Habilitación de la conectividad a Internet para un ECS sin EIP
Casos
Para garantizar la seguridad de la plataforma y conservar los EIP, los EIP se asignan solo a los ECS especificados. Los ECS sin EIP no pueden acceder directamente a Internet. Si estos ECS necesitan acceder a Internet (por ejemplo, para realizar una actualización de software o instalar un parche), puede seleccionar un ECS con un EIP vinculado para funcionar como un ECS proxy, proporcionando un canal de acceso para estos ECS.
Se recomienda NAT Gateway, que proporciona las funciones SNAT y DNAT para sus ECS en una VPC y permite que los ECS accedan o proporcionen servicios accesibles desde Internet. Para obtener más información, vea NAT Gateway.
Prerrequisitos:
- Un ECS proxy con un enlace EIP está disponible.
- La dirección IP del ECS proxy se encuentra en la misma red y en el mismo grupo de seguridad que los ECS que necesitan para acceder a Internet.
ECS Proxy de Linux
En este ejemplo, el ECS proxy ejecuta CentOS 6.5.
- Inicie sesión en la consola de gestión.
- Click
in the upper left corner and select your region and project. - Haga clic en
. En Compute, haga clic en Elastic Cloud Server. - En el cuadro de búsqueda situado encima de la esquina superior derecha de la lista de ECS, introduzca el nombre del ECS proxy para la búsqueda.
- Haga clic en el nombre del ECS proxy. Se mostrará la página que proporciona los detalles del ECS.
- Haga clic en la ficha Network Interfaces y luego
. A continuación, desactive Source/Destination Check.
De forma predeterminada, la función de comprobación de origen/destino está habilitada. Cuando esta función está habilitada, el sistema comprueba si las direcciones IP de origen contenidas en los paquetes enviados por los ECS son correctas. Si las direcciones IP son incorrectas, el sistema no permite que los ECS envíen los paquetes. Este mecanismo evita la suplantación de paquetes, mejorando así la seguridad del sistema. Sin embargo, este mecanismo impide que el emisor de paquetes reciba paquetes devueltos. Por lo tanto, deshabilite la comprobación de origen/destino.
- Inicie sesión en el ECS proxy.
Para obtener más detalles, consulte la sección Descripción general de inicio de sesión.
- Ejecute el siguiente comando para comprobar si el ECS proxy puede acceder a Internet:
El ECS proxy puede acceder a Internet si se muestra información similar a la siguiente:
Figura 1 Comprobando la conectividad
- Ejecute el siguiente comando para comprobar si el reenvío IP está habilitado en el ECS proxy:
- Ejecute el siguiente comando para abrir el archivo de configuración de reenvío IP en el editor vi:
- Pulse i para entrar en el modo de edición.
- Establezca el valor net.ipv4.ip_forward en 1.
Establezca el valor net.ipv4.ip_forward en 1.
Si el archivo sysctl.conf no contiene el parámetro net.ipv4.ip_forward, ejecute el siguiente comando para agregarlo:
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
- Presione Esc, escriba :wq y presione Enter.
El sistema guarda las configuraciones y sale del editor vi.
- Ejecute el siguiente comando para hacer que la modificación surta efecto:
- Ejecute los siguientes comandos para configurar las reglas predeterminadas de iptables:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
La ejecución de iptables -P INPUT ACCEPT establecerá la política INPUT predeterminada en ACCEPT, lo que plantea riesgos de seguridad. Se recomienda establecer reglas de grupo de seguridad para restringir el acceso entrante.
- Ejecute el siguiente comando para configurar la traducción de direcciones de red de origen (SNAT) para permitir que los ECS en el mismo segmento de red accedan a Internet a través del ECS proxy:
iptables -t nat -A POSTROUTING -o eth0 -s subnet/netmask-bits -j SNAT --to nat-instance-ip
Por ejemplo, si el ECS proxy está en la red 192.168.125.0, la máscara de subred tiene 24 bits y la dirección IP privada es 192.168.125.4, ejecute el siguiente comando:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.125.0/24 -j SNAT --to 192.168.125.4
Para conservar la configuración anterior incluso después de reiniciar el ECS, ejecute el comando vi /etc/rc.local para editar el archivo rc.local. Específicamente, copie la regla descrita en el paso 16 en rc.local, presione Esc para salir del modo Insertar e introduzca :wq para guardar la configuración y salir.
- Ejecute los siguientes comandos para guardar la configuración de iptables y hacer que se inicie automáticamente al iniciar ECS:
chkconfig iptables on
- Ejecute el siguiente comando para comprobar si se ha configurado SNAT:
SNAT se ha configurado si se muestra información similar a Figura 2.
- Agregue una ruta.
- Inicie sesión en la consola de gestión.
- Click in the upper left corner and select your region and project.
- En Compute, haga clic en Virtual Private Cloud.
- Elija Route Tables en el panel de navegación izquierdo. En la página mostrada, haga clic en una VPC a la que se va a agregar una ruta. En la página mostrada, haga clic en Add Route.
- Establezca la información de ruta en la página mostrada.
- Destination: indica el segmento de red de destino. El valor predeterminado es 0.0.0.0/0.
- Next Hop: indica la dirección IP privada del ECS SNAT.
Puede obtener la dirección IP privada de ECS en la página de Elastic Cloud Server.
- Para eliminar las reglas de iptables agregadas, ejecute el siguiente comando:
iptables -t nat -D POSTROUTING -o eth0 -s subnet/netmask-bits -j SNAT --to nat-instance-ip
Por ejemplo, si el ECS proxy está en el segmento de la red 192.168.125.0, la máscara de subred tiene 24 bits y la dirección IP privada es 192.168.125.4, ejecute el siguiente comando:
iptables -t nat -D POSTROUTING -o eth0 -s 192.168.125.0/24 -j SNAT --to 192.168.125.4
