主要观点：在IBM Cloud VPC中实现基于主机名过滤流量的网络防火墙的用例，IBM Cloud 目前无托管防火墙服务，但支持自带防火墙（如 Fortinet 或 Juniper）且由客户部署管理，可利用现有 IBM Cloud 服务（结合 DNS 和应用程序负载均衡器（ALB））来满足需求。
关键信息：

• 所有源主机在子网中，通过网络访问控制列表（ACLs）和安全组限制，只能通过私有网络与 ALB 通信，ALB 位于专用子网且安全组允许出站到公共网络。
• 私有 DNS 服务仅解析选定的主机名到 ALB，未解析的主机名无法连接到公共互联网。
• 需创建私有 DNS 区域、为负载均衡器创建别名（CNAME）、在 ALB 中为每个 DNS 区域创建后端池并添加成员、创建前端监听器及策略等步骤来实现。
• 测试时可在源子网的虚拟服务器上使用 curl 命令测试，已知该架构模式的限制包括外部主机 IP 可能变化需手动更新后端池，且仅适用于 DNS CNAME 且主机名需以 CNAME 名称字段为前缀。
  重要细节：
• 创建私有 DNS 区域并设置允许网络为所用 VPC，为负载均衡器创建别名并添加到相应区域。
• 在 ALB 后端池中添加成员需获取目标公共 IP 并添加到合适的后端池。
• 创建前端监听器时选择 TCP 协议和监听端口 443，创建策略时根据后端池匹配主机名进行转发。
• 源主机所在子网的安全组需设置为可到达负载均衡器。