云服务器内容精选

  • 约束与限制 VPC对等连接只能实现同区域VPC的网络互通,因此请确保您的VPC位于同一个区域内。 需要通过VPC对等连接通信的VPC的子网网段不能重叠,否则对等连接不会生效,更多详情请参见无效的VPC对等连接配置。 第三方防火墙部署的E CS 所在的子网需要关联自定义路由表 ,请确保您资源所在的区域支持自定义路由表功能。 如果在网络控制台的左侧子栏目看到独立的“路由表”选项,表示支持自定义路由表功能。 图2 支持定义路路由
  • 组网规划说明 本示例中需要在VPC路由表中配置路由,实现VPC之间的互通以及通过防火墙的流量清洗、组网规划总体说明请参见表5。 以下路由规划详情仅为示例,供您参考,您需要根据实际业务情况规划路由。 表5 云上VPC互访使用第三方防火墙组网规划总体说明 路由表 说明 业务所在VPC vpc-A、vpc-B、vpc-C为业务VPC,路由表的规划详情如表6所示。 在vpc-A、vpc-B、vpc-C的默认路由表中,分别添加指向其他VPC子网,下一跳为对等连接的路由,实现不同VPC之间的网络互通。 防火墙所在VPC vpc-X为防火墙VPC,路由表的规划详情如表7所示。 在vpc-X的默认路由表中,根据您防火墙部署方案分为以下情况: 防火墙部署在一台ECS上,则添加目的地址为默认网段(0.0.0.0/0),下一跳为ecs-X01的路由,将流量引入防火墙所在的云服务器。 防火墙部署在两台ECS上,对外通过同一个虚拟IP通信,当主ECS发生故障无法对外提供服务时,动态将虚拟IP切换到备ECS,继续对外提供服务。此场景下,则添加目的地址为默认网段(0.0.0.0/0),下一跳为虚拟IP的路由,将流量进入虚拟IP,由虚拟IP将流量引入防火墙所在的云服务器。 本文以防火墙部署在一台ECS上为例,vpc-A、vpc-B、vpc-C互访的流量,都需要经过vpc-X,然后通过该条路由,将流量引入防火墙中进行清洗过滤。 在vpc-X的自定义路由表中,添加目的地址为业务VPC子网网段(vpc-A、vpc-B、vpc-C子网),下一跳为对等连接的路由,将清洗后的流量引入业务VPC。 表6 业务VPC路由表规划 VPC名称 VPC路由表 目的地址 下一跳类型 下一跳 路由类型 路由作用 vpc-A 默认路由表:rtb-vpc-A 10.2.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-A01和subnet-C01 192.168.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-A01和subnet-X01 vpc-B 默认路由表:rtb-vpc-B 10.1.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-B01 10.3.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-B01和subnet-X01 vpc-C 默认路由表:rtb-vpc-C 10.1.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-C01 10.2.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-C01 192.168.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-X的子网subnet-X01 连通子网subnet-C01和subnet-X01 表7 防火墙VPC路由表规划 VPC名称 VPC路由表 目的地址 下一跳类型 下一跳 路由类型 路由作用 vpc-X 默认路由表:rtb-vpc-X 0.0.0.0/0 服务器实例 ECS-X 自定义 目的地址指向部署防火墙的ecs-X 将vpc-X入方向的流量引入防火墙 本文以防火墙部署在一台ECS上为例,如果您的防火墙同时部署在多台ECS上,对外通过虚拟IP通信,则路由下一跳选择虚拟IP。 自定义路由表:rtb-vpc-custom-X 10.1.0.0/24 对等连接 peer-AX 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-X01 10.2.0.0/24 对等连接 peer-BX 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-X01 10.3.0.0/24 对等连接 peer-CX 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-C01和subnet-X01
  • 资源规划说明 本示例中需要创建 虚拟私有云VPC 、弹性 云服务器ECS 以及VPC对等连接,资源规划总体说明请参见表1。 以下资源规划详情仅为示例,供您参考,您需要根据实际业务情况规划资源。 表1 云上VPC互访使用第三方防火墙资源规划总体说明 资源 说明 虚拟私有云VPC VPC的资源规划详情如表2所示。 本示例中共有4个VPC,包括业务所在VPC和防火墙所在的VPC。这些VPC位于同一个区域内,且这些VPC的子网网段不重叠。 vpc-A、vpc-B、vpc-C为业务VPC,vpc-X为防火墙VPC,这些VPC通过对等连接实现网络互通。 vpc-A、vpc-B、vpc-C、vpc-X各有一个子网。 vpc-A、vpc-B、vpc-C各有一个默认路由表,子网关联VPC默认路由表。 vpc-X有两个路由表,一个系统自带的默认路由表,一个用户创建的自定义路由表,vpc-X的子网关联自定义路由表。 默认路由表控制vpc-X的入方向流量,自定义路由表控制vpc-X的出方向流量。 须知: 需要通过对等连接通信的VPC的子网网段不能重叠,否则对等连接不会生效,更多详情请参见无效的VPC对等连接配置。 弹性云服务器ECS ECS的资源规划详情如表3所示。 本示例中共有4个ECS,这些ECS分别位于不同的VPC内,这些ECS如果位于不同的安全组,需要在安全组中添加规则放通对端安全组的网络。 VPC对等连接 VPC对等连接的资源规划详情如表4所示。 本示例中共3个对等连接,网络连通需求如下: peer-AX:连通vpc-A和vpc-X的网络。 peer-BX:连通vpc-B和vpc-X的网络。 peer-CX:连通vpc-C和vpc-X的网络。 由于VPC对等连接具有传递性,通过路由配置,vpc-A、vpc-B以及vpc-C之间可以通过vpc-X进行网络通信。 表2 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 子网作用 vpc-A 10.1.0.0/16 subnet-A01 10.1.0.0/24 默认路由表 部署业务的子网 vpc-B 10.2.0.0/16 subnet-B01 10.2.0.0/24 默认路由表 部署业务的子网 vpc-C 10.3.0.0/16 subnet-C01 10.3.0.0/24 默认路由表 部署业务的子网 vpc-X 192.168.0.0/16 subnet-X01 192.168.0.0/24 自定义路由表 部署防火墙的子网 表3 ECS资源规划详情 ECS名称 VPC名称 子网名称 私有IP地址 镜像 安全组 ECS作用 ecs-A01 vpc-A subnet-A01 10.1.0.139 公共镜像: CentOS 8.2 64bit sg-demo: 通用Web服务器 部署业务的云服务器 ecs-B01 vpc-B subnet-B01 10.2.0.93 部署业务的云服务器 ecs-C01 vpc-C subnet-C01 10.3.0.220 部署业务的云服务器 ecs-X01 vpc-X subnet-X01 192.168.0.5 部署防火墙的云服务器 表4 VPC对等连接资源规划详情 VPC对等连接名称 本端VPC 对端VPC peer-AX vpc-A vpc-X peer-BX vpc-B vpc-X peer-CX vpc-C vpc-X
  • 方案架构 本示例中vpc-A、vpc-B、vpc-C为业务所在的VPC,vpc-X为防火墙所在的VPC,这些VPC通过对等连接实现网络互通。vpc-A、vpc-B、vpc-C之间互通的流量均需要经过vpc-X上的防火墙。根据默认路由表配置,所有vpc-X的入方向流量均引入防火墙,通过防火墙清洗后的流量根据自定义路由表的目的地址送往指定业务VPC。 在图1中,以ecs-A01访问ecs-C01为例,您可以清晰的看到流量的请求路径和响应路径。 图1 云上VPC互访使用第三方防火墙组网规划
  • 控制外部指定IP地址或安全组对实例的访问 本示例安全组配置如图2所示,您可以通过设置安全组入方向规则,允许特定IP地址,或者其他安全组内的实例访问您的实例。 在安全组Sg-A的入方向中,添加规则A01,允许指定IP (172.16.0.0/24)访问安全组内实例的SSH(22)端口,用于远程登录安全组内的Linux云服务器。 在安全组Sg-B的入方向中,添加规则B01,允许其他安全组内的实例访问本安全组内实例的SSH(22)端口,即通过子网Subnet-A的ECS可远程登录Subnet-B内的ECS。 图2 控制外部指定IP地址或安全组对实例的访问
  • 控制虚拟IP访问安全组内实例 本示例安全组配置如图3所示,您可以通过设置安全组入方向规则,允许虚拟IP,或者其他安全组内的实例访问您的实例。 在安全组Sg-A的入方向中,添加规则A01,允许Sg-B内的实例使用任何协议和端口,通过私有IP地址访问Sg-A内的实例。 在安全组Sg-B的入方向中,添加规则B01,允许虚拟IP(192.168.0.21)使用任何协议和端口访问Sg-B内的实例。当前组网中,您还可以将源地址设置成子网Subnet-A的网段192.168.0.0/24。 规则B02仅能允许Sg-A内实例通过私有IP访问Sg-B内的实例,无法放通虚拟IP访问。 图3 控制虚拟IP访问安全组内实例
  • 控制外部对子网内实例的访问 网络ACL可以控制流入/流出子网的流量,流量优先匹配网络ACL的规则,然后匹配安全组规则。 本示例如图5所示,子网Subnet-A内的两个业务实例ECS-A01和ECS-A02网络互通,并允许白名单实例远程登录业务实例,白名单实例的IP地址为10.1.0.5/32。白名单实例可能是VPC-A的其他子网或者其他VPC内的实例,也可以是本地计算机,可远程连接业务实例执行运维操作。因此,网络ACL和安全组规则需要放通白名单实例的流量,拦截来自其他网络的流量,规则配置如下: 网络ACL规则: 入方向:自定义规则A01允许白名单实例,通过SSH远程登录子网Subnet-A内的实例。默认规则拒绝其他网络流量流入子网。 出方向:网络ACL是有状态的,允许入站请求的响应流量流出,因此不用额外添加规则放通白名单实例的响应流量。默认规则拒绝其他网络流量流出子网。 安全组规则: 入方向:规则A01允许白名单实例,通过SSH远程登录子网Subnet-A内的实例。规则A02允许安全组内实例互通。其他流量无法流入安全组内实例。 出方向:规则A03允许所有流量从安全组内实例流出。 图5 控制外部对子网内实例的访问
  • 控制不同子网内实例的互通和隔离 本示例中,VPC-X内有两个子网Subnet-X01和Subnet-X02,ECS-01和ECS-02属于Subnet-X01,ECS-03属于Subnet-X02。三台ECS的网络通信需求如下: ECS-02和ECS-03网络互通 ECS-01和ECS-03网络隔离 为了实现以上网络通信需求,本示例的安全组和网络ACL配置如下: 三台ECS属于同一个安全组Sg-A,在Sg-A中添加入方向和出方向规则,确保安全组内实例网络互通。 此时子网还未关联网络ACL,安全组规则配置完成后,ECS-01、ECS-02均可以和ECS-03进行通信。 将两个子网均关联至网络ACL Fw-A。 当Fw-A中只有默认规则时,同一个子网内实例网络互通,不同子网内实例网络隔离。此时ECS-01和ECS-02网络互通,ECS-01和ECS-03网络隔离、ECS-02和ECS-03网络隔离。 在网络ACL Fw-A中添加自定义规则,放通ECS-02和ECS-03之间的网络。 自定义规则A01:允许来自ECS-03的流量流入子网。 自定义规则A02:允许来自ECS-02的流量流入子网。 自定义规则A03:允许访问ECS-03的流量流出子网。 自定义规则A04:允许访问ECS-02的流量流出子网。 图6 控制不同子网内实例的互通和隔离