端口转发
端口转发(PF):基于云路由器/VPC路由器提供的三层转发服务,可将指定公有网络的IP地址端口流量转发到云主机对应协议的端口。在公网IP地址紧缺的情况下,通过端口转发可提供多个云主机对外服务,节省公网IP地址资源。
- 启用SNAT服务的私有网络中,云主机可访问外部网络但不能被外部网络所访问;使用端口转发规则,允许外部网络访问SNAT后面云主机的某些指定端口。
- 弹性端口转发规则可动态绑定到云主机,或从云主机解绑。
- 端口转发服务限于云路由器/VPC路由器提供。
- 端口转发规则创建于云路由器/VPC路由器公有网络和云主机私有网络之间,如Figure 1所示:
Figure 1. 端口转发 
- 端口转发规则创建于云路由器/VPC路由器公有网络和云主机私有网络之间,如Figure 1所示:
- 通过虚拟IP提供端口转发服务。
- 虚拟IP对应于公网IP地址资源池中的一个可用IP。
- 端口转发使用虚拟IP有两种方法:新建虚拟IP、使用已有虚拟IP。
- 端口转发指定端口映射有两种方法:单个端口到单个端口的映射、端口区间的映射。
- 如Figure 2所示:
Figure 2. 虚拟IP-端口转发 
创建端口转发规则
在私有云界面,点击,进入端口转发界面,点击创建端口转发,在弹出的创建端口转发界面,可参考以下示例输入相应内容:
- 名称:设置端口转发规则名称
- 简介:可选项,可留空不填
- 选择虚拟IP:通过虚拟IP提供端口转发服务使用虚拟IP的方法有以下两种:Note: 云路由器/VPC路由器提供的系统虚拟IP支持用于端口转发服务。
- 协议:选择协议类型,包括:TCP、UDP
- TCP:支持1-65535端口
- UDP:支持1-65535端口
- 端口:支持两种端口映射方法,包括:单个端口到单个端口的映射、端口区间的映射
- 指定端口:如选择指定端口,需设置以下内容:
- 源起始端口:可从1-65535端口之间选择一个端口作为源端口
- 源结束端口:系统自动填写,默认与源起始端口一致
- 云主机起始端口:可从1-65535端口之间选择一个端口作为云主机端口
- 云主机结束端口:系统自动填写,默认与云主机起始端口一致
- 允许CIDR:可选项,仅允许指定的CIDR才可通过,可留空不填
例如:源端口选择24,云主机端口选择22,表示对公网IP的24端口访问会转发到云主机的22端口。
如Figure 5所示:Figure 5. 创建端口转发规则-指定端口 
- 端口区间:如选择端口区间,需设置以下内容:
- 源起始端口:可从1-65535端口之间选择一个端口作为源起始端口
- 源结束端口:可从1-65535端口之间选择一个端口作为源结束端口
- 云主机起始端口:系统自动填写,默认与源起始端口一致
- 云主机结束端口:系统自动填写,默认与源结束端口一致
- 允许CIDR:可选项,仅允许指定的CIDR才可通过,可留空不填
例如:源端口区间选择22-80,云主机端口区间也默认为22-80,表示对公网IP的22-80端口访问会转发到云主机的22-80端口。
如Figure 6所示:Figure 6. 创建端口转发规则-端口区间 
- 指定端口:
创建的端口转发规则如Figure 7所示:Figure 7. 创建端口转发规则
端口转发规则绑定云主机网卡
弹出绑定云主机网卡界面,点击云主机栏里的加号按钮,弹出选择云主机界面,选择需绑定的云主机网卡,点击确定。
端口转发支持的操作
端口转发支持以下操作:
- 修改名称和简介:修改端口转发规则的名称和简介。
- 绑定:将端口转发规则绑定到云主机网卡。
- 解绑:将端口转发规则与云主机网卡解绑。
- 删除:删除端口转发规则,将自动删除其提供的端口转发服务。相应的虚拟IP以及其上绑定的其它服务不受影响。
- 审计:查看此端口转发的相关操作。
端口转发的约束条件
端口转发有以下约束条件:
- 端口转发要求云主机内部的防火墙策略对指定的转发端口开放。
- 同一个虚拟IP,在提供端口转发服务时, 该虚拟IP所用的端口之间不可重复。
- 同一个虚拟IP,可对同一个三层网络上的多个云主机网卡的不同端口提供端口转发服务。
- 同一个云主机,只能使用一个虚拟IP来提供端口转发服务。
- 虚拟IP从云主机解绑后,再次绑定云主机时,只能选择解除绑定关系前的同一个三层网络上的云主机网卡。
- 端口转发区间需一一对应,例如,设置了源端口22-80端口的端口区间,在云主机私网,默认也选择22-80端口。