- Notas de versão e anúncios
- Introdução do produto
- Início rápido
- Guia de operação
- Topologia de rede
- Virtual Private Cloud (VPC)
- Sub-redes
- Tabelas de rotas
- IPs e ENIs
- Pacote de largura de banda
- Conexão de rede
- Gerenciamento de segurança
- Grupos de segurança
- Visão geral do grupo de segurança
- Criação de um grupo de segurança
- Adição de uma regra de grupos de segurança
- Associação de instâncias do CVM a grupos de segurança
- Gerenciamento de grupos de segurança
- Gerenciamento de regras de grupo de segurança
- Casos de aplicação de grupos de segurança
- Portas comuns do servidor
- ACL de rede
- Modelo de parâmetros
- Gerenciamento de acesso
- Grupos de segurança
- Ferramentas de diagnóstico
- Monitoramento e alarmes
- Práticas recomendadas
- Migração da rede clássica para o VPC
- Configuração de um CVM de gateway público
- Criação de cluster principal/secundário de alta disponibilidade usando HAVIP + Keepalived
- Criação de um banco de dados de alta disponibilidade usando HAVIP + cluster de failover do Windows Server
- Comunicação principal/secundária de nuvem híbrida (DC e VPN)
- Comunicação principal/secundária de nuvem híbrida (CCN e VPN)
- Perguntas frequentes
- Fale conosco
- Glossário
- Notas de versão e anúncios
- Introdução do produto
- Início rápido
- Guia de operação
- Topologia de rede
- Virtual Private Cloud (VPC)
- Sub-redes
- Tabelas de rotas
- IPs e ENIs
- Pacote de largura de banda
- Conexão de rede
- Gerenciamento de segurança
- Grupos de segurança
- Visão geral do grupo de segurança
- Criação de um grupo de segurança
- Adição de uma regra de grupos de segurança
- Associação de instâncias do CVM a grupos de segurança
- Gerenciamento de grupos de segurança
- Gerenciamento de regras de grupo de segurança
- Casos de aplicação de grupos de segurança
- Portas comuns do servidor
- ACL de rede
- Modelo de parâmetros
- Gerenciamento de acesso
- Grupos de segurança
- Ferramentas de diagnóstico
- Monitoramento e alarmes
- Práticas recomendadas
- Migração da rede clássica para o VPC
- Configuração de um CVM de gateway público
- Criação de cluster principal/secundário de alta disponibilidade usando HAVIP + Keepalived
- Criação de um banco de dados de alta disponibilidade usando HAVIP + cluster de failover do Windows Server
- Comunicação principal/secundária de nuvem híbrida (DC e VPN)
- Comunicação principal/secundária de nuvem híbrida (CCN e VPN)
- Perguntas frequentes
- Fale conosco
- Glossário
Configuração de um CVM de gateway público
Última atualização:2024-01-24 17:44:05
Atenção:
A partir de 6 de dezembro de 2019, o Tencent Cloud não oferece mais suporte à configuração de um CVM como o gateway público na página de aquisição do CVM. Se for necessário configurar um gateway, siga as instruções abaixo.
Visão geral
Você pode acessar a internet usando um CVM de gateway público com um IP público ou EIP quando alguns de seus CVMs baseados no VPC não possuem IPs públicos. O CVM de gateway público converte o IP de origem do tráfego de saída. Quando outros CVMs acessarem a internet por meio do gateway público CVM, os IPs de origem serão convertidos em IPs públicos do CVM de gateway público. Consulte a figura abaixo.
Pré-requisitos
Você está logado no console do CVM.
O CVM de gateway público e os CVMs que precisam acessar a internet pelo CVM de gateway público devem estar localizados em sub-redes diferentes porque o CVM de gateway público só consegue encaminhar solicitações de outras sub-redes.
O CVM de gateway público deve ser do Linux. Os CVMs do Windows não funcionarão.
Instruções
Etapa 1: vincule um EIP (opcional)
Nota:
Pule esta etapa se o CVM de gateway público já tiver um endereço IP público.
1. Faça login no console do CVM e selecione EIP na barra lateral esquerda.
2. Localize o EIP para vincular a instância, selecione More (Mais) > Bind (Vincular) na coluna Operation (Operação).
3. Na janela pop-up, selecione um CVM a ser configurado e vincule-o ao EIP.
Etapa 2: configure uma tabela de rotas para a sub-rede do gateway
Atenção:
A sub-rede do gateway e outras sub-redes não podem compartilhar a mesma tabela de rotas. É necessário criar uma tabela de rotas separada para a sub-rede do gateway.
2. Associe a tabela de rotas com a sub-rede onde o CVM de gateway público está localizado.
Etapa 3: configure uma tabela de rotas para outras sub-redes
Essa tabela de rotas direciona todo o tráfego dos CVMs sem um IP público para o gateway público, para que eles também possam acessar as redes públicas.
Adicione as seguintes políticas de roteamento à tabela de rotas:
Destination (Destino): o IP público que você deseja acessar.
Next hop type (Tipo de próximo salto): CVM.
Next hop (Próximo salto): o IP privado da instância do CVM ao qual o EIP foi vinculado na Etapa 1.
Para obter mais informações, consulte Gerenciamento de tabela de rotas.
Etapa 4: configure o gateway público
1. Faça login no CVM de gateway público e execute as etapas abaixo para habilitar o encaminhamento de rede e o proxy NAT.
1.1 Execute o seguinte comando para criar o script
vpcGateway.sh em usr/local/sbin.vim /usr/local/sbin/vpcGateway.sh
1.2 Pressione i para alternar ao modo de edição e adicione o seguinte código no script.
#!/bin/bashecho "----------------------------------------------------"echo " `date`"echo "(1)ip_forward config......"file="/etc/sysctl.conf"grep -i "^net\\.ipv4\\.ip_forward.*" $file &>/dev/null && sed -i \\'s/net\\.ipv4\\.ip_forward.*/net\\.ipv4\\.ip_forward = 1/' $file || \\echo "net.ipv4.ip_forward = 1" >> $fileecho 1 >/proc/sys/net/ipv4/ip_forward[ `cat /proc/sys/net/ipv4/ip_forward` -eq 1 ] && echo "-->ip_forward:Success" || \\echo "-->ip_forward:Fail"echo "(2)Iptables set......"iptables -t nat -A POSTROUTING -j MASQUERADE && echo "-->nat:Success" || echo "-->nat:Fail"iptables -t mangle -A POSTROUTING -p tcp -j TCPOPTSTRIP --strip-options timestamp && \\echo "-->mangle:Success" || echo "-->mangle:Fail"echo "(3)nf_conntrack config......"echo 262144 > /sys/module/nf_conntrack/parameters/hashsize[ `cat /sys/module/nf_conntrack/parameters/hashsize` -eq 262144 ] && \\echo "-->hashsize:Success" || echo "-->hashsize:Fail"echo 1048576 > /proc/sys/net/netfilter/nf_conntrack_max[ `cat /proc/sys/net/netfilter/nf_conntrack_max` -eq 1048576 ] && \\echo "-->nf_conntrack_max:Success" || echo "-->nf_conntrack_max:Fail"echo 10800 >/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established \\[ `cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established` -eq 10800 ] \\&& echo "-->nf_conntrack_tcp_timeout_established:Success" || \\echo "-->nf_conntrack_tcp_timeout_established:Fail"
1.3 Pressione Esc e digite :wq para salvar e fechar o arquivo.
1.4 Execute o seguinte comando para definir a permissão do script.
chmod +x /usr/local/sbin/vpcGateway.shecho "/usr/local/sbin/vpcGateway.sh >/tmp/vpcGateway.log 2>&1" >> /etc/rc.local
2. Defina o RPS do gateway público.
2.1 Execute o seguinte comando para criar o script
set_rps.sh em usr/local/sbin.vim /usr/local/sbin/set_rps.sh
2.2 Pressione i para alternar ao modo de edição e adicione o seguinte código no script.
# !/bin/bashecho "--------------------------------------------"datemask=0i=0total_nic_queues=0get_all_mask() {local cpu_nums=$1if [ $cpu_nums -gt 32 ]; thenmask_tail=""mask_low32="ffffffff"idx=$((cpu_nums / 32))cpu_reset=$((cpu_nums - idx * 32))if [ $cpu_reset -eq 0 ]; thenmask=$mask_low32for ((i = 2; i <= idx; i++)); domask="$mask,$mask_low32"doneelsefor ((i = 1; i <= idx; i++)); domask_tail="$mask_tail,$mask_low32"donemask_head_num=$((2 ** cpu_reset - 1))mask=$(printf "%x%s" $mask_head_num $mask_tail)fielsemask_num=$((2 ** cpu_nums - 1))mask=$(printf "%x" $mask_num)fiecho $mask}set_rps() {if ! command -v ethtool &>/dev/null; thensource /etc/profilefiethtool=$(which ethtool)cpu_nums=$(cat /proc/cpuinfo | grep processor | wc -l)if [ $cpu_nums -eq 0 ]; thenexit 0fimask=$(get_all_mask $cpu_nums)echo "cpu number:$cpu_nums mask:0x$mask"ethSet=$(ls -d /sys/class/net/eth*)for entry in $ethSet; doeth=$(basename $entry)nic_queues=$(ls -l /sys/class/net/$eth/queues/ | grep rx- | wc -l)if (($nic_queues == 0)); thencontinueficat /proc/interrupts | grep "LiquidIO.*rxtx" &>/dev/nullif [ $? -ne 0 ]; then # not smartnic#multi queue don't set rpsmax_combined=$($ethtool -l $eth 2>/dev/null | grep -i "combined" | head -n 1 | awk '{print $2}')#if ethtool -l $eth goes wrong.[[ ! "$max_combined" =~ ^[0-9]+$ ]] && max_combined=1if [ ${max_combined} -ge ${cpu_nums} ]; thenecho "$eth has equally nic queue as cpu, don't set rps for it..."continuefielseecho "$eth is smartnic, set rps for it..."fiecho "eth:$eth queues:$nic_queues"total_nic_queues=$(($total_nic_queues + $nic_queues))i=0while (($i < $nic_queues)); doecho $mask >/sys/class/net/$eth/queues/rx-$i/rps_cpusecho 4096 >/sys/class/net/$eth/queues/rx-$i/rps_flow_cnti=$(($i + 1))donedoneflow_entries=$((total_nic_queues * 4096))echo "total_nic_queues:$total_nic_queues flow_entries:$flow_entries"echo $flow_entries >/proc/sys/net/core/rps_sock_flow_entries}set_rps
2.3 Pressione Esc e digite :wq para salvar e fechar o arquivo.
2.4 Execute o seguinte comando para definir a permissão do script.
chmod +x /usr/local/sbin/set_rps.shecho "/usr/local/sbin/set_rps.sh >/tmp/setRps.log 2>&1" >> /etc/rc.localchmod +x /etc/rc.d/rc.local
3. Reinicie o CVM de gateway público para aplicar as configurações. Depois, teste se um CVM sem um IP público consegue acessar a internet pelo CVM de gateway público.
Sim
Não
Esta página foi útil?