关于公共地址范围
VPC 的公共地址范围仅供有特殊访问权限的用户用于评估和测试目的。
公共地址范围是一组连续的公共 IP,您可以将其保留并绑定到可用性区域中的 VPC。
通过配置公共入口路由,将目标 IP 范围路由到 VNF 设备的下一跳,可将范围内的 IP 路由到 VPC 中的虚拟网络功能 (VNF) 设备。 来自 VNF 设备的响应流量在出口时会保留源 IP,确保流量不会被丢弃。
有关配置入口路由的更多信息,请参阅 关于路由表和路由。
主要能力和优势
以下主要优势突出说明了 VPC 公共地址范围服务如何支持可扩展、安全和高可用性的网络。
- 连续 IP 范围
- 公共地址范围为可扩展和可管理的路由选择和安全策略提供了一组连续的 IBM 提供的公共 IP。
- 资源管理
- 公共地址范围可简化访问控制和安全性,同时使单一公共入口路由能够检查来自多个端点的流量,并确保 VPC 上企业应用的安全。
- 可伸缩性
- 当你需要更多公共 IP 时,可以预留更大的前缀,而无需手动管理单个地址。
- 高可用性
- 在有可用性区域的地区,可以创建区域冗余公共 IP 范围来分配 IP 地址,以实现高可用性。 这些公共地址范围是区域性的,可以在相同或不同可用性区域的 VPC 之间移动。
规划注意事项
在创建公共地址范围之前,请查看以下注意事项:
-
确保您拥有适当的 IAM 权限。
-
审查公共广播范围 限制。
-
您可以将多个公共地址范围绑定到一个 VPC。
-
您不能将公共地址范围划分为子范围,并将其绑定到多个 VPC 或区域。
-
保留地址范围后,就不能更改其大小了。 确保预留的公共广播范围足够大,以满足您的需求。
不同公共地址范围内的 IP 不保证连续。
-
您可以通过配置网络 ACL、安全组或两者的组合,将公共地址范围的使用限制在 VPC 内的特定资源上。
-
当公共地址范围与 VPC 中的区域绑定后,来自 VPC 中该区域的任何虚拟服务器或裸机服务器的流量,只要使用公共地址范围中的源 IP,就可以与公共和专用目的地通信。 为了限制这种情况,您可以
- 配置安全组,限制哪些资源可以发送或接收带有公共地址范围 IP 地址的流量。
- 配置网络 ACL,在子网级别允许或拒绝流量。
- 配置 VPC 出口路由,明确引导出站流量,避免意外路径。
在设置这些网络流量控制时,请记住有些用户可能缺乏必要的 IAM 权限,无法正确保护资源。
-
您可以使用以下前缀大小预留公共地址范围。 有关详细信息,请查看公共地址范围 配额和服务限制。
/28
= 16 个地址/29
= 8 个地址/30
= 4 个地址/31
= 2 个地址/32
= 1 个地址
-
如果 VPC 中的公共地址范围与私有地址前缀重叠,则私有地址前缀优先。
开始使用公共地址范围
要开始使用公共地址范围,请按照以下步骤操作:
-
确保您已 创建 VPC 和所有需要的资源(如果尚不存在)。
-
创建公共地址范围后 ,绑定、解除绑定和移动公共 地址范围。
-
为 VPC 配置入口路由表,添加将流量导向目标设备下一跳 IP 的路由,并使用公共 IP 地址范围作为目标。 这些路由将公共互联网流量导向 VPC 内的下一跳,如 Network Functions Virtualization (NFV) 实例、路由器、防火墙或负载平衡器。
下一跳 IP 必须是绑定到路由入口路由区域内子网的网络接口上的 IP 地址。
IAM 角色和操作
IBM Cloud Identity and Access Management (IAM) 控制账户中用户对公共地址范围的访问。 在您的账户中访问该服务的每个用户都必须分配一个具有 IAM 角色的访问策略。 查看以下可用平台和服务角色以及映射到每个角色的操作,以帮助您分配访问权限。
如果使用 CLI 或 API 分配访问权限,请使用 is.public-address-range
作为服务名称。
角色 | 描述 |
---|---|
管理员 | 作为管理员,您可以基于分配给此角色的资源,执行所有平台操作,包括向其他用户分配访问策略。 |
编辑者 | 作为编辑者,您可以执行所有平台操作,但管理帐户和分配访问策略除外。 |
运算符 | 作业操作员,您可以执行配置和操作服务实例所需的平台操作,如查看服务仪表板。 |
查看者 | 作为查看者,您可以查看服务实例,但是您无法修改它们。 |
操作 | 描述 | 角色 |
---|---|---|
is.public-address-range.public-address-range.read |
读取公共地址范围 | 管理员、编辑者、操作员、查看者 |
is.public-address-range.public-address-range.list |
列出公共地址范围 | 管理员、编辑者、操作员、查看者 |
is.public-address-range.public-address-range.create |
创建公共地址范围 | 管理员、编辑者 |
is.public-address-range.public-address-range.update |
修改公共地址范围 | 管理员、编辑者 |
is.public-address-range.public-address-range.operate
和 |
绑定、解除绑定或移动公共地址范围 | 管理员、编辑者 |
is.public-address-range.public-address-range.delete |
删除公共地址范围 | 管理员、编辑者 |
常见用例
公共地址范围可帮助客户简化网络和安全设备与网络拓扑结构的集成,从而在 VPC 上运行工作负载。 这为路由选择、安全和流量管理提供了更多控制,使解决方案能够提高网络性能和安全性。
确保 VPC 中工作负载的安全
为有效管理敏感数据的访问,防火墙可使用基于策略的路由选择自动检测和处理威胁,以增强安全性。 您可以定义公共地址范围,以公开特定服务或应用程序,从而实现受控进入 VPC。 为公共端点定义路由规则,将入口流量在到达最终目的地前重定向到第三方设备。 这种方法可简化生产级应用程序的部署,并在 VPC 中提供所需的网络和安全服务。
在 VPC 中部署高可用性和弹性工作负载
为确保工作负载的弹性,您可以使用公共地址范围在区域故障期间保持对服务的一致访问。 如果分区出现故障,互联网流量会被重新路由到部署在另一分区的虚拟网络功能(VNF)设备上,以进行监控和检查,从而保持 VPC 内的高可用性。