自动重连能力。
接入限制
评估 VPC 是否满足以下条件,存在任一情况的 VPC 不支持接入 VPC 边界防火墙,需通过策略路由方案解决;无限制的 VPC 可正常接入。
公网 CLB 与后端 RS 跨 VPC 部署:公网 CLB 所在 VPC 与转发流量的后端服务器所在 VPC不属于同一 VPC。详情参考 跨地域绑定2.0(新版)。
VPC 已创建自定义路由表:目标 VPC 中已存在非默认的自定义路由表。详情参考 自定义路由表。
说明:
若 VPC 不满足上述任一条件,可直接接入 VPC 边界防火墙。
风险排查
内网保留网段使用:需使用内网保留网段33.0.0.0/8。
专线网关动态路由协议:需为专线网关配置动态 BGP 路由。
说明:
上述定制化需求可能影响 VPC 边界防火墙的流量牵引逻辑或路由兼容性,需由腾讯云技术团队评估网络架构适配性。若您的业务未涉及此类需求,可直接接入防火墙。
防火墙开关
1. 登录 云防火墙控制台,在左侧导航栏中,选择防火墙开关 > 防护对象 > VPC 边界。
2. 在 VPC 边界开关页面,在防护对象列中找到需要防护的云联网实例。
3. 单击防火墙开关
4. 确定开启后,云防火墙将在对应云联网实例关联的私有网络所属地域创建用于接入的私有网络。
5. 当前防护对象的接入模式为“自定义路由”时,开启防火墙开关后需要前往当前云联网实例的控制台配置引流至云防火墙,具体操作请参见 自定义路由配置指引。
说明:
VPC 边界防火墙不支持在开启防火墙开关前预先配置路由表。您需要先开启防火墙开关,待云防火墙自动创建完成引流所需的私有网络后,方可进行路由表的配置操作。
关闭防火墙开关后,当前云联网类型实例接入防火墙所使用的相关网络资产(如私有网络、子网)将被自动清除。当前防护对象的接入模式为“自定义路由”时,务必在关闭防火墙开关前,先手动在云防火墙控制台取消该云联网实例的接入,否则直接关闭开关可能导致网络中断。详细操作步骤请参见 配置说明。
防火墙状态监控
VPC 边界防火墙状态监控支持统计各个 CCN 实例的带宽。
1. 在带宽配置面板右上角,单击查看状态监控。
2. 状态监控-①VPC 边界防火墙界面中,可以基于②云联网实例名称对带宽监控维度进行筛选,也可以选择在③切换查看连接数,通过选择④时间范围修改统计维度。可以看到⑤监控曲线,也可以查阅⑥不同视角的监控数据。
注意:
主备模式与集群模式的区别
VPC 边界防火墙主备模式与集群模式版本的差异请参见下表。
对比维度 | 主备模式 | 集群模式 |
架构类型 | 单活架构 | 多活架构 |
升级影响 | 主备切换导致网络抖动 | 无感升级 |
运维复杂度 | 需用户管理主备实例 | 自动维护节点及升级 |
高可用性 | 主机故障时备机自动接管 | 多节点负载,单点故障无影响 |
