Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Virtual Private Cloud/ Melhores práticas/ Uso de firewalls de terceiros ao conectar um data center local à nuvem
Atualizado em 2024-09-20 GMT+08:00
Ver PDF
Compartilhar

Uso de firewalls de terceiros ao conectar um data center local à nuvem

Cenários

Seu data center local se comunica com a Huawei Cloud por meio da Direct Connect ou VPN. Um firewall virtual de terceiros é implementado na nuvem para filtrar o tráfego.

Esta seção descreve como usar um firewall virtual de terceiros ao conectar seu data center local a várias VPCs.

Vantagens

  • Você pode usar firewalls de terceiros.
  • O tráfego entre a nuvem e o data center local passará pelo firewall virtual de terceiros.
  • Você pode definir regras de segurança conforme necessário.

Topologia típica

Suponha que seus serviços estejam implantados em VPC 1, VPC 2, VPC 3 e seu data center local, e você precisa usar um firewall virtual de terceiros na nuvem. Você pode configurar o firewall virtual no ECS 2 na VPC 2 e usar conexões de emparelhamento da VPC e configurar rotas para permitir a comunicação entre as VPCs. Além disso, você precisa criar uma conexão da Direct Connect para permitir a comunicação entre a VPC 3 e o data center local.

O diagrama de implementação é o seguinte:

Figura 1 Diagrama de implementação

Pré-requisitos

Os blocos CIDR de sub-rede da VPC 1, VPC 2 e VPC 3 não podem se sobrepor. Caso contrário, a comunicação por meio de conexões de emparelhamento VPC falhará.

Procedimento

  1. Criar VPCs.

    Crie VPC 1, VPC 2 e VPC 3.

    Para obter detalhes, consulte Criação de uma VPC.

    Os blocos CIDR da VPC 1, VPC 2 e VPC 3 não podem se sobrepor. Por exemplo, o bloco CIDR da VPC 1 é 10.0.1.0/24, o da VPC 2 é 10.0.2.0/24 e o do VPC 3 é 172.16.0.0/16.

  2. Criar ECSs.

    1. Crie o ECS 1 e o ECS 2, que pertencem à sub-rede da VPC 1 e à sub-rede da VPC 2, respectivamente.

      Para obter detalhes, consulte Compra de um ECS.

      A verificação de origem/destino deve ser desabilitada para a NIC do ECS 2.

    2. Implemente um firewall virtual de terceiros no ECS 2.

  3. Criar conexões de emparelhamento de VPC.

    Crie conexões de emparelhamento de VPC entre VPC 1 e VPC 2, VPC 2 e VPC 3 para permitir a comunicação entre elas.

    Ao criar uma conexão de emparelhamento de VPC, não configure rotas para as extremidades local e de par. Configurar rotas em 7.

    Para obter detalhes sobre criar conexões de emparelhamento de VPC, consulte Criação de uma conexão de emparelhamento de VPC com outra VPC na sua conta.

  4. Criar uma tabela de rotas para uma sub-rede.

    Crie uma tabela de rotas personalizada e associe-a à sub-rede da VPC 2 para controlar o tráfego de saída.

    Para obter detalhes, consulte Criação de uma tabela de rotas personalizada.

  5. (Opcional) Atribuir um endereço IP virtual e vincule-o a ECSs.

    Você pode criar dois ECSs na VPC 2 e vinculá-los ao mesmo endereço IP virtual para que possam funcionar no modo ativo e em espera. Se o ECS ativo estiver com defeito e não puder fornecer serviços, o endereço IP virtual será alternado dinamicamente para o ECS em espera para continuar fornecendo serviços. Ignore esta etapa se o ECS em espera não for necessário.
    1. Atribua um endereço IP virtual na sub-rede da VPC 2.

      Para obter detalhes, consulte Atribuição de um IP virtual.

    1. Vincule o endereço IP virtual ao ECS 2.

      Para obter detalhes, consulte Vinculação de um endereço IP virtual a um EIP ou ECS.

  6. Criar uma conexão Direct Connect.

    Use uma conexão Direct Connect para habilitar a comunicação entre a VPC 3 e o data center local. Para obter detalhes, consulte Criar uma conexão.

  7. Configurar rotas.

    Você pode configurar rotas para encaminhar o tráfego para um próximo salto e, finalmente, para um destino.
    1. Adicione a rota a seguir à tabela de rotas padrão da VPC 1:

      Adicione uma rota para encaminhar o tráfego da VPC 1 para o data center local, defina o destino da rota para o bloco CIDR do data center local, e o próximo salto da rota para a conexão de emparelhamento da VPC entre a VPC 1 e a VPC 2.

      Figura 2 é para referência.
      Figura 2 Rotas na tabela de rotas padrão da VPC 1
    2. Adicione a rota a seguir à tabela de rotas padrão da VPC 2:

      Defina o destino da rota para 0.0.0.0/0 e o próximo salto da rota para o ECS 2.

      Se houver dois ECSs que usam o mesmo endereço IP virtual para trabalhar no modo ativo e em espera, o próximo salto deverá ser o endereço IP virtual.

      Figura 3 é para referência.
      Figura 3 Rotas na tabela de rotas padrão da VPC 2
    3. Adicione as seguintes rotas à tabela de rotas da sub-rede da VPC 2:
      1. Adicione uma rota para encaminhar o tráfego da VPC 2 para a VPC 1, defina o destino da rota para o bloco CIDR da VPC 1 e o próximo salto da rota para a conexão de emparelhamento da VPC entre a VPC 1 e a VPC 2.
      2. Adicione uma rota para encaminhar o tráfego da VPC 2 para o data center local, defina o destino da rota para o bloco CIDR do data center local, e o próximo salto da rota para a conexão de emparelhamento da VPC entre a VPC 2 e a VPC 3.
        Figura 4 é para referência.
        Figura 4 Rotas na tabela de rotas da sub-rede da VPC 2
    4. Adicione a rota a seguir à tabela de rotas padrão da VPC 3:

      Defina o destino da rota como 0.0.0.0/0 e o próximo salto da rota para a conexão de emparelhamento da VPC entre a VPC 2 e a VPC 3.

      Figura 5 é para referência.
      Figura 5 Rotas na tabela de rotas padrão da VPC 3

      Uma conexão Direct Connect foi criada em 6. Assim, uma rota para a conexão Direct Connect será entregue automaticamente pelo sistema.

Verificação

Faça logon no ECS 1 e acesse seu data center local a partir do ECS 1. Verifique se o ECS 2 pode receber pacotes enviados do ECS 1 para o data center. Verifique se os pacotes passam e são filtrados pelo firewall no ECS 2.