图1 跨区域VPC互通组网规划 表1 网络流量路径说明 路径 说明 请求路径:VPC-A→VPC-B 在VPC-A路由表中,通过下一跳为ER-A的路由将流量转送到ER-A。
流日志 流日志概述 创建流日志 查看流日志信息 关闭流日志 开启流日志 删除流日志 流日志配置示例:查看不同VPC之间的互访流量(ER连通VPC)
比如流量的目的地址为192.168.1.12/32,路由A的目的地址为192.168.0.0/16,下一跳为VPN-A连接,路由B的目的地址为192.168.1.0/24,下一跳为VPC-B连接,则该流量优先匹配路由B,将到达VPC-B连接。 父主题: 路由
您可以通过企业路由器、虚拟私有云VPC和云防火墙(Cloud Firewall,CFW)构建组网,实现云上VPC间的流量防护,包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等,具体可参见通过企业路由器和云防火墙构建组网。
IP地址 目的地址 目的地址需要确保该VPC的流量可以访问到其他接入企业路由器的VPC,请您根据组网的实际规划进行配置,支持修改。 为了方便配置以及后续的网络扩展,建议您目的地址配置成VPC网段或者子网的地址。
须知: 请务必添加指向VPC对等连接的临时通信路由,由于VPC对等连接功能的限制,此路由可以确保迁移过程中,删除VPC对等连接路由时流量不中断。此处流量不中断仅针对本文的方案,您的实际迁移过程中可能会中断流量,请务必联系华为云客服评估迁移方案。
ping 弹性云服务器IP地址 以登录ecs-isolation-01,验证vpc-isolation-01与vpc-isolation-02、vpc-isolation-03的网络隔离情况为例: ping 10.2.0.215 ping 10.3.0.14 回显如下信息,没有流量信息
图2 企业路由器工作原理图 表1 网络流量路径说明 序号 路径 说明 1 请求路径:VPC1→DC全域接入网关 从VPC1去往DC全域接入网关的流量,从VPC1抵达ER1后,会根据ER1默认路由表中DGW连接的传播路由寻址转发。
在区域A内创建一个企业路由器ER,将VPC和DC的全域接入网关接入ER内,ER可以在接入的VPC和全域接入网关之间转发流量,构建混合云组网。 图1 企业路由器和全域接入网关混合云组网 约束与限制 云上VPC子网网段与客户IDC侧子网网段不能重复。
在ER路由表中创建下一跳为VPC4连接的静态路由,网段为0.0.0.0/0,表示将访问公网的流量路由至VPC4。 创建静态路由,具体方法请参见创建静态路由。 创建VPC4的静态路由后,可以删除VPC4的传播路由,具体方法请参见删除传播。 在VPC路由表中配置ER的路由信息。
共享概述 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息,您可以监控连接的网络流量、进行网络攻击分析等,帮助您实现高效的网络运维。
删除原有指向VPC对等连接的路由时,在整个删除过程中,需要登录运行业务的ECS,执行ping命令,观察流量是否中断,如果出现流量中断,请立即添加回已删除的路由。
当您的VPC和ER组网存在以下情况时,则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0,那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC内有ELB(独享型或者共享型)、NAT网关、VPCEP、DCS服务。
不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0,如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由,并且优先级高于ER路由,此时会导致流量转发至EIP,无法抵达ER。 开启 描述 该连接的描述信息,支持修改。
通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息,您可以监控连接的网络流量、进行网络攻击分析等,帮助您实现高效的网络运维。
当您的VPC和ER组网存在以下情况时,则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0,那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC内有ELB(独享型或者共享型)、NAT网关、VPCEP、DCS服务。
企业路由器访问该VPC的流量将会匹配该子网关联的VPC路由表。 虚拟私有云:vpc-A 子网:subnet-A01 配置连接侧路由 可选参数。
两个可用区均部署企业路由器时,可用区内流量遵循本地优先原则,即优先访问同一个可用区内的企业路由器,减少时延,提升访问速率。 可用区1 可用区2 名称 必选参数。 输入企业路由器的名称。要求如下: 长度范围为1~64位。
AS_Path列表的变更会改变路由的流量走向,因此为了减少变更对网络性能的影响,同一个AS_Path列表在40 s内只允许变更一次。 父主题: AS_Path列表
IP地址前缀列表的变更会改变路由的流量走向,因此为了减少变更对网络性能的影响,同一个IP地址前缀列表在40 s内只允许变更一次。 父主题: IP地址前缀列表
