阿里云-nat/vpc/fw

NAT网关使用限制

NAT网关的其他限制如下:

  • 当VPC内无公网IP的ECS实例通过NAT网关访问公网上同一个目的IP和端口时,NAT网关SNAT条目配置的EIP数量会限制NAT网关的最大并发数。

    • 当SNAT条目配置1个EIP时,NAT网关的最大并发数为55000。
    • 当SNAT条目配置n个EIP时,NAT网关的最大并发数为n*55000。
  • SNAT IP地址池中每个公网IP的最大带宽限制为200M。为了使SNAT规则能充分利用共享带宽的带宽能力,及避免公网IP过少导致端口冲突,建议您按照以下配比关系添加公网IP:

    • 共享带宽的带宽峰值为1024M时,SNAT规则中的公网IP数量应至少为5个。
    • 共享带宽的带宽峰值以1024M为基础每增加200M,SNAT规则中都应至少再新增1个公网IP。
  • 如果您的业务使用了SNAT功能,且SNAT IP地址已经加入到共享带宽,当您对共享带宽的带宽峰值做以下变更时,可能会出现业务闪断的现象:

    • 小于1Gbps带宽峰值变更到大于1Gbps带宽峰值。
    • 大于1Gbps带宽峰值变更到小于1Gbps带宽峰值。

    建议您的业务设置自动重连机制,减小闪断对业务造成的影响。

  • 如果您的ECS实例已经绑定了EIP,则不支持为该ECS实例添加DNAT条目。

    如需为该ECS实例添加DNAT条目,请先将ECS实例与EIP解绑。解绑后,再为该ECS实例添加DNAT条目。

VPC

每个VPC都由一个路由器、至少一个私网网段和至少一个交换机组成。

VPC互联

云企业网 支持将多个不同地域、不同账号的VPC连接起来,构建互联网络。

VPN网关 通过在两个VPC之间创建IPsec连接,建立加密通信通道。

是否支持通过云企业网共享NAT网关 不支持 无例外

连接本地IDC

高速通道 VPN网关 云企业网 智能接入网关

业务系统隔离

不同的VPC之间逻辑隔离。如果您有多个业务系统例如生产环境和测试环境要严格进行隔离,那么可以使用多个VPC进行业务隔离。当有互相通信的需求时,可以在两个VPC之间建立对等连接。

网络ACL具有以下特性
  • 网络ACL的规则是无状态的,设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。
  • 网络ACL无任何规则时,会拒绝所有出入方向的访问。
  • 网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量。

与交换机绑定的网络ACL规则控制允许进入交换机的数据流,与实例相关的安全组规则控制允许进入实例的数据流。网络ACL和安全组的基本差异如下表。

网络ACL 安全组
在交换机级别运行。 在实例级别运行。
无状态:返回数据流必须被规则明确允许。 有状态:返回数据流会被自动允许,不受任何规则的影响。
不评估所有规则,按照规则的生效顺序处理所有规则。 执行规则前,会评估所有规则。
ECS实例所属的交换机仅允许绑定一个网络ACL。 一个ECS实例可加入多个安全组。

云防火墙支持防护的范围

互联网方向 VPC间已使用云企业网或高速通道连接VPC间通信的流量

基础版、企业版、旗舰版支持同步安全组策略;高级版不支持

企业版支持边界vpc防火墙

posted @ 2020-08-26 12:44  kylingx  阅读(425)  评论(0编辑  收藏  举报