场景描述
天翼云自研池环境中,用户业务主机与云墙属于同VPC,业务主机进出公网的流量均需要经过云墙,使业务能够正常对外映射。
场景需求 :
- A业务经过云墙对外映射9999相关服务完成业务发布。
- 内网B业务主机通过防火墙访问互联网。
- C主机业务不过云墙,直接访问互联网。
- 内网主机之间能够正常互相访问。
方案拓扑
当前解决方法
云主机及云墙相关网络规划:
- 云墙和业务云主机均在同一个VPC的相同子网下。
- 过墙业务主机和不过墙业务主机,可以在相同子网中,也可以在不同子网中。
- 防火墙创建两张网卡,一张网卡作为内网口(其绑定的EIP可做Web管理);其他网卡为外网口(本方案仅画出一个外网口),由云墙进行业务转发使用。
- 流量需要经过云墙的业务云主机,将网关手动改为云墙内网口IP地址192.168.0.10。
平台侧操作步骤
平台侧网络规划:
业务云主机和云墙在VPC:192.168.0.0/16中:
- 业务云主机涉及子网192.168.0.0/24。
- 云墙涉及子网192.168.0.0/24以及192.168.10.0/24。
云墙按照内网口及外网口规划新建对应子网下的网卡配置:
- 192.168.0.10/24:云墙内网IP
- 192.168.10.20/24:云墙外网IP
业务云主机修改网关:
Windows:
Linux:
-
编辑网卡。
vi /etc/sysconfig/network-scripts/ifcfg-eth0 -
修改为静态IP,网关指向防火墙。
IPADDR=192.168.0.101 GATEWAY=192.168.0.10 NETMASK=255.255.255.0 DNS1=114.114.114.114 -
重启网卡生效。
service network restart
云墙配置内容
正常配置入向DNAT映射和出向SNAT映射,启用安全策略进行相关防护。
云防火墙接口配置:
云防火墙业务映射DNAT配置:
云主机访问互联网的SNAT配置以及源路由。
SNAT:
源路由:
云防火墙安全策略配置。
测试结果
未过墙业务C主机正常访问互联网:
B业务云主机访问外网正常:
A业务正常访问:
