本方案采用iptables对ZOS对象存储内网IP地址或弹性文件存储内网IP地址进行转发,从而实现专线与zos对象存储或弹性文件存储的网络打通方案。
一、需求背景
客户IDC机房的物理机/虚拟机需要通过专线访问公有云的对象存储或弹性文件存储。同时提供高可用保障。
二、方案详情
在公有云资源池新建两台虚拟机,在虚拟机内部配置NAT规则。使用NAT方式访问公有云对象存储。操作流程如下:
- 在和客户IDC专线打通的VPC内新建两台虚拟机(4C,8GB,40GB系统盘);
- 在虚拟机同子网申请一个vip地址,绑定两台虚拟机的虚拟网卡;
- 在两台虚拟机里面安装部署keepalived,keepalived的vip使用上一步申请的vip;
- 在两台虚拟机里面配置nat规则,使得专线可以通过访问vip来访问公有云对象存储服务。
1、双机版配置方案
1)安装iptables
安装iptables
#yum install -y iptables
#yum install -y iptables-services
注:如果服务器或云主机不能连接yum源,需要手工安装iptables和iptables-service
安装完成后,检查iptables是否安装完成:
# rpm -i iptables*
确认是否iptables和iptables-services安装包的状态都是“installed”状态。
检查iptables服务状态是否为“active”。
# systemctl iptables status
2)开启转发功能
# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
# sysctl -p
3)配置iptables规则
a、iptables -t nat -A PREROUTING -d {虚拟IP地址}/32 -p tcp -m tcp --dport {存储端口} -j DNAT --to-destination {存储地址}:{存储端口}
b、iptables -t nat -A POSTROUTING -o {网卡名} -j SNAT --to-source {本机实地址}
样例:
Bucket地址( VPC内网访问 ) :100.127.20.130
虚拟IP:192.168.0.253
虚机A地址:192.168.0.11
虚机B地址:192.168.0.12
- 虚机A配置:
# iptables -t nat -A PREROUTING -d 192.168.0.253/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 100.127.20.130:80
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.11
- 虚机B配置:
# iptables -t nat -A PREROUTING -d 192.168.0.253/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 100.127.20.130:80
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.12
4)修改iptables配置文件
检查两台NAT主机的iptables配置文件,如果/etc/sysconfig/iptables配置文件中含有如下规则:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
需要在/etc/sysconfig/iptables配置文件中加“#”注释掉,或者删除
5)永久保存iptables配置
持久化保存iptables配置,避免服务器或云主机重启之后,配置丢失,导致重新配置。
持久化iptables配置:
# iptables-save > /etc/sysconfig/iptables
注:两台NAT主机都需要保存配置
6)测试验证
# curl vip-ip-address:80
返回如下结果即为正确:
<?xml version="1.0" encoding="UTF-8"?><ListAllMyBucketsResult xmlns="http://s3.amazonaws.com/doc/2006-03-01/"><Owner><ID>anonymous</ID><DisplayName></DisplayName></Owner><Buckets></Buckets></ListAllMyBucketsResult>
2、单机版
在虚拟机里面配置nat规则,使得专线可以通过访问虚机ip来访问公有云对象存储服务。
1)安装iptables
安装iptables
# yum install -y iptables
# yum install -y iptables-services
注:如果服务器或云主机不能连接yum源,需要手工安装iptables和iptables-service
安装完成后,检查iptables是否安装完成:
# rpm -i iptables*
确认是否iptables和iptables-services安装包的状态都是“installed”状态。
检查iptables服务状态是否为“active”。
# systemctl iptables status
2)开启转发功能
# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
# sysctl –p
3)配置iptables规则
a、iptables -t nat -A PREROUTING -d {虚拟IP地址}/32 -p tcp -m tcp --dport {存储端口} -j DNAT --to-destination {存储地址}:{存储端口}
b、iptables -t nat -A POSTROUTING -o {网卡名} -j SNAT --to-source {本机实地址}
样例:
Bucket内网地址( VPC内网访问 ) :100.127.20.130
虚机IP地址:192.168.0.253
虚机配置:
# iptables -t nat -A PREROUTING -d 192.168.0.253/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 100.127.20.130:80
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.253
4)修改iptables配置文件
如果/etc/sysconfig/iptables配置文件中含有如下规则:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
需要在/etc/sysconfig/iptables配置文件中加“#”注释掉,或者删除
5)永久保存iptables配置
持久化保存iptables配置,避免服务器或云主机重启之后,配置丢失,导致重新配置。
持久化iptables配置:
# iptables-save > /etc/sysconfig/iptables
6)测试验证
# curl 云主机ip-address:80
返回如下结果即为正确:
<?xml version="1.0" encoding="UTF-8"?><ListAllMyBucketsResult xmlns="http://s3.amazonaws.com/doc/2006-03-01/"><Owner><ID>anonymous</ID><DisplayName></DisplayName></Owner><Buckets></Buckets></ListAllMyBucketsResult>
