- 最新动态
- 功能总览
- 产品介绍
- 快速入门
- 用户指南
- 最佳实践
-
API参考
- 使用前必读
- API概览
- 如何调用API
- API
- API V3
- API(OpenStack Neutron V2.0 原生)
- 应用示例
-
权限和授权项
- 策略及授权项说明
- VPC
- 子网
- 端口
- 对等连接
- VPC路由
- 路由表
- 配额
- 私有IP
- 安全组
- 安全组规则
- VPC标签
- 子网标签
- VPC流日志
- 端口(Openstack Neutron API)
- 网络(Openstack Neutron API)
- 子网(Openstack Neutron API)
- 路由器(Openstack Neutron API)
- 网络ACL(Openstack Neutron API)
- 安全组(Openstack Neutron API)
- VPC(API V3)
- 安全组(API V3)
- 安全组规则(API V3)
- IP地址组(API V3)
- 辅助弹性网卡(API V3)
- 流量镜像会话(API V3)
- 流量镜像筛选条件(API V3)
- 流量镜像筛选规则(API V3)
- 网络ACL(API V3)
- 网络ACL标签(API V3)
- 端口(API V3)
- API授权项注意事项
- 常见问题
- 历史API
- 附录
- SDK参考
-
常见问题
- 计费类
- 虚拟私有云与子网类
- 弹性公网IP类
- 对等连接类
- 虚拟IP类
- 带宽类
-
网络连接类
- VPN支持将两个VPC互连吗?
- ECS有多个网卡时,为何无法通过域名访问公网网站及云中的内部域名?
- 同时拥有自定义路由和EIP的ECS访问外网的优先级是什么?
- 本地主机访问使用弹性云服务器搭建的网站出现间歇性中断怎么办?
- 同一个子网下的弹性云服务器只能通过内网IP地址单向通信怎么办?
- 同一个VPC内的两台弹性云服务器无法互通或者出现丢包等现象时,如何排查?
- Cloud-init连接出现问题时,如何排查?
- EIP连接出现问题时,如何排查?
- 二三层通信出现问题时,如何排查?
- 裸机网络出现问题时,如何排查?
- 弹性云服务器IP获取不到时,如何排查?
- VPN及专线网络连接出现问题时,如何排查?
- 外网能访问服务器,但是服务器无法访问外网时,如何排查?
- 配置了IPv6双栈,为什么无法访问IPv6网站?
- 弹性云服务器防火墙配置完成后,为什么网络不通?
- 路由类
- 安全类
- 视频帮助
- 产品术语
-
更多文档
- 用户指南(阿布扎比区域)
-
API参考
- 使用前必读
- API概览
- 如何调用API
- 快速入门
- API V1/V2
- API V3
- API(OpenStack Neutron V2.0 原生)
-
权限和授权项
- 策略及授权项说明
- VPC
- 子网
- 端口
- 对等连接
- VPC路由
- 路由表
- 配额
- 私有IP
- 安全组
- 安全组规则
- VPC标签
- 子网标签
- 端口(Openstack Neutron API)
- 网络(Openstack Neutron API)
- 子网(Openstack Neutron API)
- 路由器(Openstack Neutron API)
- 网络ACL(Openstack Neutron API)
- 安全组(Openstack Neutron API)
- VPC(API V3)
- 安全组(API V3)
- 安全组规则(API V3)
- IP地址组(API V3)
- 辅助弹性网卡(API V3)
- 网络ACL(API V3)
- 网络ACL标签(API V3)
- API授权项注意事项
- 历史API
- 附录
- 文档修订记录
-
用户指南(巴黎区域)
- 产品介绍
- 快速入门
- 虚拟私有云和子网
- 访问控制
- 弹性IP
- 共享带宽
- 路由表
- 对等连接
- VPC流日志
- 虚拟IP
- 审计
- 监控
-
常见问题
- 通用类
- 计费类
- 虚拟私有云与子网类
- 弹性IP类
- 对等连接类
- 虚拟IP类
- 带宽类
-
网络连接类
- VPN支持将两个VPC互连吗?
- 弹性云服务器有多个网卡时,为何无法通过域名访问公网网站及云中的内部域名?
- 同时拥有自定义路由和弹性IP的访问外网的优先级是什么?
- 本地主机访问使用弹性云服务器搭建的网站出现间歇性中断怎么办?
- 同一个子网下的弹性云服务器只能通过内网IP地址单向通信怎么办?
- 同一个VPC内的两台弹性云服务器无法互通或者出现丢包等现象时,如何排查?
- Cloud-init连接出现问题时,如何排查?
- EIP连接出现问题时,如何排查?
- 弹性云服务器IP获取不到时,如何排查?
- VPN及专线网络连接出现问题时,如何排查?
- 外网能访问服务器,但是服务器无法访问外网时,如何排查?
- 配置了IPv6双栈,为什么无法访问IPv6网站?
- 弹性云服务器防火墙配置完成后,为什么网络不通?
- 路由类
- 安全类
- 修订记录
- API参考 (巴黎区域)
- 用户指南(吉隆坡区域)
- API参考(吉隆坡区域)
- 用户指南(安卡拉区域)
- API参考(安卡拉区域)
- 通用参考
链接复制成功!
通过第三方防火墙实现VPC和云下数据中心互访流量清洗
操作场景
用户IDC数据中心和华为云通过云专线(DC)或虚拟专用网络(VPN)通信成功,在华为云的内网上使用第三方虚拟化防火墙,使得云上云下的业务流量经过自定义的第三方防火墙,对云上的业务进行灵活的安全控制。
本文以用户同区域的多VPC与本地IDC连通为例,介绍混合云使用第三方防火墙的应用场景。
方案优势
- 支持用户的第三方防火墙。
- 用户云上云下流量经过第三方防火墙。
- 支持用户自定义的更加灵活的安全策略。
典型拓扑
假设用户业务部署在VPC1、VPC2、VPC3及本地IDC中,并且需要在云上使用第三方虚拟化防火墙。用户可以将第三方虚拟化防火墙配置在VPC2的弹性云服务器中,使用对等连接及路由规则将VPC间进行连通。同时,在VPC3中创建云专线,使云上VPC与云下IDC实现连通。
实现方式如下:
![](https://support.huaweicloud.com/intl/zh-cn/bestpractice-vpc/zh-cn_image_0252771845.png)
前提条件
VPC1与VPC2,VPC3子网网段不能重叠,否则对等连接无法通信成功。
配置步骤
- 创建VPC
创建VPC1,VPC2,VPC3。
具体操作请参见创建虚拟私有云和子网。
说明:
创建的VPC1,VPC2,VPC3网段不能重叠。例如VPC1:10.0.1.0/24;VPC2:10.0.2.0/24;VPC3:172.16.0.0/16
- 创建弹性云服务器
- 创建ECS1,ECS2,分别属于VPC1的子网,VPC2的子网。
具体方法请参见自定义购买ECS。
说明:
ECS2的网卡要关闭源/目的检查。
- 在弹性云服务器ECS2中部署第三方防火墙。
- 创建ECS1,ECS2,分别属于VPC1的子网,VPC2的子网。
- 创建对等连接
VPC1和VPC2,VPC2和VPC3,分别创建对等连接,实现VPC间的连通。
创建对等连接时,先不配置本端和对端的路由规则,具体配置路由规则参见配置路由规则。
具体操作请参见创建对等连接。
- 创建子网路由表
创建自定义路由表,关联VPC2的子网,控制VPC2的子网的出流量走向。
具体操作请参见创建自定义路由表。
- 创建虚拟IP并绑定弹性云服务器(可选)
您可以在VPC2中创建主备服务器,并绑定同一虚拟IP,当主服务器发生故障无法对外提供服务时,动态将虚拟IP切换到备服务器,继续对外提供服务。如果不需要备用服务器,此步骤可以省略。
- 在VPC2的子网下创建虚拟IP。
具体操作请参见申请虚拟IP地址。
- 将创建的虚拟IP绑定到弹性云服务器ECS2上。
具体操作请参考虚拟IP绑定云服务器。
- 在VPC2的子网下创建虚拟IP。
- 创建云专线
使用VPC3创建专线,使云上VPC与云下IDC实现连通。具体操作参见创建云专线。
- 配置路由规则
通过配置路由规则将指向目的地址的流量转发到指定的下一跳地址。
- 修改VPC1的默认路由表,增加一条路由规则:
- 修改VPC2的默认路由表,增加一条路由规则:
如果涉及主备部署,创建了虚拟IP的情况下,此处下一跳是虚拟IP的地址。
- 修改VPC2的子网路由表,增加两条规则:
- VPC2 > VPC1,目的地址:VPC1的CIDR,下一跳:VPC1与VPC2的对等连接。
- VPC2 > 用户IDC,目的地址:用户IDC的CIDR,下一跳:VPC2与VPC3的对等连接。
- 修改VPC3的默认路由表,增加一条路由规则:
目的地址:0.0.0.0/0,下一跳:VPC2和VPC3的对等连接。
由于上述的创建云专线创建了专线,此处有一条系统自动下发的到专线的路由
配置验证
登录弹性云服务器ECS1访问用户IDC,在ECS2中可以收到ECS1发给用户IDC的报文,报文经过ECS2中的防火墙,被防火墙规则过滤。