目录
目录
ECS实例已经绑定了EIP,是否还支持通过NAT网关的DNAT功能对外提供公网服务?
一、安全组
公有云的内网是经典网络,也就是说,不同的租户是互通的,如果你只想让你自己的机器访问的话,那么你要给你每一台机器都配上互相可以访问的安全组。安全组是AWS的SecurityGroup的中文翻译,其实也就是防火墙。
二、VPC
真正解决内网多租户互相隔离的方案应该是VPC, VPC这个词应该也是AWS发明出来的,全称叫Virtual Private Cloud。这个方案让用户自己定义自己的内网网络,你可以定成:172.13.x.x,你也可以定义成192.168.x.x,随便你定。就算是不同的租户定义成了相同的私有网络也没有问题。定义完后,就可以让你的虚拟机加入你定义的VPC网络。
VPC概念(专有网络)
专有网络是您专有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等。
弹性公网IP:弹性公网IP是基于互联网上的静态IP地址,将弹性IP地址和子网中关联的弹性云服务器绑定和解绑,可以实现VPC通过固定的公网IP地址与互联网互通。一个弹性公网IP只能绑定一个云资源使用。
VPC产品架构
VPC包含交换机、网关和控制器三个重要的组件(有的是路由器、交换机、私网地址)。交换机和网关组成了数据通路的关键路径,控制器使用自研协议下发转发表到网关和交换机,完成了配置通路的关键路径。配置通路和数据通路互相分离。VPC中的交换机是分布式的结点。
实用VPC虚拟私有云设计原则
三、对等连接
VPC 对等连接是一种跨VPC网络互联服务,可以使私有网络 IP 在对等 VPC 之间路由流量,就像它们属于同一网络一样。
您可以实现同地域的相同/不同用户的私有网络互联,通过在两端配置路由策略,可以实现不同私有网络的流量互通。
对等连接不依赖某个独立硬件,因而不存在单点故障或带宽瓶颈。
对等连接使用约束
【配置路由】要使对等连接两端实现真正的通信,必须保证本端和对端的相关路由表上配置相关路由规则。
【同区域】当前仅支持同地域下VPC之间创建VPC对等连接。
【CIDR不重叠】对等连接的两端私有网络 CIDR 不可以重叠,重叠时创建会报错。
同地域对等连接无带宽上限。
【免费】同地域对等连接:免费。
【不传递】对等连接互通性不传递:对等连接使私有网络之间两两建立互联,但是这种互通关系不发生传递。例如, VPC 1 与 VPC 2 建立了对等连接,VPC 1 和 VPC 3 也建立了对等连接。然而由于对等连接的不传递性,VPC 2 和 VPC 3 的流量不能互通。
【1对1】相同的VPC之间只能创建一个VPC对等连接。
【不重名】同地域下VPC对等连接名称不可以重复。
【配额】同VPC对外发起的VPC对等连接配额为10。
【中断】对等连接任意一方可以随时中断对等连接。中断后两个私有网络间流量则立即中断。
四、EIP(弹性公网IP)
ECS实例已经绑定了EIP,是否还支持通过NAT网关的DNAT功能对外提供公网服务?
不支持。
具体限制如下:
- 如果您的ECS实例已经绑定了EIP,则不支持通过NAT网关的DNAT功能对外提供公网服务。
如需通过NAT网关的DNAT功能对外提供公网服务,请先将ECS实例与EIP解绑。解绑后,再为该ECS实例添加DNAT条目。
- 如果您已经为ECS实例添加了DNAT条目,则不支持为该ECS实例绑定EIP。
如需为ECS实例绑定EIP,请先删除该ECS实例的DNAT条目。删除后,再为该ECS实例绑定EIP。
说明 如果存量ECS实例绑定了EIP,且处于NAT网关的DNAT条目中,则ECS实例优先通过绑定的EIP进行公网通信。
有任何不对或者建议的地方欢迎大家留言!!!
扫一扫
594
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
