应用场景
随着客户业务增长,出于安全考虑,客户希望云服务器内网 IP 不要暴露在公网,希望能实现云内 IP 地址的双向隐藏。
配置方案
基于如上需求,结合腾讯云产品能力,可通过 CLB + NAT 网关方式实现在隐藏云服务器内网 IP 情况下,安全地与公网互访:
CVM 主动访问外网:即云服务器主动访问外网,可以通过公网 NAT 网关实现。通过 NAT 网关的 SNAT 功能将云服务器的内网 IP 地址转换为 SNAT 后的公网 IP 地址,从而隐藏云服务器的内网 IP 地址。
外网访问 CVM:当云服务器需要对外提供服务时,可通过公网负载均衡 VIP 统一对外提供服务,从而隐藏云服务器的内网 IP 地址,实现公网到云服务器的安全访问。
配置流程
假设客户已创建了业务 VPC,并在 VPC 内云服务器上部署相关业务,可按照如下流程配置:
3. ?配置安全策略?
4. ?操作验证?
操作步骤
创建 NAT 网关并配置子网路由指向 NAT 网关
创建公网 NAT 网关并配置子网路由指向 NAT 网关,可以将子网流量引流到 NAT 网关,统一通过 NAT 网关上的公网 IP 来访问公网,从而隐藏内网 IP,实现安全的公网访问。详情请参见 NAT 快速入门。
步骤一:创建 NAT 网关
1. 登录 NAT 网关控制台。
2. 单击左上角的新建,在弹出框中依次配置参数。
3. 参数配置完成后,按照界面提示完成购买即可。详情请参见 创建 NAT 网关。
步骤二:配置子网路由表指向 NAT 网关
1. 在 NAT 实例列表中,单击目标 NAT 实例所在行的私有网络 ID。
2. 在私有网络详细信息中,单击子网。
3. 在子网列表中,选择需要访问公网的子网所在行的路由表 ID。
4. 在路由表基本信息页面,单击新增路由策略。
5. 在新增路由弹框中,输入目的端(目的公网对应的 IP 地址段)、下一跳类型选择公网 NAT 网关、下一跳选择已创建的 NAT 网关 ID。
?
6. 单击创建完成以上配置后,关联此路由表的子网内的云服务器访问公网的流量将指向该 NAT 网关,并通过 NAT 网关上的公网 IP 访问公网。
步骤三:(可选)配置 SNAT 规则
NAT 支持绑定多个公网 IP,子网路由指向 NAT 网关时,默认子网下的云服务器均可通过 NAT 上的所有公网 IP 访问公网。如需指定云服务器通过 NAT 上指定的公网 IP 访问公网,则可以配置 SNAT 规则,详情请参见 创建 SNAT 规则。
步骤四:(可选)配置端口转发规则
NAT 网关默认提供主动内访外的能力,如需要对外提供服务,也可以通过配置端口转换规则来实现。
即可将 VPC 内云服务器的内网 IP,协议,端口映射成外网 IP,协议,端口,使得云服务器上的资源可一对一地被外网访问,详情请参见 配置端口转发规则。
说明
NAT 网关的端口转换服务仅能提供一对一的对外访问服务,如需通过统一的 IP 地址对外提供服务,则参考如下步骤通过公网 CLB 来实现。
创建公网负载均衡 CLB 实例并配置监听器规则
步骤一:购买负载均衡实例
1. 登录腾讯云 负载均衡服务购买页。
2. 在负载均衡 CLB 购买页面,地域选择与云服务器相同的地域,实例类型选择负载均衡,网络类型选择公网。详情请参见 创建负载均衡实例。
3. 单击立即购买,完成付款。
步骤二:配置负载均衡监听器
1. 在负载均衡列表页,单击目标负载均衡实例右侧的配置监听器。
2. 在监听器管理页签对应协议区域下,单击新建。
3. 在创建监听器对话框中,逐步配置监听器健康检查,会话保持等相关参数,单击提交。
4. 在右侧监听器详情中,单击绑定,为 CLB 绑定后端云服务器,并配置云服务器端口和权重,完成后单击确定。 
配置安全策略
1. 创建完负载均衡后,您可以配置负载均衡的安全组来隔离公网流量,详情请参考 配置 CLB 安全组。
3. 可以 配置 WAF 对负载均衡的监听域名进行 Web 安全防护。
4. 可以为 NAT 网关绑定 DDoS 高防包以抵御 DDoS 攻击。
操作验证
1. 云服务器主动访问外网。
2. 外网通过公网 CLB 的 VIP 访问后端业务。
相关文档
当一个子网关联了 NAT 网关,且子网内云服务器有公网 IP(或弹性 IP)时,会默认通过 NAT 网关访问 Internet(因为最精确路由的优先级高于公网 IP),但您可以设置路由策略,实现通过云服务器公网 IP 访问 Internet,详情请参见 调整 NAT 网关和 EIP 的优先级。
若您使用 CLB 转发业务流量到 CVM 上,为保障健康检查功能,在 CVM 的安全组上需做相应配置,详情请参见 后端云服务器的安全组配置。
