如何保证摘除公网EIP的容器服务VPC集群可以正常访问公网

在使用容器服务的过程中。出于业务的需要,用户需要创建VPC集群,但是又不希望每台ECS都绑定公网EIP,一方面是出于业务私密性的保护,另外一方面是出于节约成本的考虑。

基于以上场景,我们可以让集群内的机器,通过一台有EIP的机器来上网。在这个过程中主要使用到了SNAT相关的知识。

  • 先找一台同Region内的VPC机器,为该机器配置EIP
  • 登陆到配置了EIP的ECS,为机器开启IP转发功能,找到#net.ipv4.ip_forward=1行,去掉注释即可

    执行以下命令,让IP转发生效

  • iptables添加SNAT转换 其中192.168.1.0 是内网网段, 192.168.1.95是绑定了EIP的这台机器的内网IP 
     iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 192.168.1.95
  • 去VPC控制台,添加VPC路由器,其中的下一跳ECS是绑定了公网EIP的那台ECS
  • 通过以上步骤,我们就完成了集群创建过程中SNAT转发的配置工作。为了验证SNAT是否生效,我们可以去容器服务控制台创建一台摘掉公网EIP的集群。
  • 当集群创建成功以后,我们查看集群的主机列表,看到主机的IP是192.168.1.96
  • 接下来通过之前配置SNAT的EIP,登录到192.168.1.1进行简单ping测试,如果可以正常访问公网,则说明配置生效
  • 通过以上的操作步骤以后,对于没有EIP的容器服务集群,从公网拉取镜像部署应用都没有问题。
时间: 2024-10-13 10:19:27

如何保证摘除公网EIP的容器服务VPC集群可以正常访问公网的相关文章

容器服务VPC网络使用指南

前言 在使用容器服务的过程中,很多场景下需要使用到VPC网络.但是,目前在用户跟踪过程中发现,大家对于VPC网络的使用存在一点的误区,偶尔会导致一些意外情况的发生,导致使用受挫.该篇文章不会去详细介绍VPC网络的原理,只从容器服务使用VPC网络的角度来介绍如何在容器服务中正确的使用VPC网络以及相应的注意事项. 准备 VPC网段 为了可以顺利的在容器服务中创建VPC的容器集群,首先我们需要根据实际的情况规划网络.创建VPC网络的时候,您必须指定对应的CIDR来划分对应的子网,如果想了解更多的关于

容器化MYSQL集群在Uber系统中的应用

本文讲的是容器化MYSQL集群在Uber系统中的应用[编者的话]Uber使用的Schemaless存储系统支撑了Uber最重要的服务,如,Mezzanine等.Schemaless 是一个构建在MySQL集群上,可扩展高可用的数据存储.但管理Uber数据量庞大的数据库集群服务需要应用Docker技术. 当集群节点数为16个时,集群管理非常容易,但若集群规模超过1000,并运行了4000多个数据库服务,就需要另一种工具了.之前所有的集群都由 Puppet来管理.大量的临时脚本,以及人工操作已无法满

使用Docker容器搭建Jenkins集群

本文讲的是使用Docker容器搭建Jenkins集群[编者的话]本文使用Jelastic Cloud搭建了Jenkins作业环境,包括手动部署和自动部署两个方式,对Jelastic Cloud感兴趣的用户,可以尝试注册一个免费账户,进行试验. 如果不太了解Jenkins,可以先了解如何"手动设置Jenkins"一节. 如果想自动部署,可以去了解 "自动化"一节. Jenkins,由于其管理大量节点,以及执行器(executor)对大量创建和部署提供响应的能力成为很热

weblogic12C 部署了一套集群,单独访问受管理服务,会跳转到代理服务。

问题描述 weblogic12C 部署了一套集群,单独访问受管理服务,会跳转到代理服务. 开始的时候我们部署了一套集群,通过代理Server分发请求. 现在我们部署了负载均衡设备,替代软件Proxy服务,向所有节点分发请求. 问题是受管理服务在访问中,有一部分情况会把地址重定向到集群的Proxy代理地址.导致无法打开. 请问如何配置可以取消受管理服务向代理服务的跳转?

搜索服务Solr集群搭建 使用ZooKeeper作为代理层

上篇文章搭建了zookeeper集群 那好,今天就可以搭建solr搜服服务的集群了,这个和redis 集群不同,是需要zk管理的,作为一个代理层 安装四个tomcat,修改其端口号不能冲突.8080~8083 如果是正式环境下,则分别使用4台linux作为节点 修改server.xml文件修改端口号,总共3个 以上步骤,在tomcat03,tomcat04上重复执行,但是3个端口一定要注意不能重复 向tomcat下部署solr 把单机版的solr工程复制到tomcat下即可 solr在别的机子上

三分钟读懂TT猫分布式、微服务和集群之路

针对新手入门的普及,有过大型网站技术架构牛人路过,别耽误浪费了时间,阅读之前,请确保有一定的网络基础,熟练使用Linux,浏览大概需要3-5分钟的时间,结尾有彩蛋. 分布式 小马正在经营一个在线购物网站,名叫TT猫,有商品管理.订单管理.用户管理.支付管理.购物车等等模块,每个模块部署到独立的云服务主机. 现在,程序员小明同学浏览TT猫,想买一款牛逼的cherry机械键盘来提升自己的工作效率.小明打开TT猫首页.搜索商品.浏览详情以及评论.添加购物车.下单.支付等等一系列操作.小明同学一气呵成,

容器服务安全组快速指南

容器服务安全组规则 2月28号之后创建容器服务集群,默认创建的安全组已经做了加固,开放的规则如下 VPC安全组: 经典网络安全组(公网入方向和内网入方向): 注意 443端口和80端口可以根据自己的需求选择放开或者关闭. ICMP规则建议保留,方便排查问题.有些工具也依赖ICMP 老集群的安全组规则 2月28之前创建的集群,安全组规则开的比较大,以经典网络安全组规则为例 如果希望收紧规则,可以参考前面安全组的配置.步骤如下 在内网入方向和公网入方向添加允许ICMP规则 如果直接访问VM的80端口

区块链Hyperledger Fabric在阿里云容器服务Kubernetes中的进阶使用技巧(一)

我们在支持用户在阿里云容器服务Kubernetes集群中使用容器服务区块链Hyperledger Fabric配置部署解决方案.或者使用自建的基于Hyperledger Fabric的区块链方案的过程中,逐渐积累了一些相关的进阶使用经验.技巧和最佳实践,涵盖了系统设计.资源规划.服务使用.错误诊断.运营维护等方面,适用于区块链Hyperledger Fabric应用和方案的开发测试.以及生产部署等用途.这些内容将以系列文章的形式陆续发布并更新,同时欢迎有兴趣.有经验的朋友不吝指正. 利用区块链解

容器服务是如何做到的跨主机的容器间通信?

容器间网络互通 容器服务为集群中每个容器提供集群内可达的独立IP,容器之间就可以通过这个独立的IP互相通信,而不需要通过NAT暴漏到主机端口,解耦了与宿主机IP的依赖,因此避免了做NAT的时候多个容器端口冲突的问题.而如何实现跨主机的容器通信,在不同网络模型下面的实现方案如下: VPC网络模式下: 专有网络(Virtual Private Cloud,简称VPC),帮助您基于阿里云构建出一个隔离的网络环境.您可以完全掌控自己的虚拟网络,包括选择自有 IP地址范围.划分网段.配置路由表和网关等.容