Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Elastic Cloud Server/ Guia de usuário/ Os EIP/ Ativação de conectividade com a Internet para um ECS sem um EIP
Atualizado em 2022-11-18 GMT+08:00

Ativação de conectividade com a Internet para um ECS sem um EIP

Cenários

Para garantir a segurança da plataforma e conservar os EIP, os EIP são atribuídos apenas os ECS especificados. Os ECS sem os EIP não podem acessar a Internet diretamente. Se esses ECS precisarem acessar a Internet (por exemplo, para executar uma atualização de software ou instalar um patch) você pode selecionar um ECS com um EIP vinculado para funcionar como um ECS proxy, fornecendo um canal de acesso para esses ECS.

Recomenda-se o Gateway NAT, que fornece as funções SNAT e DNAT para os seus ECS em uma VPC e permite que os ECS acessem ou forneçam serviços acessíveis pela Internet. Para obter mais informações, consulte Gateway NAT.

Pré-requisitos

  • Um ECS proxy com um EIP vinculado está disponível.
  • O endereço IP do ECS proxy está na mesma rede e no mesmo grupo de segurança que os ECS que precisam acessar a Internet.

ECS de Proxy para Linux

Neste exemplo, o ECS de proxy executa o CentOS 6.5.

  1. Acesse o console de gerenciamento.
  2. Click in the upper left corner and select your region and project.
  3. Clicar em . Em Compute, clique em Elastic Cloud Server.
  4. Na caixa de pesquisa acima do canto superior direito da ECS de lista, digite o nome do ECS de proxy para pesquisa.
  5. Clique no nome do ECS de proxy. A página que fornece detalhes sobre o ECS será exibida.
  6. Clique na guia Network Interfaces e, em seguida . Em seguida, desative Source/Destination Check.

    Por padrão, a função de verificação de origem/destino está ativada. Quando esta função está ativada, o sistema verifica se os endereços IP de origem contidos nos pacotes enviados pelos ECS estão corretos. Se os endereços IP estiverem incorretos, o sistema não permitirá que os ECS enviem os pacotes. Esse mecanismo evita a falsificação de pacotes, melhorando assim a segurança do sistema. No entanto, esse mecanismo impede que o remetente de pacotes receba pacotes devolvidos. Portanto, desabilite a verificação de origem/destino.

  7. Faça login no ECS de proxy.

    Para mais detalhes, veja Visão Geral do Login.

  8. Execute o seguinte comando para verificar se o ECS de proxy pode acessar a Internet:

    ping www.baidu.com

    O ECS de proxy pode acessar a Internet se informações semelhantes às seguintes forem exibidas:

    Figura 1 Verificando a conectividade
  9. Execute o seguinte comando para verificar se o encaminhamento de IP está habilitado no ECS de proxy:

    cat /proc/sys/net/ipv4/ip_forward

    • Se 0 (desativado) for exibido, vá para 10.
    • Se 1 (ativado), vá para 16.
  10. Execute o seguinte comando para abrir o arquivo de configuração de encaminhamento de IP no editor vi:

    vi /etc/sysctl.conf

  11. Pressione i para entrar no modo de edição.
  12. Defina o valor net.ipv4.ip_forward como 1.

    Defina o valor net.ipv4.ip_forward como 1.

    Se o arquivo sysctl.conf não contiver o parâmetro net.ipv4.ip_forward, execute o seguinte comando para adicioná-lo:

    echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf

  13. Pressione Esc, digite :wq e pressione Enter.

    O sistema salva as configurações e sai do editor vi.

  14. Execute o seguinte comando para que a modificação tenha efeito:

    sysctl -p /etc/sysctl.conf

  15. Execute os seguintes comandos para configurar as regras padrão do iptables:

    iptables -P INPUT ACCEPT

    iptables -P OUTPUT ACCEPT

    iptables -P FORWARD ACCEPT

    Executar iptables -P INPUT ACCEPT definirá a política INPUT padrão para ACCEPT, o que representa riscos de segurança. É aconselhável definir regras de grupo de segurança para restringir o acesso de entrada.

  16. Execute o seguinte comando para configurar a tradução de endereços de rede (SNAT) de origem para permitir que os ECS no mesmo segmento de rede acessem a Internet por meio do ECS proxy:

    iptables -t nat -A POSTROUTING -o eth0 -s subnet/netmask-bits -j SNAT --to nat-instance-ip

    Por exemplo, se o ECS proxy estiver na rede 192.168.125.0, a máscara de sub-rede tiver 24 bits e o endereço IP privado for 192.168.125.4, execute o seguinte comando:

    iptables -t nat -A POSTROUTING -o eth0 -s 192.168.125.0/24 -j SNAT --to 192.168.125.4

    Para manter a configuração anterior mesmo depois que o ECS for reiniciado, execute o comando vi /etc/rc.local para editar o arquivo rc.local. Especificamente, copie a regra descrita na etapa 16 em rc.local, pressione Esc para sair do modo Inserir e insira :wq para salvar as configurações e sair.

  17. Execute os comandos a seguir para salvar a configuração do iptables e fazê-la iniciar automaticamente na inicialização do ECS:

    service iptables save

    chkconfig iptables on

  18. Execute o seguinte comando para verificar se o SNAT foi configurado:

    iptables -t nat --list

    O SNAT foi configurado se informações semelhantes Figura 2 forem exibidas.

    Figura 2 Configuração de SNAT bem-sucedida
  19. Adicionar uma rota.
    1. Acesse o console de gerenciamento.
    2. Click in the upper left corner and select your region and project.
    3. Em Compute, clique em Virtual Private Cloud.
    4. Escolha Route Tables no painel de navegação esquerdo. Na página exibida, clique em uma VPC à qual uma rota será adicionada. Na página exibida, clique em Add Route.
    5. Defina as informações de rota na página exibida.
      • Destination: indica o segmento de rede de destino. O valor padrão é 0.0.0.0/0.
      • Next Hop: indica o endereço IP privado do SNAT ECS.

        Você pode obter o endereço IP privado do ECS na página do Elastic Cloud Server.

  20. Para excluir as regras do iptables adicionadas, execute o seguinte comando:

    iptables -t nat -D POSTROUTING -o eth0 -s subnet/netmask-bits -j SNAT --to nat-instance-ip

    Por exemplo, se o proxy ECS estiver no segmento de rede 192.168.125.0, a máscara de sub-rede tiver 24 bits e o endereço IP privado for 192.168.125.4, execute o seguinte comando:

    iptables -t nat -D POSTROUTING -o eth0 -s 192.168.125.0/24 -j SNAT --to 192.168.125.4