主要能力和优势

以下主要优势突出说明了 VPC 公共地址范围服务如何支持可扩展、安全和高可用性的网络。

连续 IP 范围

公共地址范围为可扩展和可管理的路由选择和安全策略提供了一组连续的 IBM 提供的公共 IP。

资源管理

公共地址范围可简化访问控制和安全性，同时使单一公共入口路由能够检查来自多个端点的流量，并确保 VPC 上企业应用的安全。

可伸缩性

当你需要更多公共 IP 时，可以预留更大的前缀，而无需手动管理单个地址。

高可用性

在有可用性区域的地区，可以创建区域冗余公共 IP 范围来分配 IP 地址，以实现高可用性。 这些公共地址范围是区域性的，可以在相同或不同可用性区域的 VPC 之间移动。

规划注意事项

在创建公共地址范围之前，请查看以下注意事项：

• 确保您拥有适当的 IAM 权限。

• 审查公共广播范围 限制。

• 您可以将多个公共地址范围绑定到一个 VPC。

• 您不能将公共地址范围划分为子范围，并将其绑定到多个 VPC 或区域。

• 保留地址范围后，就不能更改其大小了。 确保预留的公共广播范围足够大，以满足您的需求。

  不同公共地址范围内的 IP 不保证连续。

• 您可以通过配置网络 ACL、安全组或两者的组合，将公共地址范围的使用限制在 VPC 内的特定资源上。

• 当公共地址范围与 VPC 中的区域绑定后，来自 VPC 中该区域的任何虚拟服务器或裸机服务器的流量，只要使用公共地址范围中的源 IP，就可以与公共和专用目的地通信。 为了限制这种情况，您可以

  • 配置安全组，限制哪些资源可以发送或接收带有公共地址范围 IP 地址的流量。
  • 配置网络 ACL，在子网级别允许或拒绝流量。
  • 配置 VPC 出口路由，明确引导出站流量，避免意外路径。

  在设置这些网络流量控制时，请记住有些用户可能缺乏必要的 IAM 权限，无法正确保护资源。

• 您可以使用以下前缀大小预留公共地址范围。 有关详细信息，请查看公共地址范围 配额和服务限制。

  • /28 = 16 个地址
  • /29 = 8 个地址
  • /30 = 4 个地址
  • /31 = 2 个地址
  • /32 = 1 个地址

• 如果 VPC 中的公共地址范围与私有地址前缀重叠，则私有地址前缀优先。

开始使用公共地址范围

要开始使用公共地址范围，请按照以下步骤操作：

1. 确保您已 创建 VPC 和所有需要的资源（如果尚不存在）。

2. 创建公共地址范围。

3. 创建公共地址范围后 ，绑定、解除绑定和移动公共 地址范围。

4. 为 VPC 配置入口路由表，添加将流量导向目标设备下一跳 IP 的路由，并使用公共 IP 地址范围作为目标。 这些路由将公共互联网流量导向 VPC 内的下一跳，如 Network Functions Virtualization (NFV) 实例、路由器、防火墙或负载平衡器。

   下一跳 IP 必须是绑定到路由入口路由区域内子网的网络接口上的 IP 地址。

IAM 角色和操作

IBM Cloud Identity and Access Management (IAM) 控制账户中用户对公共地址范围的访问。 在您的账户中访问该服务的每个用户都必须分配一个具有 IAM 角色的访问策略。 查看以下可用平台和服务角色以及映射到每个角色的操作，以帮助您分配访问权限。

如果使用 CLI 或 API 分配访问权限，请使用 is.public-address-range 作为服务名称。

常见用例

公共地址范围可帮助客户简化网络和安全设备与网络拓扑结构的集成，从而在 VPC 上运行工作负载。 这为路由选择、安全和流量管理提供了更多控制，使解决方案能够提高网络性能和安全性。

相关链接

• 配额和服务限制
• 公共地址范围常见问题