更新时间:2024-05-06 GMT+08:00
云上指定IP地址访问VPC外主机
应用场景
在不改变现有IDC网络组织架构的前提下,需要将网络组织架构迁移上云,并实现以IDC中指定IP地址访问外部资源。
在本最佳实践中,根据行业监管部门的要求,业务上云之后仍需要部门A定期以指定的IP地址(10.1.0.55)访问行业监管部门的主机,上传必要的监管数据。
方案架构
- 监管部门限定只有特定的IP地址(10.1.0.55)的主机可以访问。
- 部门A内的主机(192.168.0.3)通过私网NAT网关,将私有IP地址转换为规定的IP地址(10.1.0.55),定期访问行业监管部门的主机(10.10.0.5)。
图1 最佳实践逻辑拓扑
方案优势
灵活指定IP地址,VPC内所有主机可以共用此IP访问VPC外主机。
资源和成本规划
资源 |
名称 |
规划网段/IP |
子网名称 |
说明 |
---|---|---|---|---|
VPC(中国-香港) |
vpc-部门A |
192.168.0.0/24 |
subnet-A |
部门A迁移到云上的VPC。 |
vpc-中转1 |
10.1.0.0/24 |
ext_sub_T1 |
私网NAT网关所需的中转VPC。 |
|
vpc-监管 |
10.10.0.0/24 |
subnet-W |
模拟监管部门的VPC。 |
|
弹性云服务器(中国-香港) |
ecs-部门A |
192.168.0.3 |
-- |
部门A的主机,可以访问行业监管部门的主机。 |
ecs-监管 |
10.10.0.5 |
-- |
模拟监管部门的主机。 |
|
中转IP(vpc-中转1) |
部门A中转IP |
10.1.0.55 |
-- |
部门A主机通过监管部门分配的IP地址访问监管部门的主机。 |
前提条件
- 已拥有华为云账号。
- 华为云账号未欠费,并且有足够的金额可以购买本最佳实践所涉及的资源。
- 已完成私网NAT网关创建。
- 已完成云上重叠子网间主机互访操作。
创建VPC
- 登录华为云管理控制台,并选择“中国-香港”区域。
- 选择“网络 > 虚拟私有云”,单击“创建虚拟私有云”。
- 根据表1配置监管部门的VPC,单击“立即创建”。
- 区域:选择中国-香港
- 名称:vpc-监管
- IPv4网段:10.10.0.0/24
- 可用区:可用区1
- 名称:subnet-W
- 子网IPv4网段:保持默认
- 未提及参数,保持默认或根据界面引导配置
创建安全组
- 选择“网络 > 虚拟私有云”,选择“访问控制 > 安全组”,单击“创建安全组”。
- 配置安全组信息,完成后单击“确定”。
- 名称:sg-监管
- 模板:通用Web服务器
- 未提及参数,保持默认或根据界面引导配置
- 在安全组列表页,单击操作列的“配置规则”,切换至“入方向规则”页签,删除当前的所有规则。
- 单击“添加规则”,设定只有10.1.0.55的IP才能访问监管部门的主机,配置完成后单击“确定”。
- 优先级:1
- 策略:允许
- 协议端口:全部放通。
- 类型:IPv4
- 源地址:10.1.0.55
创建弹性云服务器
- 选择“计算 > 弹性云服务器”,单击“购买弹性云服务器”。
- 根据表1配置监管部门的弹性云服务器的基础信息,完成后单击“下一步:网络配置”。
- 计费模式:按需计费
- 区域:选择中国-香港
- 规格:用户自定义。本实践以c6.large.2举例。
- 镜像:公共镜像,具体镜像用户自定义。本实践以CentOS 8.0举例。
- 未提及参数,保持默认或根据界面引导配置
- 配置监管部门ECS的网络信息,完成后单击“下一步:高级配置”。
- 网络:选择“vpc-监管”,并选择“手动分配IP地址”,指定IP地址为表1规划的ecs-监管的IP地址“10.10.0.5”。
- 安全组:sg-监管。
- 弹性公网IP:暂不购买
- 未提及参数,保持默认或根据界面引导配置
- 设置云服务器名称和密码等信息,完成后单击“下一步:确认配置”。
- 云服务器名称:ecs-监管
- 登录凭证:密码,并输入密码。
- 未提及参数,保持默认或根据界面引导配置
- 确认ECS信息无误后,勾选“协议”并单击“立即购买”,完成ECS创建。
- 单击弹性云服务器总览页面所在行的“远程登录”,选择VNC方式登录。
- 使用root账号登录ECS,并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。
ifconfig
配置私网NAT网关
创建中转IP
- 选择“网络 > NAT网关”,选择“私网NAT网关”,切换至“中转IP”页签。
- 单击“创建中转IP”,按照如下参数设置。
- 中转VPC:vpc-中转1
- 中转子网:ext_sub_T1
- 中转IP:手动分配
- IP地址:10.1.0.55
- 返回私网NAT网关页面,切换至“私网NAT网关”页签,并单击“private-nat-A”。
- 进入“SNAT规则”页签,单击“添加SNAT规则”。
- 子网:使用已有,系统会自动关联部门A的子网。
- 中转子网:ext_sub_T1
- 中转IP:10.1.0.55
- SNAT规则参数配置完成后,单击“确定”。
- 返回网络控制台,在左侧导航栏选择“路由表”,单击“rtb-vpc-部门A”。确认已添加部门A到私网NAT网关的路由信息。
配置VPC对等连接
- 选择“网络 > 虚拟私有云”,在左侧导航栏选择“对等连接”。
- 配置对等连接,完成后单击“确定”。
- 名称:peering-TtoW
- 本端VPC:vpc-中转1
- 对端VPC:vpc-监管
- 未提及参数,保持默认或根据界面引导配置