使用VPC附加网段实现EIP网卡可见

EIP是一种NAT IP,它实际位于阿里云的公网网关上,通过NAT方式映射到被绑定的云资源上,所以在ECS实例的私网网卡上无法查看到EIP。本文为您介绍如何通过专有网络 VPC(Virtual Private Cloud)的附加网段功能,使辅助弹性网卡的主私网IP与EIP一致,实现EIP网卡可见。

背景信息

EIP本质上是一个NAT IP。由于普通模式(NAT模式)下的EIP存在于网关设备,并不在ECS实例的网卡上,所以在操作系统内看不到EIP,只能看到网卡上的私网IP。这样给运维带来了一定的复杂度,需要手工维护一份网卡与EIP或服务器与EIP的对应关系。此外,EIP作为普通模式部署时,不支持H.323、SIP、DNS、RTSP等协议。

场景示例

本文以下图场景为例。某公司在阿里云某地域创建了VPC和交换机1,交换机1中创建了ECS实例。其中,交换机1位于可用区A。公司业务需要ECS实例可以访问公网,且需要IT运维人员可以查看该ECS实例的网络配置。

针对上述场景,您需要创建以下资源:

  • VPC附加IPv4网段及其交换机2:将EIP所在网段添加为VPC的附加IPv4网段,并在该附加网段中创建交换机2。交换机2与交换机1都位于可用区A。

  • 辅助弹性网卡:在交换机2中创建辅助弹性网卡,并将EIP地址作为主私网IP分配给辅助弹性网卡。

创建完成后,将辅助弹性网卡与EIP绑定,再与同可用区A下的ECS实例进行绑定。绑定后,辅助弹性网卡的主私网IP与EIP一致,您可以在操作系统的网卡中查看EIP信息。EIP网卡可见替代方案

网段规划如下:

配置

网段

EIP地址

120.XX.XX.106

VPC主网段

主网段

10.0.0.0/8

交换机1

10.0.0.0/24

主网卡私网IP

10.0.0.202

VPC附加IPv4网段

附加IPv4网段

120.XX.XX.0/24

交换机2

120.XX.XX.0/25

辅助弹性网卡主私网IP

120.XX.XX.106

使用限制

按照本文方式配置后,同VPC下的ECS间可以使用私网IP互通,但不支持使用公网IP进行互通。

前提条件

  • 您已经创建了VPC和交换机1,交换机1位于可用区A。具体操作,请参见创建和管理专有网络

  • 您已经在交换机1中创建了ECS实例。具体操作,请参见自定义购买实例

  • ECS实例的安全组规则允许ECS实例访问公网,安全组的配置规则,请参见安全组概述

  • 您已经申请了访问公网所需的EIP。具体操作,请参见申请EIP

配置步骤

配置步骤

步骤一:为VPC添加附加IPv4网段

将已申请的EIP所在网段添加为VPC的附加IPv4网段。

  1. 登录专有网络管理控制台
  2. 在顶部菜单栏处,选择VPC的地域。

  3. 专有网络页面,找到目标VPC,单击VPC的ID。

  4. 在专有网络基本信息页面,单击网段管理页签,然后单击添加附加IPv4网段

  5. 添加附加网段对话框,根据以下信息配置附加IPv4网段,然后单击确定

    此处仅介绍本文需要重点关注的配置项。更多配置信息,请参见添加附加网段

    配置

    说明

    专有网络

    显示要添加附加IPv4网段的专有网络。

    附加网段

    选择一种方式配置附加网段。

    • 推荐网段

    • 高级配置网段

    本文选择高级配置网段,并输入EIP所在网段120.XX.XX.0/24

步骤二:在附加IPv4网段创建交换机

在已添加的附加IPv4网段下,创建交换机2。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击交换机
  3. 选择要创建交换机的VPC所属的地域。

  4. 交换机页面,单击创建交换机

  5. 创建交换机页面,根据以下信息配置交换机2,然后单击确定创建

    此处仅介绍本文需要重点关注的配置项。更多配置信息,请参见创建交换机

    配置

    说明

    专有网络

    选择交换机2所属的专有网络。

    本文选择ECS实例所属VPC

    IPv4网段

    选择交换机2所属网段。

    本文选择步骤一:为VPC添加附加IPv4网段创建的附加IPv4网段。

    可用区

    选择交换机2的可用区。同一VPC内不同可用区的交换机内网互通。

    本文选择ECS实例所属的可用区A。

    IPv4网段

    配置交换机2的IPv4网段。

    本文配置为附加IPv4网段的子网段120.XX.XX.0/25

步骤三:创建辅助弹性网卡

在已创建的交换机2中创建辅助弹性网卡,并将EIP地址作为主私网IP分配给辅助弹性网卡,使辅助弹性网卡的主私网IP与EIP相同。

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择网络与安全 > 弹性网卡

  3. 在页面左侧顶部,选择目标资源所在的资源组和地域。地域

  4. 单击创建弹性网卡,在创建弹性网卡页面,完成以下配置,并单击创建网卡

    此处仅介绍本文需要重点关注的配置项。更多配置信息,请参见创建辅助弹性网卡

    配置

    说明

    专有网络

    选择要绑定ECS实例所对应的VPC。弹性网卡创建后无法更改专有网络。

    本文选择ECS实例所对应的VPC

    交换机

    选择要绑定ECS实例所在可用区下的交换机。弹性网卡创建后无法更改交换机。

    本文选择步骤二:在附加IPv4网段创建交换机创建的附加IPv4网段下的交换机2。

    说明

    弹性网卡和绑定的ECS实例需要属于同一可用区,可以分属不同的交换机。

    安全组

    选择当前专有网络的安全组。至少选择1个,最多选择5个。

    本文选择ECS实例所属安全组。

    说明

    如果没有选择ECS实例所属安全组,您需要注意:

    • 不能同时选择普通安全组和企业安全组。

    • 不能选择其他云产品的托管安全组。

    • 需要在此安全组中放通ECS实例与辅助弹性网卡的IP地址。

    • 需确保安全组的规则允许辅助弹性网卡访问公网。

    安全组的配置规则,请参见安全组概述

    主私网IP

    输入弹性网卡的主私网IPv4地址。此IPv4地址必须属于交换机的CIDR网段中的空闲地址。如果您没有指定,创建弹性网卡时将自动为您分配一个空闲的私有IPv4地址。

    本文输入已申请的EIP地址120.XX.XX.106

步骤四:将EIP绑定到辅助弹性网卡

  1. 登录弹性公网IP管理控制台
  2. 在顶部菜单栏处,选择EIP的地域。

  3. 弹性公网IP页面,找到目标EIP,在操作列单击绑定资源

  4. 绑定资源绑定弹性公网IP至资源对话框,完成以下配置,然后单击确定

    此处仅介绍本文需要重点关注的配置项。更多配置信息,请参见以普通模式绑定辅助弹性网卡

    配置

    说明

    实例类型

    选择辅助弹性网卡

    绑定模式

    本文选择普通模式

    选择要绑定的实例

    本文选择步骤三:创建辅助弹性网卡创建的辅助弹性网卡。

步骤五:将辅助弹性网卡绑定到ECS实例

  1. 登录ECS管理控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 在顶部菜单处,选择ECS实例的地域。

  4. 实例页面,找到目标ECS实例,在操作列选择更多1.png > 网络和安全组 > 绑定辅助弹性网卡

  5. 绑定辅助弹性网卡对话框,选择步骤三:创建辅助弹性网卡创建的辅助弹性网卡,然后单击确定

  6. 在ECS实例内部配置辅助弹性网卡。

    ECS实例绑定辅助弹性网卡后,部分镜像可能无法自动识别辅助弹性网卡的IP地址并添加路由,导致辅助弹性网卡无法正常使用。此时,您需要在ECS实例内部配置辅助弹性网卡以识别IP地址。

    查看ECS实例镜像是否支持自动配置绑定的辅助弹性网卡,以及如何在ECS实例内部配置辅助弹性网卡,请参见配置辅助弹性网卡

步骤六:测试网络连通性

  1. 登录ECS实例。

    具体操作,请参见ECS远程连接方式概述

  2. 执行以下命令,查看ECS实例的网络配置。

    ifconfig

    您可以在操作系统的网卡中看到辅助弹性网卡的私网IP与EIP一致。查看网络配置

  3. 执行以下命令,验证辅助弹性网卡的主私网IP(EIP)到目的网络的连通性。

    ping <目的网络> -I <辅助弹性网卡主私网IP(EIP)>

    经验证,辅助弹性网卡主私网IP(EIP)到目的网络的连通性正常,即ECS实例可通过辅助弹性网卡主私网IP(EIP)访问公网。测试连通性