更新时间:2024-05-06 GMT+08:00

云上指定IP地址访问VPC外主机

应用场景

在不改变现有IDC网络组织架构的前提下,需要将网络组织架构迁移上云,并实现以IDC中指定IP地址访问外部资源

在本最佳实践中,根据行业监管部门的要求,业务上云之后仍需要部门A定期以指定的IP地址(10.1.0.55)访问行业监管部门的主机,上传必要的监管数据。

方案架构

  • 监管部门限定只有特定的IP地址(10.1.0.55)的主机可以访问。
  • 部门A内的主机(192.168.0.3)通过私网NAT网关,将私有IP地址转换为规定的IP地址(10.1.0.55),定期访问行业监管部门的主机(10.10.0.5)。
图1 最佳实践逻辑拓扑

方案优势

灵活指定IP地址,VPC内所有主机可以共用此IP访问VPC外主机。

资源和成本规划

表1 资源和成本规划

资源

名称

规划网段/IP

子网名称

说明

VPC(中国-香港)

vpc-部门A

192.168.0.0/24

subnet-A

部门A迁移到云上的VPC。

vpc-中转1

10.1.0.0/24

ext_sub_T1

私网NAT网关所需的中转VPC。

vpc-监管

10.10.0.0/24

subnet-W

模拟监管部门的VPC。

弹性云服务器(中国-香港)

ecs-部门A

192.168.0.3

--

部门A的主机,可以访问行业监管部门的主机。

ecs-监管

10.10.0.5

--

模拟监管部门的主机。

中转IP(vpc-中转1)

部门A中转IP

10.1.0.55

--

部门A主机通过监管部门分配的IP地址访问监管部门的主机。

前提条件

  • 已拥有华为云账号。
  • 华为云账号未欠费,并且有足够的金额可以购买本最佳实践所涉及的资源。
  • 已完成私网NAT网关创建。
  • 已完成云上重叠子网间主机互访操作。

创建VPC

  1. 登录华为云管理控制台,并选择“中国-香港”区域。
  2. 选择“网络 > 虚拟私有云”,单击“创建虚拟私有云”。
  3. 根据表1配置监管部门的VPC,单击“立即创建”。

    • 区域:选择中国-香港
    • 名称:vpc-监管
    • IPv4网段:10.10.0.0/24
    • 可用区:可用区1
    • 名称:subnet-W
    • 子网IPv4网段:保持默认
    • 未提及参数,保持默认或根据界面引导配置

创建安全组

  1. 选择“网络 > 虚拟私有云”,选择“访问控制 > 安全组”,单击“创建安全组”。
  2. 配置安全组信息,完成后单击“确定”。

    • 名称:sg-监管
    • 模板:通用Web服务器
    • 未提及参数,保持默认或根据界面引导配置

  3. 在安全组列表页,单击操作列的“配置规则”,切换至“入方向规则”页签,删除当前的所有规则。

  4. 单击“添加规则”,设定只有10.1.0.55的IP才能访问监管部门的主机,配置完成后单击“确定”。

    • 优先级:1
    • 策略:允许
    • 协议端口:全部放通。
    • 类型:IPv4
    • 源地址:10.1.0.55

创建弹性云服务器

  1. 选择“计算 > 弹性云服务器”,单击“购买弹性云服务器”。
  2. 根据表1配置监管部门的弹性云服务器的基础信息,完成后单击“下一步:网络配置”。

    • 计费模式:按需计费
    • 区域:选择中国-香港
    • 规格:用户自定义。本实践以c6.large.2举例。
    • 镜像:公共镜像,具体镜像用户自定义。本实践以CentOS 8.0举例。
    • 未提及参数,保持默认或根据界面引导配置

  3. 配置监管部门ECS的网络信息,完成后单击“下一步:高级配置”。

    • 网络:选择“vpc-监管”,并选择“手动分配IP地址”,指定IP地址为表1规划的ecs-监管的IP地址“10.10.0.5”。
    • 安全组:sg-监管。
    • 弹性公网IP:暂不购买
    • 未提及参数,保持默认或根据界面引导配置

  4. 设置云服务器名称和密码等信息,完成后单击“下一步:确认配置”。

    • 云服务器名称:ecs-监管
    • 登录凭证:密码,并输入密码。
    • 未提及参数,保持默认或根据界面引导配置

  5. 确认ECS信息无误后,勾选“协议”并单击“立即购买”,完成ECS创建。
  6. 单击弹性云服务器总览页面所在行的“远程登录”,选择VNC方式登录。
  7. 使用root账号登录ECS,并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。

    ifconfig

配置私网NAT网关

创建中转IP

  1. 选择“网络 > NAT网关”,选择“私网NAT网关”,切换至“中转IP”页签。

  2. 单击“创建中转IP”,按照如下参数设置。

    • 中转VPC:vpc-中转1
    • 中转子网:ext_sub_T1
    • 中转IP:手动分配
    • IP地址:10.1.0.55

  3. 返回私网NAT网关页面,切换至“私网NAT网关”页签,并单击“private-nat-A”。
  4. 进入“SNAT规则”页签,单击“添加SNAT规则”。

    • 子网:使用已有,系统会自动关联部门A的子网。
    • 中转子网:ext_sub_T1
    • 中转IP:10.1.0.55

  5. SNAT规则参数配置完成后,单击“确定”。
  6. 返回网络控制台,在左侧导航栏选择“路由表”,单击“rtb-vpc-部门A”。确认已添加部门A到私网NAT网关的路由信息。

配置VPC对等连接

  1. 选择“网络 > 虚拟私有云”,在左侧导航栏选择“对等连接”。
  2. 配置对等连接,完成后单击“确定”。

    • 名称:peering-TtoW
    • 本端VPC:vpc-中转1
    • 对端VPC:vpc-监管
    • 未提及参数,保持默认或根据界面引导配置

配置路由

  1. 选择“网络 > 虚拟私有云”,在左侧导航栏选择“路由表”。
  2. 单击“rtb-vpc-中转1”,删除已有的“0.0.0.0/0”路由规则。
  3. 单击“添加路由”,配置路由相关信息,单击“确认”。

    • 目的地址:设置为0.0.0.0/0
    • 下一跳类型:对等连接
    • 下一跳:系统自动关联对等连接实例

  4. 返回至“路由表”控制台,单击“rtb-vpc-监管”,单击“添加路由”。
  5. 配置路由相关信息,单击“确认”。

    • 目的地址:设置为0.0.0.0/0
    • 下一跳类型:对等连接
    • 下一跳:系统自动关联对等连接实例

验证部门A访问监管部门

  1. 选择“计算 > 弹性云服务器”,并使用VNC方式登录“ecs-部门A”的主机。
  2. 在“ecs-部门A”主机上,执行如下命令,验证主机可以访问监管部门的主机。

    ping 10.10.0.5