应用场景
随着客户业务增长,出于安全考虑,客户希望云服务器内网 IP 不要暴露在公网,希望能实现云内 IP 地址的双向隐藏。
配置方案
基于如上需求,结合腾讯云产品能力,可通过 CLB + NAT 网关方式实现在隐藏云服务器内网 IP 情况下,安全地与公网互访:
CVM 主动访问外网:即云服务器主动访问外网,可以通过公网 NAT 网关实现。通过 NAT 网关的 SNAT 功能将云服务器的内网 IP 地址转换为 SNAT 后的公网 IP 地址,从而隐藏云服务器的内网 IP 地址。
外网访问 CVM:当云服务器需要对外提供服务时,可通过公网负载均衡 VIP 统一对外提供服务,从而隐藏云服务器的内网 IP 地址,实现公网到云服务器的安全访问。
?
?配置流程
假设客户已创建了业务 VPC,并在 VPC 内云服务器上部署相关业务,可按照如下流程配置:
3. ?配置安全策略?
4. ?操作验证?
操作步骤
创建 NAT 网关并配置子网路由指向 NAT 网关
创建公网 NAT 网关并配置子网路由指向 NAT 网关,可以将子网流量引流到 NAT 网关,统一通过 NAT 网关上的公网 IP 来访问公网,从而隐藏内网 IP,实现安全的公网访问。详情请参见 NAT 快速入门。
步骤一:创建 NAT 网关
1. 登录 NAT 网关控制台。
2. 单击左上角的新建,在弹出框中依次配置参数。
3. 参数配置完成后,按照界面提示完成购买即可。详情请参见 创建 NAT 网关。
步骤二:配置子网路由表指向 NAT 网关
1. 在 NAT 实例列表中,单击目标 NAT 实例所在行的私有网络 ID。
2. 在私有网络详细信息中,单击子网。
3. 在子网列表中,选择需要访问公网的子网所在行的路由表 ID。
4. 在路由表基本信息页面,单击新增路由策略。
5. 在新增路由弹框中,输入目的端(目的公网对应的 IP 地址段)、下一跳类型选择公网 NAT 网关、下一跳选择已创建的 NAT 网关 ID。
?
6. 单击创建完成以上配置后,关联此路由表的子网内的云服务器访问公网的流量将指向该 NAT 网关,并通过 NAT 网关上的公网 IP 访问公网。
步骤三:(可选)配置 SNAT 规则
NAT 支持绑定多个公网 IP,子网路由指向 NAT 网关时,默认子网下的云服务器均可通过 NAT 上的所有公网 IP 访问公网。如需指定云服务器通过 NAT 上指定的公网 IP 访问公网,则可以配置 SNAT 规则,详情请参见 创建 SNAT 规则。
步骤四:(可选)配置端口转发规则
NAT 网关默认提供主动内访外的能力,如需要对外提供服务,也可以通过配置端口转换规则来实现。
即可将 VPC 内云服务器的内网 IP,协议,端口映射成外网 IP,协议,端口,使得云服务器上的资源可一对一地被外网访问,详情请参见 配置端口转发规则。
说明
NAT 网关的端口转换服务仅能提供一对一的对外访问服务,如需通过统一的 IP 地址对外提供服务,则参考如下步骤通过公网 CLB 来实现。
创建公网负载均衡 CLB 实例并配置监听器规则
步骤一:购买负载均衡实例
1. 登录腾讯云 负载均衡服务购买页。
2. 在负载均衡 CLB 购买页面,地域选择与云服务器相同的地域,实例类型选择负载均衡,网络类型选择公网。详情请参见 创建负载均衡实例。
3. 单击立即购买,完成付款。
步骤二:配置负载均衡监听器
1. 在负载均衡列表页,单击目标负载均衡实例右侧的配置监听器。
2. 在监听器管理页签对应协议区域下,单击新建。
3. 在创建监听器对话框中,逐步配置监听器健康检查,会话保持等相关参数,单击提交。
4. 在右侧监听器详情中,单击绑定,为 CLB 绑定后端云服务器,并配置云服务器端口和权重,完成后单击确定。
?
?配置安全策略
1. 创建完负载均衡后,您可以配置负载均衡的安全组来隔离公网流量,详情请参考 配置 CLB 安全组。
3. 可以 配置 WAF 对负载均衡的监听域名进行 Web 安全防护。
4. 可以为 NAT 网关绑定 DDoS 高防包以抵御 DDoS 攻击。
操作验证
1. 云服务器主动访问外网。
?
?2. 外网通过公网 CLB 的 VIP 访问后端业务。
?
?相关文档
当一个子网关联了 NAT 网关,且子网内云服务器有公网 IP(或弹性 IP)时,会默认通过 NAT 网关访问 Internet(因为最精确路由的优先级高于公网 IP),但您可以设置路由策略,实现通过云服务器公网 IP 访问 Internet,详情请参见 调整 NAT 网关和 EIP 的优先级。
若您使用 CLB 转发业务流量到 CVM 上,为保障健康检查功能,在 CVM 的安全组上需做相应配置,详情请参见 后端云服务器的安全组配置。