更新时间:2022-02-28 GMT+08:00
分享

云上指定IP地址访问VPC外主机

操作场景

根据业务部门监管的要求,业务上云之后仍需要定期以指定的IP地址访问监管部门的主机,上传必要的监管数据。

方案优势

灵活指定IP地址,VPC内所有主机可以共用此IP访问VPC外主机。

典型拓扑

此最佳实践描述的网络拓扑如下:

  • 监管部门限定只有特定的IP地址(10.1.0.55)的主机可以访问。
  • 部门A内的主机(192.168.0.3)通过私网NAT服务,将私有IP地址转换为规定的IP地址(10.1.0.55),定期访问行业监管部门的主机(10.10.0.5)
图1 最佳实践逻辑拓扑
表1 资源规划

资源

名称

规划网段/IP

子网名称

说明

VPC(华北-北京四)

vpc-部门A

192.168.0.0/24

subnet-A

部门A迁移到云上的VPC

vpc-中转1

10.1.0.0/24

subnet-T1

私网NAT网关服务所需的中转VPC

vpc-监管

10.10.0.0/24

subnet-W

模拟监管部门的VPC

弹性云服务器(华北-北京四)

ecs-部门A

192.168.0.3

--

部门A的主机,可以和部门B互相访问

ecs-监管

10.10.0.5

--

模拟监管部门的主机

中转IP(vpc-中转)

部门A中转IP

10.1.0.55

--

部门A访问监管部门分配的IP地址。

前提条件

  • 已拥有华为云帐号,并且华为云帐号已实名认证。
  • 华为云帐号未欠费,并且有足够的金额可以购买本最佳实践所涉及的资源。
  • 已完成私网NAT网关公测申请。

    私网NAT网关目前正在“华北-北京四”、“华北-乌兰察布一”、“华东-上海一”、“华东-上海二”、“华南-广州”、“西南-贵阳一”、“中国-香港”、“亚太-曼谷”、“亚太-新加坡”、“拉美-圣保罗一”公测中。

  • 已完成云上重叠子网间主机互访操作。

创建VPC

  1. 登录华为云管理控制台,并选择“华北-北京四”区域。
  2. 选择“网络 > 虚拟私有云”,单击“创建虚拟私有云”。
  3. 根据表1配置监管部门的VPC,单击“立即创建”。

    • 区域:选择华北-北京四
    • 名称:vpc-监管
    • IPv4网段:10.10.0.0/24
    • 可用区:可用区1
    • 名称:subnet-W
    • 子网IPv4网段:保持默认
    • 未提及参数,保持默认或根据界面引导配置

创建安全组

  1. 选择“网络 > 虚拟私有云”,选择“访问控制 > 安全组”,单击“创建安全组”。
  2. 配置安全组信息,完成后单击“确定”。

    • 名称:sg-监管
    • 模板:通用Web服务器
    • 未提及参数,保持默认或根据界面引导配置

  3. 在安全组列表页,单击操作列的“配置规则”,切换至“入方向规则”页签,删除当前的所有规则。

  4. 单击“添加规则”,设定只有10.1.0.55的IP才能访问监管部门的主机,配置完成后单击“确定”。

    • 优先级:1
    • 策略:允许
    • 协议端口:全部放通。
    • 类型:IPv4
    • 源地址:10.1.0.55

创建弹性云服务器

  1. 选择“计算 > 弹性云服务器”,单击“购买弹性云服务器”。
  2. 根据表1配置监管部门的弹性云服务器的基础信息,完成后单击“下一步:网络配置”。

    • 计费模式:按需计费
    • 区域:选择华北-北京四
    • 规格:用户自定义。本实践以c6.large.2举例。
    • 镜像:公共镜像,具体镜像用户自定义。本实践以CentOS 8.0举例。
    • 未提及参数,保持默认或根据界面引导配置

  3. 配置监管部门ECS的网络信息,完成后单击“下一步:高级配置”。

    • 网络:选择“vpc-监管”,并选择“手动分配IP地址”,指定IP地址为表1规划的ecs-监管的IP地址“10.10.0.5”。
    • 安全组:sg-监管。
    • 弹性公网IP:暂不购买
    • 未提及参数,保持默认或根据界面引导配置

  4. 设置云服务器名称和密码等信息,完成后单击“下一步:确认配置”。

    • 云服务器名称:ecs-监管
    • 登录凭证:密码,并输入密码。
    • 未提及参数,保持默认或根据界面引导配置

  5. 确认ECS信息无误后,勾选“协议”并单击“立即购买”,完成ECS创建。
  6. 单击弹性云服务器总览页面所在行的“远程登录”,选择VNC方式登录。

  7. 使用root帐号登录ECS,并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。

    ifconfig

配置私网NAT网关

创建中转IP

  1. 选择“网络 > NAT网关”,选择“私网NAT网关”,切换至“中转子网”页签。

  2. 单击“ext_sub_T1”,并单击“创建中转IP”。

    • 分类方式:手动分配
    • IP地址:10.1.0.55

  3. 返回私网NAT网关页面,切换至“私网NAT网关”页签,并单击“private-nat-A”。
  4. 单击“添加SNAT规则”,删除之前创建的SNAT规则。

  5. 添加SNAT规则,完成后单击“确定”。

    • 子网:使用已有,系统会自动关联部门A的子网。
    • 中转子网:选择ext_sub_T1
    • 中转IP:选择10.1.0.55

  6. 返回网络控制台,在左侧导航栏选择“路由表”,单击“rtb-vpc-部门A”。确认已添加部门A到私网NAT网关的路由信息。

配置VPC对等连接

  1. 选择“网络 > 虚拟私有云”,在左侧导航栏选择“对等连接”。
  2. 配置对等连接,完成后单击“确定”。

    • 名称:peering-TtoW
    • 本端VPC:选择vpc-中转1
    • 对端VPC:选择vpc-监管
    • 未提及参数,保持默认或根据界面引导配置

配置路由

  1. 选择“网络 > 虚拟私有云”,在左侧导航栏选择“路由表”。
  2. 单击“rtb-vpc-中转1”,删除已有的“0.0.0.0/0”路由规则。
  3. 单击“添加路由”,配置路由相关信息,单击“确认”。

    • 目的地址:设置为0.0.0.0/0
    • 下一跳类型:对等连接
    • 下一跳:系统自动关联对等连接实例

  4. 返回至“路由表”控制台,单击“rtb-vpc-监管”,单击“添加路由”。
  5. 配置路由相关信息,单击“确认”。

    • 目的地址:设置为0.0.0.0/0
    • 下一跳类型:对等连接
    • 下一跳:系统自动关联对等连接实例

验证部门A访问监管部门

  1. 选择“计算 > 弹性云服务器”,并使用VNC方式登录“ecs-部门A”的主机。
  2. 在“ecs-部门A”主机上,执行如下命令,验证主机可以访问监管部门的主机。

    ping 10.10.0.5

分享:

    相关文档

    相关产品

关闭导读