更新时间:2024-12-02 GMT+08:00
使用CFW跨账号防护VPC资源
应用场景
多个账号的资源防护,例如,企业中不同部门使用不同的账号,但多部门之间需要共用云防火墙的防护策略。
本文介绍使用CFW防护A账号的VPC后,如何将其它账号的VPC资源加入防护。
方案介绍
A账号已配置VPC边界防护并运行一段时间,此时需要将B账号、C账号的VPC资源加入防护的方案为:
A账号将企业路由器共享至B账号、C账号,使用B账号、C账号在企业路由器中添加连接,在A账号的企业路由器中接受连接,并添加关联和传播,在B账号、C账号的VPC中添加路由,则完成防护接入,此时云防火墙中的防护策略将同步防护B账号、C账号下的VPC资源。
图1 跨账号防护方案
图2 操作步骤
资源和成本规划
如何将其它账号下的VPC资源加入防护
A账号中已经开启VPC边界防护(操作方式请参见通过配置CFW防护规则实现两个VPC间流量防护),并运行一段时间,此时将B账号、C账号的VPC资源加入防护的操作如下:
- 在A账号中将企业路由器共享至B账号、C账号,共享步骤请参见创建共享。
- 使用B账号、C账号在企业路由器中添加连接,具体操作请参见企业路由器中添加VPC连接。
- 每个VPC需要添加1个连接。
- 下文资源举例:B账号下的1个VPC资源名为VPC1,连接为VPC_B;C账号下的1个VPC资源名为VPC2,连接为VPC_C。
- 使用A账号配置路由表。
- 接受B账号、C账号的连接申请,具体操作请参见接受连接创建申请。
- 添加关联。
单击企业路由器名称,并选择“路由表”页签,在路由表设置页面,选择关联路由表(er-RT1),单击“关联”页签,单击“创建关联”。
如何识别关联路由表:关联路由表用于将流量从VPC传输到云防火墙,即当前配置如下:- 关联页签(多条关联的连接):
- 连接类型:虚拟私有云(VPC)
- 连接:A账号下多个VPC的连接。
- 路由页签的关键参数:
- 连接类型:云防火墙(CFW)
- 下一跳:防火墙连接(cfw-er-auto-attach)
此处以添加B账号的VPC资源为例,如需添加多个(例如3个)VPC资源,需要添加对应个数(例如3个)的关联。
- 连接类型:选择“虚拟私有云(VPC)”。
- 连接:选择B账号下的VPC连接,即VPC_B。
此时关联路由表配置如下:
- 关联页签(多条关联的连接+VPC_B):
- 连接类型:虚拟私有云(VPC)
- 连接:A账号下多个VPC的连接、B账号下VPC的连接。
- 路由页签的关键参数:
- 连接类型:云防火墙(CFW)
- 下一跳:防火墙连接(cfw-er-auto-attach)
- 关联页签(多条关联的连接):
- 添加传播。
选择传播路由表(er-RT2),单击“传播”页签,单击“创建传播”。
如何识别传播路由表:传播路由表用于将流量从云防火墙传输到VPC,即当前配置如下:- 关联页签的关键参数:
- 连接类型:云防火墙(CFW)
- 连接:防火墙连接(cfw-er-auto-attach)
- 传播页签(多条传播的连接):
- 连接类型:虚拟私有云(VPC)
- 连接:A账号下多个VPC的连接。
此处以添加B账号的VPC资源为例,如需添加多个(例如3个)VPC资源,需要添加对应个数(例如3个)的传播。
- 连接类型:选择“虚拟私有云(VPC)”。
- 连接:选择B账号下的VPC连接,即VPC_B。
此时传播路由表配置如下:
- 关联页签的关键参数:
- 连接类型:云防火墙(CFW)
- 连接:防火墙连接(cfw-er-auto-attach)
- 传播页签(多条传播的连接+VPC_B):
- 连接类型:虚拟私有云(VPC)
- 连接:A账号下多个VPC的连接、B账号下VPC的连接。
- 关联页签的关键参数:
- 使用B账号、C账号,配置VPC的路由表。
例如需要防护VPC1和VPC2之间的流量,则此处将VPC1的路由指向VPC2,VPC2的路由指向VPC1。
- 返回至企业路由器服务页面,在左侧导航栏中,选择,进入“路由表”页面。
- 在“名称/ID”列,单击对应VPC的路由表名称,进入路由表“基本信息”页面。
- 单击“添加路由”,主要参数填写如下:
- B账号的VPC1中添加路由:
- 目的地址类型:选择“IP地址”。
- 目的地址:填写VPC2的网段
- 下一跳类型:企业路由器
- C账号的VPC2中添加路由:
- 目的地址类型:选择“IP地址”。
- 目的地址:填写VPC1的网段
- 下一跳类型:企业路由器
- B账号的VPC1中添加路由:
- 配置防护策略。
接入同一个企业路由器的VPC资源,默认使用该企业路由器绑定的云防火墙下的防护策略。
- 查看日志信息,详细介绍请参见防护日志概述。
相关文档
如果您需要跨账号防护EIP资源,请参见使用CFW跨账号防护EIP资源。
