如何保证摘除公网EIP的容器服务VPC集群可以正常访问公网

  1. 云栖社区>
  2. 容器服务Docker&Kubernetes>
  3. 博客>
  4. 正文

如何保证摘除公网EIP的容器服务VPC集群可以正常访问公网

治世 2016-01-20 10:53:45 浏览8761
展开阅读全文

在使用容器服务的过程中。出于业务的需要,用户需要创建VPC集群,但是又不希望每台ECS都绑定公网EIP,一方面是出于业务私密性的保护,另外一方面是出于节约成本的考虑。

基于以上场景,我们可以让集群内的机器,通过一台有EIP的机器来上网。在这个过程中主要使用到了SNAT相关的知识。

  • 先找一台同Region内的VPC机器,为该机器配置EIP
  • 登陆到配置了EIP的ECS,为机器开启IP转发功能,找到#net.ipv4.ip_forward=1行,去掉注释即可
    screenshot
 执行以下命令,让IP转发生效

screenshot

  • iptables添加SNAT转换 其中192.168.1.0 是内网网段, 192.168.1.95是绑定了EIP的这台机器的内网IP

    iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j SNAT --to-s

网友评论

登录后评论
0/500
评论
治世
+ 关注
所属团队号: 容器服务Docker&Kubernetes