雲主機作為伺服器或客戶端等終端經常作為被訪問或訪問的節點。但是在還有一種場景,使用雲主機作為路由器、防火牆等裝置,這時雲主機的作用是轉發報文。
此時,無論使用什麼雲環境,幾乎都遇到一個問題,報文根本轉發不了。因為網絡卡有個設定“網絡卡的源/目的檢查”。
以華為云為例,官方解釋如下,為了安全,該功能預設開啟。
華為雲解釋截圖
咱們詳細的解釋一下這個問題,先規劃一個典型的應用場景,在雲端設定一臺測試雲主機192。168。123。29,同VPC內部署一個虛擬閘道器192。168。123。30替代原VPC內的閘道器。線下的區域網10。0。1。1/24網段與雲網關透過IPsec隧道互通,做到安全自主可控。
環境示意圖
當從雲主機192。168。123。29訪問10。0。1。10時,該報文下行一直到PC可達,PC也回覆了報文,但是在雲網關192。168。123。30轉發時,因為源地址是10。0。1。10,並非是VPC內網網段192。168。123。0/24。網絡卡預設開啟“網絡卡的源/目的檢查”,報文直接被丟棄,導致訪問不通。
雲內訪問PC
在雲網關抓包觀看,收到了雙方來的報文,也轉發了,但是雲主機192。168。123。29沒收到報文,說明被網絡卡丟棄了。
當從PC端10。0。1。10訪問192。168。123。29時,同樣的,因為源地址是10。0。1。10,並非是VPC內網網段192。168。123。0/24。網絡卡預設開啟“網絡卡的源/目的檢查”,報文直接被丟棄,導致訪問不通。
訪問雲主機
在雲網關抓包觀看,只有上行報文,因為源地址不是192。168。123。0/24網段的,報文直接丟棄了。
上述情況需要在相應的網絡卡上關閉“網絡卡的源/目的檢查”功能。
