远程连接 VPC 私有子网内无公网 IP 实例

此文档帮助用户最大程度安全地、高效地使用网易云私有网络 VPC

  • 划分对内和对外子网

为了使云资源更安全,在使用 VPC 时通常会规划多个子网。建议将子网分成对外子网和对内子网,将面向公众的 Web 应用程序等服务放在对外子网内,将不会被公网访问的后端服务器、数据库等放在对内子网内。同一个 VPC 网络内的子网默认是互相通的,用户可以通过设置安全组控制对外子网内 Web 服务器与对内子网内后端服务器之间的通信。

建议将申请了弹性公网 IP 的实例放在对外子网中并对外提供服务,而私有子网中的实例不绑定公网 IP ,这样使 Internet 无法访问对内子网里的实例,进一步加强了不会被公网访问的后端服务器和数据库等服务器的网络安全。

如果 VPC 开通了 SNAT 网关服务,无论是对外子网还是对内子网内的实例均可以访问 Internet 。只有对外子网中绑定了弹性公网 IP 的实例可以被公网访问,而对内子网中未绑定弹性公网 IP 的实例依然不能被公网访问。

通过 SSH 连接对内子网实例

新建 VPC

登录网易云,从控制台进入 VPC 模块,点击「创建VPC」进入 VPC 新建模块,填写 VPC 名称,选择网段,选择当前 VPC 是否为默认 VPC 后点击「立即创建」完成 VPC 的新建:

创建子网

进入新建的 VPC ,点击标签「子网管理」后点击「创建子网」进入子网新建页面,填写子网名称、需要的网段,选择需要关联的路由表后点击「立即创建」即可完成子网的创建:

将子网 192.168.0.0/29 作为对外子网,子网 192.168.0.8/29 作为对内子网。

新建安全组

进入新建的 VPC,点击标签「安全组管理」点击「创建安全组」进入安全组创建页面,填写安全组名称后点击「立即创建」完成安全组的创建:

配置安全组

进入新建的 VPC ,点击标签「安全组管理」,点击新建的安全组进入当前安全组的配置页面,点击 「添加规则」进入规则的添加页面,规则方向选择"入网",协议选择 "TCP" (如果不区分协议可以选择 "全部流量"),填写端口范围 22/22,授权类型分为地址段访问和安全组访问,此处以 "地址段访问" 为例,填写授权的地址段(图中标出的 0.0.0.0/0 为允许所有网段访问,用户可以根据实际需要进行配置),点击「立即添加」完成安全组规则的添加:

VPC 内默认禁止所有入网流量,通过安全组 VPCtest 为对外子网配置三条入网规则:

1、允许所有网段通过 22 端口连接公有子网云主机。

2、VPC 网段内所有云主机互相可访问。

3、允许所有网段以 TCP 协议,通过 80 端口访问公有子网云主机。

对内子网选择默认安全组 default 。

创建云服务器

登录网易云控制台,进入云服务器模块,点击「创建云服务器」进入云服务器创建页面,根据自己需要选择计费方式,选择可用区为可用区 B ,网络部分选择已经新建的 VPC 、子网、安全组,选择不分配公网后点击「下一步」:

对外子网选择新建安全组 VPCtest

对内子网选择默认安全组 default

用户可根据自己需要选择具体的镜像、服务器规格,填写云服务器名称,新建密钥,购买数量后点击「立即创建」即可完成云服务器的创建:

例如在 VPC 对外子网中创建两台云主机,对内子网中创建三台云主机。其中 192.168.0.4 作为 Web 服务器对公网提供服务,对内子网中三台云主机作为后端服务器。为对外子网中两台云服务器申请公网 IP,并绑定公网 IP

建立 SSH 跳转服务

SSH 登录云主机 vpc1-a 192.168.0.2 ,然后在云主机 vpc1-a 上通过 SSH 访问对内子网中的三台云主机。

本例中对内子网中三台云主机使用了同一个公钥,将此公钥存入 vpc1-a 的 ~/.ssh 目录下。如果 ~/.ssh 目录下没有 config 文件,需创建一个 config 文件。

为对内子网内三台云配置 SSH 登录的 config 文件。

配置好 config 文件后,可以方便的通过 ssh + 主机名登录对内子网里的云主机,如下图中 ssh vpc1-b 登录到云主机 192.168.0.10 中。