公网访问

场景描述

该场景下安装容器引擎的机器为云上的ECS或CCE节点，机器与基础版容器镜像仓库不在同一区域，上传下载镜像走公网链路，机器需要绑定弹性公网IP。在此场景下，又分为2种情形。

• 单个ECS访问公网
• 多个ECS访问公网

单个ECS访问公网

当您的某台ECS需要主动访问公网，可以为ECS绑定EIP，即可实现公网访问。华为云提供多种计费方式（按需、按流量等）供您选择，无需使用时支持灵活解绑。

图1 组网图

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 单击，选择“计算 > 弹性云服务器”。
4. 在弹性云服务器列表中，选中要绑定弹性公网IP的机器，单击“操作”列下的“更多 > 网络/安全组 > 绑定弹性公网IP”。
5. 选择一个弹性公网IP，单击“确定”。
   图2 绑定弹性公网IP
   

6. 完成绑定后，可以在云服务器列表页查看已绑定的弹性公网IP。
   

   如果当前区域没有可用的弹性公网IP，则弹性公网IP列表为空，请购买弹性公网IP后重新执行绑定操作。

多个ECS访问公网

当您的VPC内ECS都有公网访问需求时，可以使用NAT网关服务，按子网配置SNAT规则，轻松构建VPC的公网出口。对比EIP访问公网，在未配置SNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了ECS的相对安全。

图3 组网图

1. 按照单个ECS访问公网的操作步骤，为ECS绑定弹性公网IP。
2. 创建NAT网关，具体请参见购买NAT网关。
   1. 登录管理控制台。
   2. 在管理控制台左上角单击，选择区域和项目。
   3. 在控制台首页，单击左上角的，在展开的列表中单击“网络 > NAT网关”。
   4. 在NAT网关页面，单击右上角的“购买公网NAT网关”。
   5. 根据界面提示配置参数。

3. 配置SNAT规则，为子网绑定弹性公网IP，具体请参见添加SNAT规则。
   1. 登录管理控制台。
   2. 在管理控制台左上角单击，选择区域和项目。
   3. 在控制台首页，单击左上角的，在展开的列表中单击“网络 >NAT网关”。
   4. 在NAT网关页面，单击需要添加SNAT规则的NAT网关名称。
   5. 在SNAT规则页签中，单击“添加SNAT规则”。
   6. 根据界面提示配置参数。
      图4 添加SNAT规则
      

如果您通过配置本地/etc/hosts的方式访问OBS，需要将SWR存储容器镜像的OBS桶集群(可能存在一个或者多个)的域名配置到本地/etc/hosts，否则可能导致下载镜像失败或者偶现失败，请提交工单获取不同局点SWR对应的OBS桶集群信息