裸金属可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问,本节主要介绍通过NAT网关实现公网互访。
NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务,实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。
VPC内的实例出方向访问通过SANT规则控制,入方向访问通过DNAT规则控制,一个NAT网关可以创建多个SNAT和DNAT规则。
前提条件
虚拟私有云的子网类型为裸金属子网。
已创建裸金属实例。
已创建与裸金属实例同VPC的NAT网关。
已创建空闲的弹性IP。
已创建空闲的子网ACL。
裸金属实例通过NAT网关访问公网
登录通用计算控制台。
单击【网络>弹性IP】进入弹性IP列表,单击【操作 绑定】,并从列表选择一个NAT网关实例(与需访问公网的裸金属同VPC)完成绑定。
单击左侧【NAT网关】导航栏,在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例,单击【操作>设置SNAT规则】进入网关详情。
在【添加SNAT规则】页面,子网需要选择与裸金属实例相同的子网,【弹性公网IP】选择已绑定的公网IP,下拉项只会显示已绑定的公网IP,单击【提交】完成规则设置。
在【SNAT】页签可以查看已添加的规则。
登录裸金属,输入账号密码,ping测公网IP地址的联通性。
通过NAT网关实现公网访问裸金属实例
登录通用计算控制台。
单击【网络>弹性IP】进入弹性IP列表,单击【操作 ,并从列表选择一个NAT网关实例(与需访问公网的裸金属同VPC)完成绑定。
单击左侧【NAT网关】导航栏,在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例,单击【操作>设置DNAT规则】进入网关详情。
在【添加DNAT规则】页面,端口类型可选择【指定端口】或【所有端口】,【弹性公网IP】选择已绑定的弹性IP,私网IP选择裸金属实例,单击【提交】完成规则设置。
在【DNAT】页签可以查看已添加的规则。
单击左侧【子网ACL】导航栏,选择未绑定任何规则的子网ACL实例,在其列表页点击【操作>关联子网】进入到子网ACL详情页面。
在【入/出方向规则】页签,点击【添加入/出方向规则】对裸金属实例与公网之间互访的规则进行添加。
登录裸金属,输入账号密码,在命令行测试公网IP+端口的联通性。
注意:
SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。
SNAT 规则和 DNAT 规则一般面向不同的业务,如果使用相同的弹性公网IP,会面临业务互相抢占问题,请尽量避免。
配置 DNAT 规则后,一定需要放通对应的子网ACL规则。
入方向规则:如裸金属实例部署了对应服务(如TCP 8080)且第4步选择了所有端口,则需要严格限制公网至裸金属实例的规则。可配置只允许外部地址访问部署了服务的端口,如只放通公网0.0.0.0/0至裸金属IP的8080端口,其余端口可全部拒绝;从而避免过多端口暴露至公网引发安全问题。
出方向规则:可放通裸金属IP至0.0.0.0/0公网地址,协议为全部的规则。
