关于公共地址范围

公共地址范围是一组连续的公共 IP，您可以将其保留并绑定到可用性区域中的 VPC。

您可以将范围内的 IP 路由到 VPC 中的目标资源，如虚拟服务器实例、VNF 设备或其他计算资源。例如，您可以配置公共入口路由，将目标 IP 范围发送到 VNF 设备的下一跳。来自目标的响应流量在流出 VPC 时会保留原始源 IP，确保返回流量不会被丢弃。

有关配置入口路由的更多信息，请参阅关于路由表和路由。

主要能力和优势

以下主要优势突出说明了 VPC 公共地址范围服务如何支持可扩展、安全和高可用性的网络。

连续 IP 范围: 公共地址范围为可扩展和可管理的路由选择和安全策略提供了一组连续的 IBM 提供的公共 IP。
资源管理: 公共地址范围可简化访问控制和安全性，同时使单一公共入口路由能够检查来自多个端点的流量，并确保 VPC 上企业应用的安全。
可伸缩性: 当你需要更多公共 IP 时，可以预留更大的前缀，而无需手动管理单个地址。
高可用性: 在有可用性区域的地区，可以创建区域冗余公共 IP 范围来分配 IP 地址，以实现高可用性。这些公共地址范围是区域性的，可以在相同或不同可用性区域的 VPC 之间移动。

规划注意事项

在创建公共地址范围之前，请查看以下注意事项：

确保您拥有适当的 IAM 权限。
您可以将多个公共地址范围绑定到一个 VPC。
您不能将公共地址范围划分为子范围，并将其绑定到多个 VPC 或区域。
保留地址范围后，就不能更改其大小了。确保预留的公共广播范围足够大，以满足您的需求。

不同公共地址范围内的 IP 不保证连续。
您可以通过配置网络 ACL、安全组或两者的组合，将公共地址范围的使用限制在 VPC 内的特定资源上。
您可以使用以下前缀大小预留公共地址范围。有关详细信息，请查看公共地址范围配额和服务限制。
- /28 = 16 个地址
- /29 = 8 个地址
- /30 = 4 个地址
- /31 = 2 个地址
- /32 = 1 个地址
如果 VPC 中的公共地址范围与私有地址前缀重叠，则私有地址前缀优先。
当公共地址范围与 VPC 中的区域绑定后，来自 VPC 中该区域的任何虚拟服务器或裸机服务器的流量，只要使用公共地址范围中的源 IP，就可以与公共和专用目的地通信。为了限制这种情况，您可以
- 配置安全组，限制哪些资源可以发送或接收带有公共地址范围 IP 地址的流量。
- 配置网络 ACL，在子网级别允许或拒绝流量。
- 配置 VPC 出口路由，明确引导出站流量，避免意外路径。
在设置这些网络流量控制时，请记住有些用户可能缺乏必要的 IAM 权限，无法正确保护资源。

创建 VPC 时，默认安全组和网络 ACL 允许支持协议的入站和出站流量。为确保安全和有意识地使用这些公共地址范围 IP，强烈建议审查和定制安全组规则、网络 ACL 和出口路由，以确保充分的安全态势。这种做法有助于防止意外访问流量模式，尤其是当多个用户拥有在您的账户中部署虚拟服务器实例和计算资源的权限时。
创建公共地址范围之前，请查看以下限制：
- 不能将公共地址范围内的 IP 地址分配给 VPC 中的资源。您只能在启用了“公共互联网”作为流量源的入口自定义路由表中使用这些目标 IP 地址，将流量导向下一跳目标资源，如虚拟服务器实例、网络设备或其他计算资源。
- 该服务仅支持 IBM 提供的公共 IP 范围。不支持自带公共 IP 或子网。
- 您不能将公共地址范围划分为子范围，也不能将一个子范围绑定到多个 VPC 或区域。
- 使用带有共享虚拟 IP 的公共地址范围进行入口路由选择（例如，NSX-T 第 0 层 HA VIP 或带有 Bare Metal Server VNI VLAN 附件的类似设备），可能会导致非对称路由选择问题，从而干扰安全组中的状态防火墙处理。
  
  为了缓解这一问题，有两种变通办法：
  - 选项 A：对于受影响的公共地址范围前缀，将安全组规则视为无状态。
  - 方案 B：在安全组规则中允许所有入站和出站流量，并依靠设备的内置防火墙功能。
  这些设备通常是具有集成防火墙功能的 NFV，公共地址范围和 VPC 入口路由的目的是将流量导向该设备。

开始使用公共地址范围

要开始使用公共地址范围，请按照以下步骤操作：

确保您已创建 VPC 和所有需要的资源（如果尚不存在）。
创建公共地址范围。
创建公共地址范围后，绑定、解除绑定和移动公共地址范围。
为 VPC 配置入口路由表，添加将流量导向目标设备下一跳 IP 的路由，并使用公共 IP 地址范围作为目标。这些路由将公共互联网流量导向 VPC 内的下一跳，如 Network Functions Virtualization (NFV) 实例、路由器、防火墙或负载平衡器。

下一跳 IP 必须是绑定到路由入口路由区域内子网的网络接口上的 IP 地址。

常见用例

公共地址范围可帮助客户简化网络和安全设备与网络拓扑结构的集成，从而在 VPC 上运行工作负载。这为路由选择、安全和流量管理提供了更多控制，使解决方案能够提高网络性能和安全性。

确保 VPC 中工作负载的安全

为确保 VPC 中工作负载的安全，您可以分配公共地址范围，为选定的服务或应用提供安全访问，从而实现受控的环境入口。然后，为这些公共端点配置路由规则，将传入流量重定向到第三方设备，以便在到达最终目的地前进行检查。然后，防火墙执行定义的安全策略，在此过程中检查流量并减轻威胁。这种方法可简化生产级应用程序的部署，并在 VPC 中提供所需的网络和安全服务。

下图说明了如何使用公共地址范围保护 VPC 中工作负载的安全。首先，来自互联网的流量通过绑定到 VPC 的预留公共地址范围进入 VPC。然后，流量会被入口路由表路由到安全设备（如防火墙或第三方设备），并在那里接受检查。检查完成后，流量将转发给受保护的应用程序。

在 VPC 中部署高可用性和弹性工作负载

为确保工作负载的弹性，您可以使用公共地址范围在区域故障期间保持对服务的一致访问。如果分区出现故障，互联网流量会被重新路由到部署在另一分区的虚拟网络功能（VNF）设备上，以进行监控和检查，从而保持 VPC 内的高可用性。

下图说明了如何使用公共地址范围配置路由和防火墙，以实现跨区故障转移，并支持 VPC 中的高可用性和弹性工作负载。设置两条路由：路由 1 用于到达 1 区 (us-south-1) 主动防火墙的互联网流量，路由 2 用于 2 区 (us-south-2) 被动防火墙的互联网流量。路由使用公共地址范围作为目的地，下一跳设置为每个区域的防火墙。

公共地址范围通过主动防火墙连接到区域，us-south-1。通过公共地址范围传入的互联网流量会根据 us-south-1 中的路由 1 路由到主动防火墙进行检查和过滤。当主动防火墙关闭时，客户必须手动（或通过自动化）将公共地址范围的区域附件更新为 us-south-2，以便传入流量通过路由 2 路由到被动防火墙。这种设置使防火墙对互联网流量检查具有很高的可用性，即使在区域故障时也能确保 VPC 中工作负载的安全。