概述
本文档详细说明专属可用区(CDZ)环境实现公网接入的解决方案。
方案对比
CDZ 提供三种不同的架构方案,确保您的业务能够安全、高效地接入公网。以下对比分析可帮助您根据实际业务场景选择最合适的方案:
方案 | 【常用】方案一 | 方案二 | 方案三 |
方案描述 | |||
适用场景 | 通用场景 | 本地有公网出口 | 对网络性能要求较高、大规模流量出口、自有公网资源 |
前提条件 | 默认支持 | 需在开区时部署专线网关 需要您自有 IDC,并且有公网访问能力 | 通常需要您自有 IP 网段 开区时确认需要在 CDZ 中部署本地公网集群 |
核心路径 | 使用所属 Region 的公网能力 | CDZ 内 CVM → 专线 → 自有 IDC 内部网络 → IDC 的公网集群 → 互联网 | 使用本地公网集群访问互联网 |
计费规则 | 按实际消耗支付公有云的 EIP/CLB 费用 | CDZ 专线网关集群包销费 | CDZ 本地公网集群包销费 |
复杂性 | 低(云上配置,简单) | 高(需配置好专线网关和本地IDC网络互通) | 低(由腾讯云提供) |
【常用】方案一:通过CDZ所在地域(主 Region)的公网产品接入公网
适用场景
此方案适用于 CDZ 环境未部署本地公网集群,且不希望通过自有 IDC 转发的场景。可以选择通过腾讯云主 Region 的公网能力访问互联网。此方案的部署灵活性高,适用于大多数通用场景,尤其适合以下场景:
业务快速上线需求:希望快速建立公网访问能力,无需经历复杂的本地出口部署流程。
无IDC基础设施:企业本身没有自建 IDC,或现有 IDC 不具备公网接入能力。
运维敏捷性与弹性:希望使用云上的弹性公网 IP(EIP)或公网 CLB 资源,享受其按需配置、灵活扩展和便捷维护的优势。
前置依赖
CDZ 与主 Region 间需建立专线连接(默认已支持)。
访问公网的流量需要小于专线可支持的带宽。
网络架构
操作流程
根据入网和出网场景,我们为您提供了以下 4 种子方案:
适用场景
该子方案适用于需要为 CDZ 内的 CVM 直接提供公网 IP 的业务场景。公网流量通过主 Region 的 EIP 转发至 CDZ 内部。
操作流程
2. 绑定公网IP:
2.1 进入 云服务器控制台。
2.2 选择需要绑定 EIP 的 CDZ 内 CVM 实例。
2.3 在实例详情页中选择 IP/网卡 > 绑定弹性 IP。
2.4 选择已申请的 EIP 完成绑定。
3. 验证绑定结果:在实例详情中确认公网 IP 已成功绑定。
4. 测试公网连通性:通过控制台登录该 CVM,使用
ping命令测试公网连通性。
适用场景
本子方案适用于期望在不暴露云服务器内网 IP 的前提下,实现公网访问能力的用户。公网 NAT 网关为 VPC 内多个无公网 IP 的云服务器 CVM 提供主动访问公网的能力,同时也支持将弹性公网 IP 和端口映射到云服务器内网 IP 和端口,使得 VPC 内的云服务器可被公网访问。
腾讯云 NAT 网关具备 SNAT(Source Network Address Translation,源网络地址转换)、DNAT(Destination Network Address Translation,目的网络地址转换)、网关流控、流量告警、共享带宽包、安全高防、自动容灾等多种功能。具有高性能、大容量、跨可用区的容灾能力。
操作流程
1. 创建 NAT 网关并绑定弹性公网 IP:
1.1 登录 NAT 网关控制台,选择地区,单击新建。
1.2 创建公网 NAT 网关,配置如下:
地域:选择 CDZ 主 Region。
私有网络:所选 VPC 需要包含 CDZ 子网。
弹性公网 IP:
已有弹性公网:使用您自己账户下已有的弹性公网 IP。
新建弹性公网 IP:由腾讯云系统自动分配一个公网 IP 给 NAT。
2. 配置指向 NAT 网关的路由:从 NAT 实例列表,进入 NAT 实例所在私有网络的子网路由表,添加路由规则:
目的端:填写0.0.0.0/0。
下一跳类型:选择公网 NAT 网关。
下一跳:选择上一步创建的 NAT 网关。
3. 配置 SNAT 规则:您可以通过配置 NAT 网关的 SNAT 规则,为私有网络内的云服务器提供公网访问能力。当 NAT 网关绑定多个 EIP 时,可以通过 SNAT 规则为不同分组的云服务器指定访问公网的 EIP。详细操作请参见 配置指向 NAT 网关的路由。
4. 配置出站规则:在 CVM 安全组中放通出站端口(如 TCP:80/443)。
5. 测试公网连通性:登录CDZ内CVM,通过ping测试公网连通性。
6. 配置 DNAT 规则:端口转发表是 NAT 网关上的一张配置表,用于配置 NAT 网关上的 DNAT 功能,可将 VPC 内云服务器、弹性网卡、CLB、云数据库等实例的内网 IP、协议、端口映射成外网 IP、协议、端口,使得云服务器上的资源可被外网访问。详细操作请参见 管理 DNAT 规则。
弹性公网 IP 及端口:选择 NAT 绑定的 EIP 及对外暴露端口。
内网 IP 及端口:填写 CVM 实例的内网地址及服务监听端口。
7. 测试访问 NAT 的 EIP,通过 nc (Netcat) 命令测试连通性。
说明:
适用场景
该子方案适用于需要提供高可用公网访问能力的 Web 服务或 API 服务。通过主 Region 创建公网型 CLB 实例,将 CDZ 内的 CVM 添加为后端服务器,实现公网访问和流量分发。
操作流程
1. 创建公网 CLB 实例:登录 负载均衡控制台,在 CDZ 主 Region 创建一个新的公网负载均衡 CLB 实例,在 CLB 控制台页面,单击新建,为负载均衡选择配置:
网络类型:选择公网。
地域:选择 CDZ 所在 Region。
弹性公网 IP:
不选择弹性公网 IP:由腾讯云系统自动分配一个公网 IP 给 CLB,IP 与 CLB 强绑定,删除 CLB,该 IP 随之释放。
弹性公网 IP:使用您自己账户下已有的弹性公网 IP,IP 作为独立的 EIP 资源存在,与 CLB 解耦。
所属网络:选择包含 CDZ 子网的 VPC,以便使用 Region 公网 CLB(region-clb)并支持绑定 EIP 实现公网访问。
2. 配置监听器:在 CLB 实例管理页面中,单击目标 CLB 操作列的配置监听器,新建监听器。
3. 绑定 CVM:选中建好的监听器,单击绑定后端服务,依次选择添加 CDZ 内的 CVM,并配置端口和权重。
检查端口健康状态为健康。
4. 测试连通性:通过 nc(Netcat) 命令测试连通性,或通过控制台登录 CVM 使用 ping 命令测试公网连通性。
适用场景
该子方案适用于已有 Region 内网 CLB 架构的企业,希望将公网访问能力扩展至 CDZ 内部的 CVM。此方案需先在 Region 内创建一个内网 CLB 实例,并绑定公网 EIP,然后通过 CLB 将流量转发到 CDZ 的后端服务器。
操作流程
1. 创建内网 CLB 实例:登录 负载均衡控制台,在 CDZ 主 Region 创建一个新的 公网负载均衡 CLB 实例,在CLB控制台页面,单击新建,为负载均衡选择配置:
计费模式:选择按量计费。
地域:选择 CDZ 所在 Region。
网络类型:选择内网。
可用区:选择 Region 中的任意可用区。
所属网络:
VPC 选择:选择包含 CDZ 子网的 VPC。
子网:选择非 CDZ 子网,以支持绑定 EIP 并实现公网访问。
2. 配置监听器及后端服务:在内网 CLB 上配置监听器以及后端服务。
3. 申请公网IP:在 弹性公网 IP 控制台 申请公网 IP。
4. 绑定弹性公网 IP:
4.1 进入 CLB 实例管理页面。
4.2 在操作栏中单击 更多 > 绑定弹性公网 IP。
4.3 选择已申请的 EIP 完成绑定。
绑定完成后,在负载均衡-实例管理中可以看到绑定好的EIP。
5. 测试连通性:通过 nc(Netcat) 命令测试连通性,或通过控制台登录 CVM 使用 ping 命令测试公网连通性。
常见问题
Q:CDZ 中的 内网 CLB 是否可以绑定 Region EIP?
A:CDZ 内网 CLB 无法直接绑定 Region EIP。CDZ 中的内网 CLB 是为 VPC 内部流量场景设计的负载均衡服务,仅提供私有 IP,本身不具备公网访问能力,也 不支持绑定 Region EIP 或暴露公网 IP。因此:
若创建 CLB 时选择了 CDZ 的子网,系统默认使用 CDZ 里的 CLB 集群,该 CLB 不支持绑定 EIP,CLB不收取实例费用。
若创建 CLB 时选择了非 CDZ 的子网,则支持绑定 Region EIP,需要收取CLB实例费。
因此,我们推荐您将 CLB 创建在与 CDZ 同一 VPC 的 不同子网 中,以获得完整的公网访问能力。
子网所属 | 所使用的 CLB 集群 | 是否支持绑定 EIP | 计费 |
CDZ 子网 | CDZ 内建设的 CLB 集群(cdz-clb) | ❌ 不支持绑定 EIP | CLB不收取实例费用 |
非CDZ子网 | 主 Region CLB 集群(region-clb) | ✅ 支持绑定 EIP | 收取CLB实例费用 |
如下图所示,CDZ 子网中绑定 EIP 会报错:
方案二:通过自有 IDC 接入公网
适用场景
此方案适用于企业已经建设了完善的自有 IDC 网络,并希望公网流量通过专线回传至企业 IDC,再由 IDC 的公网出口访问互联网。适用场景包括:
现有基础设施复用:企业已有成熟的 IDC 网络架构与安全体系,希望充分利用现有投资。
合规与监管要求:出于数据主权、行业监管或内部合规要求,所有公网流量必须经由自有出口。
统一混合云管理:在混合云场景中,需要实现统一的网络策略、安全防护及访问控制。
出口完全自主可控:企业希望对公网出口进行完全自主的管控和审计。
前置依赖
物理专线连接:
建立物理专线连接腾讯云 CDZ 与您自有 IDC 的前提条件,需优先完成。
依赖项 | 详细说明与要求 |
物理专线就绪 | 申请开通:您已通过腾讯云控制台申请物理专线并完成工勘、实施,专线状态为“已开通”。 接入点:专线接入点需与您的 IDC 位置在合理距离内,以确保传输质量和延迟。 带宽规格:专线带宽应能满足您云上业务访问公网的总出口峰值流量需求,并预留一定的冗余。 |
专用通道配置 | 网络连通性:在腾讯云侧创建专用通道,并与您 IDC 侧边界路由器完成三层网络互联配置。 BGP 会话:必须在专用通道上成功配置并建立 BGP 会话,用于动态交换路由信息。这是实现路由可达的关键。 冗余设计(可选但推荐):为保障业务高可用,强烈建议部署两条及以上物理专线,形成主备或负载分担架构。 |
自有 IDC 侧网络与公网出口
注意:
腾讯云仅负责将流量通过专线送达您的 IDC 边界。从 IDC 到公网的出口设计与配置,需由您自行完成。
这是流量最终的出口和策略执行点,需要具备相应的处理能力。
依赖项 | 详细说明与要求 |
边界路由器配置 | 路由通告:您 IDC 侧的路由器必须能通过 BGP 会话,向腾讯云专线网关通告一条默认路由(0.0.0.0/0)或您希望从云上访问的特定公网网段。 路由接收:需正确配置以接收并从腾讯云学习到 CDZ 的私有网段路由。 |
公网出口设备 | 出口能力:IDC 内需部署具备公网出口能力的设备(如防火墙、路由器或专门的NAT网关),并已申请运营商的公网线路(如光纤、城域网等)。 公网IP地址:确保出口设备拥有一个或多个可用的公网 IP 地址。 |
IDC 内部网络规划 | 路由指引:您 IDC 内部网络需能正确地将从专线收到的、目的为公网的流量,路由至公网出口设备。 带宽与性能:IDC 内部设备(核心交换机、防火墙等)的吞吐性能应能承受云上业务带来的额外公网流量压力。 |
网络架构
操作流程
方案三:通过 CDZ 本地公网集群接入公网
适用场景
本方案通过在腾讯云 CDZ 内部署的本地公网集群,为部署在 CDZ 内的云资源提供公网出口能力。公网流量在 CDZ 内部即可完成转发,无需经由腾讯云中心地域或您的自有 IDC,从而实现 最低的网络延迟和最高的带宽性能。适用于以下场景:
超低延迟业务:对网络延时极为敏感的业务,例如高频交易系统、实时音视频通信、大型多人在线游戏等。
大流量公网业务:存在海量公网流量出入的场景,如 CDN 边缘节点、大数据文件分发与下载中心。
合规与主权要求:有独立公网出口合规要求的行业,如金融、政务等,需满足数据不出域的监管规定。
运维简化:企业希望公网能力由云厂商在本地统一提供和运维,简化自身网络管理复杂度。
前置依赖
本地公网集群:CDZ 开区规划时,已确认并完成本地公网集群的部署。
公网 IP 资源
IP 来源:通常由您自行提供(BYOIP)或向本地运营商申请,腾讯云将协助将 IP 段引入并托管至 CDZ 的公网集群内。
IP 授权:确保提供的IP段已在相应互联网注册机构完成授权,可被正常广播。
网络架构
操作流程
1. 创建弹性公网 IP:登录 公网 IP 控制台,单击申请。
IP 地址类型:选择静态单线 IP。
地域:选择 CDZ 所在 Region。
单击立即申请,完成创建。此时,这个 EIP 已经从 CDZ 的本地公网集群中分配。
2. 将 EIP 绑定到 CVM 实例:在 EIP 列表中找到刚申请的 IP,在操作列单击更多 > 绑定。在绑定资源弹窗中:
资源类型:选择 CVM 实例。
绑定实例:选择您 CDZ 中需要访问公网的云服务器。
3. 完成验证:绑定成功后,您即可通过该云服务器的私网 IP + EIP 访问互联网。您可以通过登录云服务器,执行
ping或tracert命令测试公网连通性,将会观察到流量直接通过 CDZ 本地出口。
