边界网关

什么是边界网关？

边界网关是您 VPC 的托管边缘路由器。它承担两项职责：

• 连接原本彼此隔离的 VPC — 同一账户下的两个 ZEC VPC、不同账户下的两个 VPC，或 ZEC VPC 与另一云平台上的网络。

• 动态交换路由 — 通过 BGP 学习到的路由（以及您在网关上配置的可达性信息）会被写入您的 VPC 路由表，并可按需跨区域传播。

边界网关挂载于某个 VPC。挂载后，它成为其他路由可以指向的路由元素：VPC 内的实例可访问只能通过该网关到达的前缀，VPC 内部的前缀也可向外广播。

网关本身是一项托管服务 — 您无需运维控制平面、无需给路由器打补丁，也无需自行准备承载流量的硬件。您只需配置要广播的内容和要建立对等关系的邻居，其余工作由平台负责。

与跨区域带宽的关系

边界网关与跨区域带宽是两个独立产品。它们解决的是不同问题，单独销售、单独配置。两者的共同点在于底层传输方式：两者都运行在 Zenlayer 的全球私有连接基础设施之上，流量始终保持在私有骨干网上。

两者的区别在于连接的端点类型：

如果您希望同一 VPC 内的两个实例跨区域通信，使用跨区域带宽即可（通常免费的默认基准配额已足够）。如果您需要两个不同的 VPC — 或一个 VPC 与另一云平台 — 互相访问，跨区域带宽无法实现这一点，您需要使用边界网关。

何时需要边界网关

您需要两个 VPC 相互访问。 两个 ZEC VPC 默认相互独立。跨区域带宽和 VPC 路由表均无法将它们桥接起来。为每个 VPC 挂载一个边界网关并在两者之间交换路由，是实现互通的方式。

您需要访问另一云平台上的网络。 如果您的应用一部分运行在 ZEC VPC，另一部分运行在 AWS / Azure / GCP，边界网关是云侧端点，用于建立 BGP 会话，并将对方云平台的前缀写入您的 VPC 路由表。

您需要跨组织边界动态交换路由。 不同账户、不同结算主体或不同团队的 VPC，无法依赖任一方手动维护静态路由。BGP 让双方可以自动广播和撤销前缀，无需协调手动更新。

您希望在某一区域学习到的路由在所有区域可见。 在单个区域挂载边界网关并设置为全局路由模式，该区域学习到的前缀将自动出现在每个区域的路由表中。

何时不需要边界网关

• 同一 VPC 内跨区域的可达性。 跨区域带宽（或免费默认基准）可满足该需求 — 无需边界网关。

• 访问互联网（出口流量）。 使用 NAT 网关。边界网关用于私有网络边缘，而非互联网。

• 负载均衡或服务暴露。 使用负载均衡器。边界网关不终止或检查应用层流量。

本指南目录

常见问题

访问另一个 VPC 时必须使用边界网关吗？ 是的。跨区域带宽只连接同一 VPC 内跨区域的子网，无法桥接两个独立的 VPC。如果您需要两个不同的 VPC 互相访问（无论是否同账户），边界网关是正确的产品。

一个边界网关可以处理多个 BGP 邻居吗？ 可以。单个网关可以与多个邻居建立对等关系 — 另一个 VPC 的网关、另一云平台的合作伙伴、运营商 — 并将它们学习到的前缀合并写入 VPC 路由表。

边界网关是否具备高可用性？ 是的，网关由平台冗余配置和运维。您无需自行管理主备对。从您的视角看，边界网关是单一的路由元素，冗余由内部实现。

边界网关使用安全组吗？ 不使用。安全组作用于实例上的公网流量 — 不过滤边界网关流量。如果您需要对 BGP 会话所连通的网络与其背后的工作负载之间进行访问控制，该控制逻辑必须位于应用层或路径内设备上，而非网关本身。