VPC边界防火墙（集群模式）

云防火墙提供集群模式的 VPC 边界开关功能，在 VPC 边界开关页面，可自动探测到您所有的对等连接实例，并为您配置对应的防火墙开关。

接入依赖与风险

接入影响

接入 VPC 边界防火墙时，因需动态发布路由规则以实现流量牵引，会在路由生效瞬间产生1~2秒网络抖动，具体影响范围及应对建议如下：

• ​业务访问​​：跨 VPC 云服务器到云服务器的互访、同 VPC 内服务器之间的互访均不会中断，用户感知为短暂延迟波动。
• ​​PaaS 服务访问​​：在对等连接上开启或关闭安全防护时，可能导致跨 VPC 访问 PaaS 服务的长连接会话中断。需依赖应用层实现长连接自动重连机制，以确保服务快速恢复。

  说明：

  接入产生的网络抖动为路由发布的正常技术现象，建议在业务低峰期执行防火墙开关开启操作，并提前验证关键业务的自动重连能力。

接入限制

当前暂不支持对跨地域 VPC 间的流量进行防护，因此该部分流量无法接入 VPC 边界防火墙。

防火墙开关

1. 在左侧导航栏中，选择防火墙开关 > VPC 边界开关。
2. 在 VPC 边界开关页面，您可以根据需要选择对单个、批量或全部对等连接实例开启防护。
   • 单个开启：单击目标对等连接实例操作列的防护墙开关。
   • 批量开启：勾选多个目标对等连接实例，然后单击页面上方的批量开启。
   • 全部开启：勾选列表标题栏的全选复选框，然后单击页面上方的批量开启。
     执行上述任一操作后，系统将弹出确认开启对话框。
     
3. 在确认开启对话框中，您需要选择引流子网的创建方式。云防火墙将根据您的选择，在接入的VPC内创建一个 28 网段的子网，用于将流量牵引至防火墙。
   • 自有网段优先：云防火墙会在您所选的 VPC 内自动选择空闲子网网段；当 VPC 内无子网配额时，我们会使用所选 VPC 的扩展网段。
   • 扩展网段优先：云防火墙会优先使用空闲的 VPC 保留的扩展网段，该模式下不会占用所选 VPC 子网配额。
   • 自定义：您可以自定义供防火墙使用的子网网段，请注意必须为 28 网段；自定义网段必须属于当前 VPC 的 CIDR。
     示例：192.168.0.0/28
4. 单击确定，即可开启防护。
5. 您后续可以在实例列表中，对已开启防护的实例进行关闭、查看规则、查看日志等操作。单个、批量、全部关闭方式与对应开启方式相同。

   说明：

   • 开启防火墙开关后，该防护对象的流量将经过防火墙，访问控制规则、入侵防御功能将生效，并记录流量日志。
   • 关闭防火墙开关时，如果关联VPC已无任何关联对等连接实例处于防护中，将删除对应引流相关资产。
   • 关闭防火墙开关后，该防护对象的流量不会经过防火墙，访问控制规则对其失效，入侵防御功能也将失效，不再记录流量日志。

状态监控

VPC 边界防火墙状态监控支持统计各个对等连接实例的带宽。

1. 在峰值带宽趋势面板右上角，单击查看监控。
2. 状态监控：①VPC 边界防火墙界面中，可以基于②对等连接实例名称对带宽监控维度进行筛选，通过选择③时间范围修改统计维度，可以看到④监控曲线。
   

主备模式与集群模式的区别

VPC 边界防火墙主备模式与集群模式版本的差异请参见下表。