操作场景
为保证安全和节省公网IP资源,通常只为特定的弹性云服务器配置公网IP,可直接访问Internet,其他弹性云服务器只配置私网IP,无法直接访问Internet。因此,当只配置了私网IP的弹性云服务器需要访问Internet,执行软件升级、给系统打补丁或者其它需求时,可选择一台绑定了公网IP的弹性云服务器作为代理弹性云服务器,为其他无公网IP的云服务器提供访问通道,正常访问Internet。
说明:
优先推荐您使用NAT(NAT Gateway)网关服务。NAT网关能够为VPC内的弹性云服务器提供SNAT和DNAT功能,通过灵活简易的配置,即可轻松构建VPC的公网出入口。了解更多请参考NAT网关。
前提条件
已拥有一台绑定了公网IP的弹性云服务器作为代理弹性云服务器。
代理弹性云服务器和其他需要访问Internet的弹性云服务器均处于同一网段,并且在同一安全组内。
Linux操作系统的代理主机
本节操作中,以代理弹性云服务器的操作系统是CentOS 6.5为例。
登录管理控制台。
单击管理控制台左上角的,选择区域和项目。
单击“”,选择“计算 > 弹性云服务器”。
在弹性云服务器列表中的右上角,输入代理云服务器名称进行搜索。
单击代理弹性云服务器的名称,查看详情。
在代理弹性云服务器详情页面,选择“弹性网卡”页签,并展开,将“源/目的检查”选项设置为“OFF”。
图1 关闭“源/目的检查”
默认情况下,“源/目的检查”状态为“启用”,系统会检查弹性云服务器发送的报文中源IP地址是否正确,否则不允许弹性云服务器发送该报文。这有助于防止伪装报文攻击,提升安全性。但在该场景中,这种保护机制会导致报文的发送者无法接收到返回的报文。因此,需设置“源/目的检查”状态为禁用。
登录代理弹性云服务器。
详细操作方法请参见Linux弹性云服务器登录方式概述。
执行以下命令,检测代理弹性云服务器是否可以正常连接Internet。
ping www.huaweicloud.com
回显包含类似如下信息时,表示代理弹性云服务器可正常连接Internet。
图2 检测是否可以正常连接Internet
执行以下命令,查看代理弹性云服务器的IP转发功能是否开启。
cat /proc/sys/net/ipv4/ip_forward
回显为“0”表示关闭,请执行10。
回显为“1”表示开启,请执行15。
执行以下命令,打开IP转发功能配置文件。
vi /etc/sysctl.conf
按“i”,进入编辑模式。
修改如下参数的值。
将参数“net.ipv4.ip_forward ”的值修改为“1”。
说明:
如果“sysctl.conf”文件中不存在参数“net.ipv4.ip_forward ”,执行以下命令进行添加:
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
按“Esc”,输入:wq,按“Enter”。
保存设置并退出vi编辑器。
执行以下命令,使配置文件修改生效。
sysctl -p /etc/sysctl.conf
执行以下命令,配置默认的iptables规则。
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
注意:
执行iptables -P INPUT ACCEPT,表示设置默认的INPUT策略为接受,存在一定的安全风险。建议您通过设置合适的安全组规则限制入方向的访问。
执行以下命令,配置SNAT,使代理弹性云服务器所在的网段内其他弹性云服务器可通过代理弹性云服务器访问Internet。
iptables -t nat -A POSTROUTING -o eth0 -s subnet/netmask-bits -j SNAT --to nat-instance-ip
假设代理弹性云服务器所在的网段为192.168.125.0,子网掩码为24位,私网IP地址为192.168.125.4,则执行如下命令。
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.125.0/24 -j SNAT --to 192.168.125.4
说明:
为了确保重启后上述规则不丢失,可以执行vi /etc/rc.local编辑rc.local文件,将16中的规则复制到rc.local文件,按“ESC”退出编辑模式,输入“:wq”保存并退出。
执行以下命令,保存iptables的配置并设置开机自启动。
service iptables save
chkconfig iptables on
执行以下命令,查看SNAT配置是否成功。
iptables -t nat --list
回显类似如图3所示时,表示SNAT配置成功。
图3 SNAT配置成功
添加自定义路由。
登录管理控制台。
单击管理控制台左上角的,选择区域和项目。
选择“网络 > 虚拟私有云”。
选择需要添加路由表的虚拟私有云,在“路由表”页面,单击“添加路由信息”。
根据界面提示,填写路由信息。
目的地址:是目的网段,默认是0.0.0.0/0。
下一跳地址:是代理弹性云服务器的私有IP地址。
您可以在弹性云服务器页面,查看该弹性云服务器的私有IP地址。
如需删除添加的iptables规则,需执行以下命令:
iptables -t nat -D POSTROUTING -o eth0 -s subnet/netmask-bits -j SNAT --to nat-instance-ip
假设代理弹性云服务器所在的网段为192.168.125.0,子网掩码为24位,私网IP地址为192.168.125.4,则执行如下命令。
iptables -t nat -D POSTROUTING -o eth0 -s 192.168.125.0/24 -j SNAT --to 192.168.125.4
华为云共建智能世界云底座[52] 华为公有云专属云主机DeH服务[51] 华为云场景化解决方案[49] 华为公有云产品[44] 华为云云主机[43] 华为云产品服务[43] 华为云服务器应用[43] 华为弹性云服务器[39] 华为公有云架构解决方案[38] 华为云提供的服务[37] 华为虚拟私有云vpc[37] 华为公有云介绍[32] 华为公有云提供哪些计算服务[30] 华为云漏洞扫描[27] 华为云软件开发服务[27] 华为公有云和私有云区别[27] 华为云域名注册[26] 华为云官网登陆[26] 华为公有云解决方案[26] 华为私有云产品有哪些[26] 华为私有云服务[25] 华为云数据库[23] 华为云安全[22] 华为公有云官网[22] 华为私有云的搭建方案[22] 华为云弹性云服务器应用[21] 华为公有云平台[20] 华为公有云行业解决方案[20] 华为私有云解决方案服务定制领导者[20] [19] 华为私有云服务器[19] 华为私有云网格结构[19] 华为公有云视讯解决方案[18] 华为云官网[17] 华为云速建站[17] 华为私有云架构[17] 华为云优势[16] 华为云服务器[16] 华为私有云部署架构[16] 华为云企业邮箱服务 (SAAS[15] 华为云邮箱[15] 华为公有云是什么[15] 华为公有云架构[15] 华为云迁移解决方案[14] 华为公有云解决方案服务定制领导者[14] 华为私有云解决方案[14] 云邮箱)[13] 华为云园区解决方案[13] 华为云服务总代理[13] 华为云速智能客服[13] 华为公有云服务[13] 华为私有云搭建方案[13] 云与计算咨询服务[12] 云与计算培训服务[11] 华为云备份[11] 华为云服务器配置[11] 华为云服务服务中心[11] 华为云服务核心分销商[11] 华为公有云[11] 华为私有云搭建[11] 云迁移与运营支撑服务[10] 公有云私有云混合云[10] 华为云服务器ECS[10] 华为云服务器成功案例[10] 华为云解决方案[10] 华为公有云通用解决方案[9] 华为智慧云课堂解决方案[9] 华为云数据解决方案[8] 华为云是什么[8] 华为私有云平台[8] 云与计算客户支持与运维使能服务[7] 华为云官网网站[7] 华为云智慧教育解决方案[7] 华为云智慧校园解决方案[7] 华为云桌面系统集成商[7] 华为云经销商[7] 华为代理公司有哪些[7] 华为私有云方案[7] 智慧教育云平台解决方案[7] 华为云服务器试用[6] 华为云网站建设服务器[6] 华为手机代理加盟[6] 华为私有云[6] 大数据使能服务[6] 智慧教育云计算解决方案[6] 华为云云主机 [5] 华为云智慧***解决方案[5] 华为云桌面总代理商[5] 云与计算客户支持服务[4] 华为云产品介绍[4] 华为云智慧制造解决方案[4] 华为云场景化解决方案[3] 华为公有云官网[3] 华为公有云通用解决方案[3] 华为弹性云服务器[3] 华为公有云产品 [3] 华为云产品服务[2] 华为云域名注册[2] 华为云数据库[2] 华为云智慧校园解决方案[2] 华为云服务器应用[2] 华为云服务器成功案例[2] 华为云软件开发服务[2] 华为公有云产品[2] 华为公有云介绍[2] 华为公有云和私有云区别[2] 华为公有云服务[2] 华为公有云架构[2] 华为公有云架构解决方案[2] 华为公有云视讯解决方案[2] 华为公有云解决方案[2] 华为私有云产品有哪些[2] 华为私有云服务[2] 华为私有云架构[2] 智慧教育云计算解决方案[2] 云规划设计与实施服务[2] 云邮箱[2] 华为云产品报价[2] 华为公有云通用解决方案 [2] 华为云服务器成功案例[1] 华为云桌面系统集成商[1] 云与计算客户支持与运维使能服务[1] 云迁移与运营支撑服务[1] 云迁移与运营支撑服务 [1] 华为云共建智能世界云底座[1] 华为云备份[1] 华为云安全[1] 华为云官网登陆[1] 华为云弹性云服务器应用[1] 华为云提供的服务[1] 华为云数据解决方案[1] 华为云智慧制造解决方案[1] 华为云服务器[1] 华为云服务核心分销商 [1] 华为云漏洞扫描[1] 华为云迁移解决方案 [1] 华为云速智能客服[1] 华为云邮箱[1] 华为公有云专属云主机DeH服务[1] 华为公有云是什么[1] 华为公有云行业解决方案[1] 华为私有云搭建[1] 华为私有云方案[1] 华为私有云服务.华为公有云专属云主机DeH服务.华为云产品报价[1] 华为私有云的搭建方案[1] 华为私有云网格结构[1] 华为私有云解决方案[1] 华为私有云部署架构[1] 为云产品服务[1] 云与计算咨询服务 [1] 云与计算客户支持与运维使能服务 [1] 云与计算客户支持与运维使能服务 云与计算客户支持服务[1] 华为云是什么 [1] 华为云软件开发服[1] 华为云速智能客服 [1] 华为代理加盟[1] 华为公有云架构解决方案 [1] 华为公有云解决方案服务定制领导者 [1] 华为弹性云[1] 华为弹性云服务器 华为云域名注册 华为云服务器应用[1] 华为私有云搭建 [1] 华为私有云搭建方案 [1] 华为私有云部署架构 [1] 大数据使能服务 [1] 撒[1]
