使用VPC附加网段实现EIP网卡可见 - 弹性公网 IP

背景信息

弹性公网IP本质上是一个NAT IP。由于普通模式（NAT模式）下的公网IP存在于网关设备，并不在ECS实例的网卡上，所以在操作系统内看不到公网IP，只能看到网卡上的私网IP。这样给运维带来了一定的复杂度，需要手工维护一份网卡与公网IP或服务器与公网IP的对应关系。此外，EIP作为普通模式部署时，不支持H.323、SIP、DNS、RTSP等协议。

场景示例

本文以下图场景为例。某公司在阿里云某地域创建了VPC和交换机1，交换机1中创建了ECS实例。其中，交换机1位于可用区A。公司业务需要ECS实例可以访问公网，且需要IT运维人员可以查看该ECS实例的网络配置。

针对上述场景，您需要创建以下资源：

VPC附加IPv4网段及其交换机2：将EIP所在网段添加为VPC的附加IPv4网段，并在该附加网段中创建交换机2。交换机2与交换机1都位于可用区A。
辅助弹性网卡：在交换机2中创建辅助弹性网卡，并将EIP地址作为主私网IP分配给辅助弹性网卡。

创建完成后，将辅助弹性网卡与EIP绑定，再与同可用区A下的ECS实例进行绑定。绑定后，辅助弹性网卡的主私网IP与EIP一致，您可以在操作系统的网卡中查看EIP信息。 EIP网卡可见替代方案

网段规划如下：


配置		网段
EIP地址		120.XX.XX.106
VPC主网段	主网段	10.0.0.0/8
	交换机1	10.0.0.0/24
	主网卡私网IP	10.0.0.202
VPC附加IPv4网段	附加IPv4网段	120.XX.XX.0/24
	交换机2	120.XX.XX.0/25
	辅助弹性网卡主私网IP	120.XX.XX.106

使用限制

按照本文方式配置后，同VPC下的ECS间可以使用私网IP互通，但不支持使用公网IP进行互通。

前提条件

您已经创建了VPC和交换机1，交换机1位于可用区A。具体操作，请参见创建和管理专有网络。
您已经在交换机1中创建了ECS实例。具体操作，请参见使用向导创建实例。
ECS实例的安全组规则允许ECS实例访问公网，安全组的配置规则，请参见安全组概述。
您已经申请了访问公网所需的EIP。具体操作，请参见申请EIP。

配置步骤

步骤一：为VPC添加附加IPv4网段

将已申请的EIP所在网段添加为VPC的附加IPv4网段。

登录专有网络管理控制台。
在顶部菜单栏处，选择VPC的地域。
在专有网络页面，找到目标VPC，单击VPC的ID。

在目标专有网络基本信息页面，单击网段管理页签，执行以下操作为VPC添加附加网段。

添加附加IPv4网段

单击IPv4网段页签，然后单击添加附加IPv4网段。

在添加附加网段对话框，配置以下参数，然后单击确定。


配置	说明
专有网络	显示要添加附加IPv4网段的VPC。
附加网段	选择一种方式配置附加网段。推荐网段：使用192.168.0.0/16、172.16.0.0/12或10.0.0.0/8三个标准网段作为VPC的附加IPv4网段。高级配置网段：使用除100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子网外的自定义地址段作为VPC的附加IPv4网段。添加附加IPv4网段时，应遵循以下原则。不能以0开头，掩码长度有效范围为8~28位。附加IPv4网段不得与VPC的主IPv4网段及已添加的附加IPv4网段重叠。例如，在主IPv4网段为192.168.0.0/16的VPC中，您不能添加以下网段作为附加IPv4网段。与192.168.0.0/16范围相同的网段。比192.168.0.0/16范围更大的网段，例如192.168.0.0/8。比192.168.0.0/16范围更小的网段，例如192.168.0.0/24。

添加附加IPv6网段

单击IPv6网段页签，然后单击添加IPv6网段。

在添加IPv6网段对话框，配置以下信息，然后单击确定。


配置	说明
IPv6网段类型	选择IPv6网段的类型，目前支持分配（默认），即为VPC分配附加IPv6网段。
IPv6网段	显示分配的附加IPv6网段。

在添加附加网段对话框，根据以下信息配置附加IPv4网段，然后单击确定。


配置	说明
专有网络	显示要添加附加IPv4网段的专有网络。
附加网段	选择一种方式配置附加网段。推荐网段高级配置网段本文选择高级配置网段，并输入EIP所在网段`120.XX.XX.0/24`。

步骤二：在附加IPv4网段创建交换机

在已添加的附加IPv4网段下，创建交换机2。

登录专有网络管理控制台。
在左侧导航栏，单击交换机。
选择要创建交换机的VPC所属的地域。
在交换机页面，单击创建交换机。

在创建交换机页面，根据以下信息配置交换机2，然后单击确定。

此处仅介绍本文需要重点关注的配置项。更多配置信息，请参见创建交换机。


配置	说明
专有网络	选择交换机2所属的专有网络。本文选择ECS实例所属VPC。
网段	选择交换机2所属网段。本文选择步骤一：为VPC添加附加IPv4网段创建的附件IPv4网段。
可用区	选择交换机2的可用区。同一VPC内不同可用区的交换机内网互通。本文选择ECS实例所属的可用区A。
IPv4网段	配置交换机2的IPv4网段。本文配置为附加IPv4网段的子网段120.XX.XX.0/25。

步骤三：创建辅助弹性网卡

在已创建的交换机2中创建辅助弹性网卡，并将EIP地址作为主私网IP分配给辅助弹性网卡，使辅助弹性网卡的主私网IP与EIP相同。

登录ECS管理控制台。
在左侧导航栏，选择网络与安全 > 弹性网卡。
在顶部菜单栏左上角处，选择地域。

单击创建弹性网卡，在创建弹性网卡对话框中，完成以下配置，并单击确定。

此处仅介绍本文需要重点关注的配置项。更多配置信息，请参见创建弹性网卡。


配置	说明
专有网络	选择要绑定ECS实例所对应的VPC。弹性网卡创建后无法更改专有网络。本文选择ECS实例所对应的VPC。
交换机	选择要绑定ECS实例所在可用区下的交换机。弹性网卡创建后无法更改交换机。本文选择步骤二：在附加IPv4网段创建交换机创建的附加IPv4网段下的交换机2。说明弹性网卡和绑定的ECS实例需要属于同一可用区，可以分属不同的交换机。
主私网IP	输入弹性网卡的主私网IPv4地址。此IPv4地址必须属于交换机的CIDR网段中的空闲地址。如果您没有指定，创建弹性网卡时将自动为您分配一个空闲的私有IPv4地址。本文输入已申请的EIP地址`120.XX.XX.106`。
安全组	选择当前专有网络的安全组。至少选择1个，最多选择5个。本文选择ECS实例所属安全组。说明如果没有选择ECS实例所属安全组，您需要注意：不能同时选择普通安全组和企业安全组。不能选择其他云产品的托管安全组。需要在此安全组中放通ECS实例与辅助弹性网卡的IP地址。需确保安全组的规则允许辅助弹性网卡访问公网。安全组的配置规则，请参见安全组概述。

步骤四：将EIP绑定到辅助弹性网卡

登录弹性公网IP管理控制台。
在顶部菜单栏处，选择EIP的地域。
在弹性公网IP页面，找到目标弹性公网IP，在操作列单击绑定资源。

在绑定弹性公网IP至资源对话框，完成以下配置，然后单击确定。

此处仅介绍本文需要重点关注的配置项。更多配置信息，请参见以普通模式绑定辅助弹性网卡。


配置	说明
实例类型	选择辅助弹性网卡。
绑定模式	本文选择普通模式。
选择要绑定的实例	本文选择步骤三：创建辅助弹性网卡创建的辅助弹性网卡。

步骤五：将辅助弹性网卡绑定到ECS实例

登录ECS管理控制台。
在左侧导航栏，选择实例与镜像 > 实例。
在顶部菜单处，选择ECS实例的地域。
在实例页面，找到目标ECS实例，在操作列选择 > 网络和安全组 > 绑定辅助弹性网卡。
在绑定辅助弹性网卡对话框，选择步骤三：创建辅助弹性网卡创建的辅助弹性网卡，然后单击确认。

步骤六：测试网络连通性

登录ECS实例。
具体操作，请参见连接方式概述。
执行以下命令，查看ECS实例的网络配置。
```
ifconfig
```
您可以在操作系统的网卡中看到辅助弹性网卡的私网IP与EIP一致。
执行以下命令，验证辅助弹性网卡的主私网IP（EIP）到目的网络的连通性。
```
ping <目的网络> -I <辅助弹性网卡主私网IP（EIP）>
```
经验证，辅助弹性网卡主私网IP（EIP）到目的网络的连通性正常，即ECS实例可通过辅助弹性网卡主私网IP（EIP）访问公网。