该场景下安装容器引擎的机器为云上的ECS或CCE节点，机器与容器镜像仓库不在同一区域，上传下载镜像走公网链路，机器需要绑定弹性公网IP。在此场景下，又分为2种情形。

●单个ECS访问公网

●多个ECS访问公网

当您的某台ECS需要主动访问公网，可以为ECS绑定EIP，即可实现公网访问。华为云提供多种计费方式（按需、按流量等）供您选择，无需使用时支持灵活解绑。

图1 组网图

1.登录管理控制台。

2.单击管理控制台左上角的，选择区域和项目。

3.单击，选择“计算 > 弹性云服务器”。

4.在弹性云服务器列表中，选中要绑定弹性公网IP的机器，单击“操作”列下的“更多 > 网络设置 > 绑定弹性公网IP”。

5.选择一个弹性公网IP，单击“确定”。

图2 绑定弹性公网IP

6.完成绑定后，可以在云服务器列表页查看已绑定的弹性公网IP。

说明：

如果当前区域没有可用的弹性公网IP，则弹性公网IP列表为空，请购买弹性公网IP后重新执行绑定操作。

当您的VPC内ECS都有公网访问需求时，可以使用NAT网关服务，按子网配置SNAT规则，轻松构建VPC的公网出口。对比EIP访问公网，在未配置SNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了ECS的相对安全。

图3 组网图

1.按照单个ECS访问公网的操作步骤，为ECS绑定弹性公网IP。

2.创建NAT网关，具体步骤详见购买NAT网关。

a. 登录管理控制台。

b. 在管理控制台左上角单击，选择区域和项目。

c. 在控制台首页，单击左上角的，在展开的列表中单击“网络 > NAT网关”。

d. 在NAT网关页面，单击右上角的“购买公网NAT网关”。

e. 根据界面提示配置参数。

图4 购买公网NAT网关

3.配置SNAT规则，为子网绑定弹性公网IP，具体请参见添加SNAT规则。

a. 登录管理控制台。

b. 在管理控制台左上角单击，选择区域和项目。

c. 在控制台首页，单击左上角的，在展开的列表中单击“网络 >NAT网关”。

d. 在NAT网关页面，单击需要添加SNAT规则的NAT网关名称。

e. 在SNAT规则页签中，单击“添加SNAT规则”。

f. 根据界面提示配置参数。

图5 添加SNAT规则