VPC墙创建前置-对等链接建立

私有网络（Virtual Private Cloud）是用户自定义的、逻辑隔离的专属云上网络空间。

对等连接（Peering Connection，PC）是一种大带宽、高质量的云上资源互通服务，支持多VPC、异构网络互通等。对等连接互通性不传递。

创建VPC

1. 进入云计算与网络 - 私有网络(VPC)产品。

2. 点击【新建】按钮。
3. 输入私有网络名称及CIDR、该私有网络下子网的名称和CIDR，选择可用区后点击【创建】。

因稍后会建立对等连接，建议此处vpc名称增强语义，可读性更强，例如"vpc1"和"vpc2"。

创建对等连接

1. 左侧导航栏选择【对等连接】。

2. 点击【新建】按钮，新建对等连接弹窗中输入对等连接的名称，选择地域和vpc私有网络。

   此处本端网络和对端网络的选择需留意，会影响后续云防udp协议的使用(本端对应客户端，对端对应服务端)。

3. 创建成功后页面提示如图，可通过点击弹窗中【修改路由表】按钮跳转至路由表页面，也可以通过左侧导航栏手动跳转。

配置路由表

1. 路由表页面，选择之前创建的vpc进行配置，此处注意2个vpc都需进行配置。

2. 点击vpc对应的蓝色id，进入详情页面。
3. 点击【新增路由策略】，输入目的端(另一个私有网络CIDR)、下一跳类型(对等连接)和下一跳内容，此处下一跳内容会默认显示上述创建的对等连接，输入备注信息后点击【创建】。

4. 创建成功会在列表出显示对应信息。

5. 另一个vpc操作与上述步骤相同。

VPC间防火墙实例创建

说明：

• 普通模式直接在接入的时候直接选择本端账号下已打通对等链接的VPC。
• 管理员模式和多账号模式，需要在首次接入的时候选择跨租户对等链接的两个VPC。

1. 新建 VPC 间防火墙，私有网络模式，在左侧导航栏中，选择防火墙开关 > VPC 间开关。
2. 在 VPC 间开关页面，单击防火墙实例，进入到防火墙实例页面，单击创建防火墙。

3. 在新建 VPC 间防火墙弹窗中，输入实例名称，选择私有网络模式，单击下一步。

注意：

• 实例名称：创建防火墙实例时自定义的名称。
• 设置防火墙实例带宽规格和接入网络，单击下一步。若实例数量不满足需求可单击右侧➕创建多个防火墙实例。
• 地域：接入防护的 VPC 所属的地域。
• 异地灾备：VPC 间防火墙支持异地灾备，勾选后，引擎主备自动部署在不同AZ区域。
• 可用区：根据需求选择合适的可用区。
• 实例带宽：单实例目前最小200Mbps，最大10Gbps（控制台自行配置最大支持6Gbps，超过需提交工单评估），支持升级扩容。如果不满足最大带宽可创建多个防火墙实例分流。但请注意，每个防火墙实例有其自身吞吐上限，多个防火墙实例请确认单实例在吞吐上限内。
• 防火墙无法进行基础网络的打通，接入网络之前，请确认 VPC 间已经创建对等链接，如果 VPC 之间没有建立连接，则接入不生效，不会有防火墙开关。
• 每个防火墙实例仅可接入同地域下的 VPC，每个实例最多可接入10个 VPC，支持同地域下创建多个防火墙实例。建议提前按照地域规划需要接入的 VPC，再创建防火墙实例并进行网络接入。

4. 单击接入网络，根据需要接入的 VPC 的地域分实例，选择所需 VPC，1个 VPC 仅可以接入1个实例，单击确定。

5. 配置创建引流子网方式、防火墙 VPC、路由模式，确认无误后单击创建即可。

注意：

云防火墙会在您所接入的VPC中新建子网，用于将流量牵引至防火墙，您可以选择不同的创建子网的方式。引流子网完成防火墙创建后不可修改。

• 自有网段优先：云防火墙会在您所选的 VPC 内自动选择空闲子网网段；当 VPC 内无子网配额时，会使用所选 VPC 的扩展网段。
• 扩展网段优先：云防火墙会优先使用空闲的 VPC 保留的扩展网段，该模式下不会占用所选 VPC 子网配额。其中，扩展网段是指私有网络中的辅助网段。
• 自定义：您可以自定义供防火墙使用的子网网段，请注意必须为24网段；自定义网段必须属于当前 VPC 的 CIDR，例如192.168.0.0/24。

6. 开启防火墙开关，开启后VPC间访问流量会牵引到云防火墙进行过滤转发。

7. 进入安全策略-访问控制-添加访问控制规则测试。

8. 进入日志服务-访问控制日志，产生一条拦截或者观察日志。