云服务器内容精选

华为云首页用户手册

VPC网络安全

虚拟私有云 VPC-通过对等连接和第三方防火墙实现多VPC互访流量清洗:组网规划说明

组网规划说明本示例中需要在VPC路由表中配置路由，实现VPC之间的互通以及通过防火墙的流量清洗、组网规划总体说明请参见表5。以下路由规划详情仅为示例，供您参考，您需要根据实际业务情况规划路由。表5 云上VPC互访使用第三方防火墙组网规划总体说明路由表说明业务所在VPC vpc-A、vpc-B、vpc-C为业务VPC，路由表的规划详情如表6所示。在vpc-A、vpc-B、vpc-C的默认路由表中，分别添加指向其他VPC子网，下一跳为对等连接的路由，实现不同VPC之间的网络互通。防火墙所在VPC vpc-X为防火墙VPC，路由表的规划详情如表7所示。在vpc-X的默认路由表中，根据您防火墙部署方案分为以下情况：防火墙部署在一台E CS 上，则添加目的地址为默认网段（0.0.0.0/0），下一跳为ecs-X01的路由，将流量引入防火墙所在的云服务器。防火墙部署在两台ECS上，对外通过同一个虚拟IP通信，当主ECS发生故障无法对外提供服务时，动态将虚拟IP切换到备ECS，继续对外提供服务。此场景下，则添加目的地址为默认网段（0.0.0.0/0），下一跳为虚拟IP的路由，将流量进入虚拟IP，由虚拟IP将流量引入防火墙所在的云服务器。本文以防火墙部署在一台ECS上为例，vpc-A、vpc-B、vpc-C互访的流量，都需要经过vpc-X，然后通过该条路由，将流量引入防火墙中进行清洗过滤。在vpc-X的自定义路由表中，添加目的地址为业务VPC子网网段（vpc-A、vpc-B、vpc-C子网），下一跳为对等连接的路由，将清洗后的流量引入业务VPC。表6 业务VPC路由表规划 VPC名称 VPC路由表目的地址下一跳类型下一跳路由类型路由作用 vpc-A 默认路由表：rtb-vpc-A 10.2.0.0/24 对等连接 peer-AX 自定义目的地址指向vpc-B的子网subnet-B01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-AX 自定义目的地址指向vpc-C的子网subnet-C01 连通子网subnet-A01和subnet-C01 192.168.0.0/24 对等连接 peer-AX 自定义目的地址指向vpc-X的子网subnet-X01 连通子网subnet-A01和subnet-X01 vpc-B 默认路由表：rtb-vpc-B 10.1.0.0/24 对等连接 peer-BX 自定义目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-BX 自定义目的地址指向vpc-C的子网subnet-C01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-BX 自定义目的地址指向vpc-X的子网subnet-X01 连通子网subnet-B01和subnet-X01 vpc-C 默认路由表：rtb-vpc-C 10.1.0.0/24 对等连接 peer-CX 自定义目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-C01 10.2.0.0/24 对等连接 peer-CX 自定义目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-CX 自定义目的地址指向vpc-X的子网subnet-X01 连通子网subnet-C01和subnet-X01 表7 防火墙VPC路由表规划 VPC名称 VPC路由表目的地址下一跳类型下一跳路由类型路由作用 vpc-X 默认路由表：rtb-vpc-X 0.0.0.0/0 服务器实例 ECS-X 自定义目的地址指向部署防火墙的ecs-X 将vpc-X入方向的流量引入防火墙本文以防火墙部署在一台ECS上为例，如果您的防火墙同时部署在多台ECS上，对外通过虚拟IP通信，则路由下一跳选择虚拟IP。自定义路由表：rtb-vpc-custom-X 10.1.0.0/24 对等连接 peer-AX 自定义目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-X01 10.2.0.0/24 对等连接 peer-BX 自定义目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-X01 10.3.0.0/24 对等连接 peer-CX 自定义目的地址指向vpc-C的子网subnet-C01 连通子网subnet-C01和subnet-X01

虚拟私有云 VPC VPC网络安全
虚拟私有云 VPC-通过对等连接和第三方防火墙实现多VPC互访流量清洗:约束与限制

约束与限制 VPC对等连接只能实现同区域VPC的网络互通，因此请确保您的VPC位于同一个区域内。需要通过VPC对等连接通信的VPC的子网网段不能重叠，否则对等连接不会生效，更多详情请参见无效的VPC对等连接配置。第三方防火墙部署的ECS所在的子网需要关联自定义路由表，请确保您资源所在的区域支持自定义路由表功能。如果在网络控制台的左侧子栏目看到独立的“路由表”选项，表示支持自定义路由表功能。图2 支持定义路路由

虚拟私有云 VPC VPC网络安全
虚拟私有云 VPC-通过对等连接和第三方防火墙实现多VPC互访流量清洗:方案架构

方案架构本示例中vpc-A、vpc-B、vpc-C为业务所在的VPC，vpc-X为防火墙所在的VPC，这些VPC通过对等连接实现网络互通。vpc-A、vpc-B、vpc-C之间互通的流量均需要经过vpc-X上的防火墙。根据默认路由表配置，所有vpc-X的入方向流量均引入防火墙，通过防火墙清洗后的流量根据自定义路由表的目的地址送往指定业务VPC。在图1中，以ecs-A01访问ecs-C01为例，您可以清晰的看到流量的请求路径和响应路径。图1 云上VPC互访使用第三方防火墙组网规划

虚拟私有云 VPC VPC网络安全
虚拟私有云 VPC-通过对等连接和第三方防火墙实现多VPC互访流量清洗:资源规划说明

资源规划说明本示例中需要创建虚拟私有云VPC 、弹性云服务器ECS 以及VPC对等连接，资源规划总体说明请参见表1。以下资源规划详情仅为示例，供您参考，您需要根据实际业务情况规划资源。表1 云上VPC互访使用第三方防火墙资源规划总体说明资源说明虚拟私有云VPC VPC的资源规划详情如表2所示。本示例中共有4个VPC，包括业务所在VPC和防火墙所在的VPC。这些VPC位于同一个区域内，且这些VPC的子网网段不重叠。 vpc-A、vpc-B、vpc-C为业务VPC，vpc-X为防火墙VPC，这些VPC通过对等连接实现网络互通。 vpc-A、vpc-B、vpc-C、vpc-X各有一个子网。 vpc-A、vpc-B、vpc-C各有一个默认路由表，子网关联VPC默认路由表。 vpc-X有两个路由表，一个系统自带的默认路由表，一个用户创建的自定义路由表，vpc-X的子网关联自定义路由表。默认路由表控制vpc-X的入方向流量，自定义路由表控制vpc-X的出方向流量。须知：需要通过对等连接通信的VPC的子网网段不能重叠，否则对等连接不会生效，更多详情请参见无效的VPC对等连接配置。弹性云服务器ECS ECS的资源规划详情如表3所示。本示例中共有4个ECS，这些ECS分别位于不同的VPC内，这些ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 VPC对等连接 VPC对等连接的资源规划详情如表4所示。本示例中共3个对等连接，网络连通需求如下： peer-AX：连通vpc-A和vpc-X的网络。 peer-BX：连通vpc-B和vpc-X的网络。 peer-CX：连通vpc-C和vpc-X的网络。由于VPC对等连接具有传递性，通过路由配置，vpc-A、vpc-B以及vpc-C之间可以通过vpc-X进行网络通信。表2 VPC资源规划详情 VPC名称 VPC网段子网名称子网网段关联路由表子网作用 vpc-A 10.1.0.0/16 subnet-A01 10.1.0.0/24 默认路由表部署业务的子网 vpc-B 10.2.0.0/16 subnet-B01 10.2.0.0/24 默认路由表部署业务的子网 vpc-C 10.3.0.0/16 subnet-C01 10.3.0.0/24 默认路由表部署业务的子网 vpc-X 192.168.0.0/16 subnet-X01 192.168.0.0/24 自定义路由表部署防火墙的子网表3 ECS资源规划详情 ECS名称 VPC名称子网名称私有IP地址镜像安全组 ECS作用 ecs-A01 vpc-A subnet-A01 10.1.0.139 公共镜像： CentOS 8.2 64bit sg-demo：通用Web服务器部署业务的云服务器 ecs-B01 vpc-B subnet-B01 10.2.0.93 部署业务的云服务器 ecs-C01 vpc-C subnet-C01 10.3.0.220 部署业务的云服务器 ecs-X01 vpc-X subnet-X01 192.168.0.5 部署防火墙的云服务器表4 VPC对等连接资源规划详情 VPC对等连接名称本端VPC 对端VPC peer-AX vpc-A vpc-X peer-BX vpc-B vpc-X peer-CX vpc-C vpc-X

虚拟私有云 VPC VPC网络安全