1.问题描述
客户需求:ECS1需要访问140.131.208.0/24 ,由于140.131.208.0/24网段属于公网地址,在CSW侧为进行并网。
解决方案:故将ECS1发起的请求其在云内ECS2做DNAT,将该网段转换成CSW并网网段170.101.253.0/24,通过CSW到防火墙,在通过防火墙的DNAT将地址转换成原来140.131.208.0/24网段,去访问目标srever。
2.实施步骤
2.1. 添加Vrouter路由
1.登陆ASCM,在产品选择VPC,在组织架构选择ECS1所在组织,选择相应的路由表由
2.添加路由
IPv4网段:140.131.208.0/24
下一跳类型:ECS实例
ECS实例:ECS2的实例ID
2.2. ECS2 相关配置
1.开启路由转发功能
打开ECS2终端,以管理员权限登录。编辑 /etc/sysctl.conf 文件,可以使用任何文本编辑器.
sudo nano /etc/sysctl.conf
在文件中找到并取消注释(去掉前面的 #)以下行:net.ipv4.ip_forward=1,如果没有该行,可以在文件的末尾添加。
保存并退出文件。
运行以下命令使更改生效:sudo sysctl -p
确认路由转发功能是否已开启,运行以下命令:cat /proc/net/ipv4/ip_forward,如果输出为 1,则表示路由转发功能已开启。
2.iptables DNAT配置
打开ECS2终端,以管理员权限登录。
输入:
iptables -t nat -A PREROUTING -d 140.131.208.X -j DNAT --to 170.101.253.x
说明:根具需求配置相应DNAT规则。
查看iptables规则是否设置成功
iptables -nL
保存iptables 规则:
iptables-save > /etc/sysconfig/iptables
#以上命令二选一即可
持久化iptables 规则
编辑/alidata/bin/start,此脚本执行是容器内的1号进程,将iptables-restore < /etc/sysconfig/iptables 写入此脚本,在服务启动的时候加载iptables 规则
sudo vi /alidata/bin/start
iptables-restore < /etc/sysconfig/iptables
2.3.云下firewall配置
客户自行完成配置。
3.结果验证
从ECS1上tracepath 221.131.208.0/24网段地址,结果可以达到目的IP。
5012
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
