检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过企业路由器和第三方防火墙实现多VPC互访流量清洗 方案概述 规划组网和资源 创建资源 配置网络 验证网络互通情况
要求业务A和业务B互相访问的流量必须通过VPC3中防火墙软件的过滤清洗。 图1 同区域VPC流量清洗 您可以使用企业路由器的共享功能,将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 操作流程 本文档介绍如何通过企业路由器构建同区域VPC流量清洗组网,流程如图2所示。 图2
创建资源 创建企业路由器 创建VPC和ECS 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
配置网络 在企业路由器中配置VPC连接 在ECS中配置内核参数及路由 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
图1 同区域VPC流量清洗组网规划 表1 网络流量路径说明 路径 说明 请求路径:VPC1→VPC2 在VPC1路由表中,通过下一跳为ER的路由将流量转送到ER。 VPC1关联的是ER路由表1,在ER路由表1中,通过下一跳为VPC3连接的静态路由将流量转送到VPC3。 VPC
vpc-demo-01到vpc-demo-02的流量是否通过ecs-inspection。 检查eth0网卡的接收流量,至少连续执行两次命令,检查RX packets是否增加。 ifconfig eth0 检查eth1网卡的发送流量,至少连续执行两次命令,检查TX packets是否增加。
12。 ECS3创建完成后,进入ECS3详情页,在“弹性网卡”页签下,关闭第二个网卡(eth1)的“源/目的检查”,以确保从eth1出来的流量不会被拦截。 在ECS3中安装第三方防火墙。 您可以自行安装或者通过华为云市场购买第三方防火墙。 父主题: 创建资源
在ECS中配置内核参数及路由 操作场景 ECS3具有双网卡,需要配置内核参数并添加路由,确保eth0和eth1之间的流量转发路径可达。 本示例中的ECS操作系统为CentOS 8.0 64bit,操作系统不同,配置命令可能存在差异。 操作步骤 登录弹性云服务器。 弹性云服务器有多
创建企业路由器 操作场景 本章节指导用户创建企业路由器。 操作步骤 在区域A内,创建1个企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 企业路由器资源规划详情请参见表7。 父主题: 创建资源
在企业路由器中配置VPC连接 操作场景 本章节指导用户在企业路由器中配置“虚拟私有云(VPC)”连接,即将VPC接入企业路由器中,并配置企业路由器和VPC的路由。 操作步骤 将3个VPC分别接入企业路由器中。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。
计费模式 企业路由器提供按需计费模式,按需计费是一种后付费模式,即先使用再付费,按照企业路由器内连接的实际使用时长和使用流量计费。 计费项 企业路由器的计费项由连接费用和流量费用组成。了解每种计费项的计费因子、计费公式等信息,请参考计费项。 如需了解实际场景下的计费样例以及各计费项的详细费用计算过程,请参见计费样例。
依托于云日志服务(Log Tank Service,简称LTS),企业路由器支持流日志功能。通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息,您可以监控连接的网络流量、进行网络攻击分析等,帮助您实现高效的网络运维。 企业路由器流日志功能支持采集以下连接的流日志: 虚拟私有云(VPC)
将路由策略绑定至ER 操作场景 本章节指导用户将路由策略绑定至ER,路由策略可以控制ER发送或接收的路由流量路径,详细说明和操作指导请参见表1。 表1 路由策略控制ER路由详细说明 流量走向 说明 ER发送的路由: ER-A→DC/VPN/ER-B 控制ER发送出去的路由,即从ER发送
添加了中转VPC之后,从业务VPC转发到线下IDC的请求流量需要经过中转VPC,而响应流量则不需要经过中转VPC,网络流量路径说明请参见表1。 表1 网络流量路径说明 路径 说明 请求路径:业务VPC→中转VPC→ER→DC虚拟网关→线下IDC 在业务VPC路由表中,通过下一跳为对等连接的路由将流量转送到中转VPC。
本章节指导用户修改路由策略中的策略节点。 约束与限制 路由策略会改变网络流量所经过的路径,如果策略节点所在的路由策略已绑定至ER,则修改策略节点前,请您评估好对业务产生的影响,谨慎操作。 路由策略的变更会改变路由的信息和流量走向,因此为了减少变更对网络性能的影响,同一个路由策略在40 s内只允许变更一次。
案二可以降低成本,并且免去一些限制,详细说明如下: 相比方案一,使用方案二可以降低流量费用和连接费用,详细说明如下: 业务VPC之间的流量通过VPC对等连接转发,而不再需要经过ER转发,省去部分流量费用。 您只需要将一个中转VPC接入ER,相比接入多个业务VPC,省去部分连接费用。
计费示例(连接费用和下行流量费用) 流量费用(下行流量) “虚拟私有云(VPC)”连接 “虚拟网关(VGW)”连接 “VPN网关(VPN)”连接 “全域接入网关(DGW)”连接 当您将连接添加到企业路由器中时,会根据实际流经连接的流量收取费用,统计从连接流入企业路由器的流量(以下称为下行流量),单位GB。
及流经连接的下行流量费用。 本示例中连接费用为0.40元/小时,下行流量费用为0.13元/GB,图1给出了上述示例配置的费用计算过程,产生费用的详细说明如表1所示。 图1 企业路由器计费示例(连接费用和下行流量费用) 表1 企业路由器费用明细(连接费用和下行流量费用) 连接类型 产生费用时间段
修改IP地址前缀列表中的IP地址前缀规则 操作场景 本章节指导用户在修改IP地址前缀规则。 约束与限制 IP地址前缀规则会改变网络流量所经过的路径,如果IP地址前缀规则所在的路由策略已绑定至ER,则修改IP地址前缀规则前,请您评估好对业务产生的影响,谨慎操作。 操作步骤 进入IP地址前缀列表页面。
一个AS_Path列表中可以创建多个AS_Path规则,每个AS_Path规则对应一条过滤规则。 约束与限制 AS_Path规则会改变网络流量所经过的路径,如果AS_Path规则所在的路由策略已绑定至ER,则添加AS_Path规则前,请您评估好对业务产生的影响,谨慎操作。 在同一
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
