云防火墙 VPC 边界防火墙支持通过云联网策略路由功能实现自动接入。通过自动化的引流配置,支持按 VPC 或 CIDR 粒度灵活设置引流策略,简化了传统路由方案的操作复杂度。
注意:
前置条件
您的云联网实例需支持策略路由功能。若仅支持多路由表,无法使用自动接入模式。
开启每个云联网实例的防护会消耗 1个 VPC 边界防火墙开关配额,请确保额度充足。
步骤一:选择自动接入模式
步骤二:配置引流策略
1. 在配置引流策略界面,您可以定义哪些 VPC 或专线网关实例之间的流量需要经过防火墙防护。支持配置多条规则以适用于复杂的网络架构。
引流策略类型 | 说明 | 配置要求 |
多点间互联 | 防护所选组内所有实例之间两两互访的流量。 | 规则内至少选择 2 个不同的实例。 |
多点到多点 | 防护“多点实例1”和“多点实例2”两组之间的互访流量。 组内实例间的流量不经过防火墙。 | 两组各至少选择 1 个实例。 组内、组间均不能选择相同的实例。 |
2. 配置完成后,单击下一步。
说明:
若引流策略中包含同地域 VPC 间的流量防护,您必须向云联网 提交工单 申请开通 VPC 实例同城引流,否则这部分流量将不经过防火墙。开通过程中可能引起对应 VPC 的 PaaS 服务会话连接中断,需依赖应用层实现长连接自动重连机制,以确保服务快速恢复。
步骤三:创建引流私有网络
云防火墙需要专门的私有网络(26位网段)来牵引流量。
在创建引流私有网络界面,系统会列出当前引流策略涉及的所有地域,请为每个地域单独配置:
1. 选择创建方式:
暂不创建:当前地域暂不建立引流资源(后续可补建)。
自动选择:系统自动探测并分配空闲的 /26 网段。
自定义:手动指定一个未占用的 /26 网段(如
10.0.0.0/26)。注意:
若要防护两个不同地域 VPC 间的流量,必须至少在其中一个地域创建引流私有网络。
2. 确认接入:确认配置无误后,单击立即接入。
步骤四:等待部署完成
系统将自动执行以下操作:
1. 在指定地域创建引流私有网络及相关资源。
2. 在云联网中下发策略路由。
此过程预计需要 1-3分钟。请耐心等待开关状态开启。
后续管理与运维
在防火墙开关开启状态下,单击实例列表操作列的编辑,可进行以下操作:
修改引流策略:调整需要防护的 VPC 范围或 CIDR。
增量配置引流资源:对于初始化时选择“暂不创建”或当前云联网实例新增的地域,可以重新选择创建方式进行补建。
说明:
在防火墙开关开启期间,已通过“自动选择”或“自定义”方式创建的引流私有网络将被锁定,不可修改网段或删除。
如需修改或删除引流资源,必须先关闭防火墙开关(关闭后系统会自动清理相关资源)。
