阿里云上的云服务器如何配置公网网络?

2025-12-11 00:00:56 分类:云计算

在阿里云上为云服务器(ECS)配置公网网络,主要有以下几种方式,具体选择取决于您的实际需求(如是否需要固定公网IP、是否需高可用/安全防护、是否已有弹性公网IP等)。以下是详细、清晰的配置步骤和注意事项:

✅ 一、前提条件

  • 已创建一台 ECS 实例(Linux 或 Windows)
  • 实例处于 已停止(Stopped)或运行中(Running) 状态(部分操作要求停止实例)
  • 您拥有对应地域和资源的访问权限(RAM 权限如 ecs:AssociateEipAddress, ecs:AllocateEipAddress 等)

✅ 二、主流公网接入方式及配置步骤

✅ 方式1:创建 ECS 时直接分配公网 IP(最简单,适合临时/测试用途)

🔹 适用场景:快速验证、开发测试、无需长期固定 IP 的场景
🔹 特点:

  • 公网 IP 随实例生命周期绑定(停机后释放,重启不保留
  • 不可单独购买或复用,不支持带宽独立调整(带宽与实例规格强关联)
  • 安全组需放行对应端口(如 22/SSH、80/HTTP)

📌 配置步骤(创建时):

  1. 进入 阿里云 ECS 控制台 → 创建实例
  2. 在「网络和安全组」步骤中:
    • 网络类型:选择 专有网络 VPC(推荐,经典网络已逐步下线)
    • 公网 IP:✅ 勾选「分配公网 IPv4 地址」
    • 带宽:设置「公网带宽(按固定带宽计费)」,例如 1–100 Mbps(注意:按量付费实例也支持固定带宽)
  3. 完成创建,实例启动后即可通过分配的公网 IP 访问(如 ssh -i key.pem root@123.45.67.89

⚠️ 注意:该 IP 在实例释放或转换为包年包月后降配时会丢失,生产环境不建议使用。

✅ 方式2:绑定弹性公网 IP(EIP)—— 推荐用于生产环境

🔹 优势:

  • IP 独立于 ECS 生命周期,可随时解绑/重绑其他资源(ECS、SLB、NAT 网关等)
  • 支持带宽独立升降、按流量/带宽计费灵活切换
  • 支持绑定至高可用架构(如多台 ECS + SLB)
  • 可申请固定公网 IP(中国内地需完成 ICP 备案才可对外提供 Web 服务)

📌 配置步骤(实例已存在):
步骤 1:购买并申请 EIP

  • 控制台 →「网络与安全」→「弹性公网 IP」→「创建 EIP」
  • 选择地域(必须与 ECS 实例同地域
  • 选择计费方式(推荐「按固定带宽」用于稳定业务;「按使用流量」适合低频突发流量)
  • 设置带宽值(如 5 Mbps),点击「立即购买」

步骤 2:将 EIP 绑定到 ECS 实例

  • 在 EIP 列表中找到刚创建的 EIP → 点击「绑定」
  • 绑定类型:✅ 选择「云服务器 ECS」
  • 选择目标 ECS 实例(确保:① 同地域;② VPC 类型;③ 实例处于「运行中」或「已停止」状态)
  • (可选)勾选「自动分配公网 IP」(仅当实例无任何公网 IP 时生效,非必需)
  • 点击「确定」

✅ 成功后:EIP 显示「已绑定」,ECS 实例详情页「网络信息」中显示该 EIP(如 203.203.203.203

🔐 安全补充(关键!):

  • ✅ 配置安全组规则:ECS 所属安全组必须放行所需端口(如 TCP 22、80、443)
    • 控制台 → ECS 实例 → 「安全组」→ 「配置规则」→ 添加入方向规则
  • ✅(可选)启用 DDoS 基础防护(阿里云免费提供最高 5 Gbps 防护)
  • ✅(生产建议)开启云防火墙或 WAF(Web 应用防火墙)增强防护

✅ 方式3:通过 NAT 网关 + SNAT/DNAT(适用于私有网络内多台 ECS 共享公网出口)

🔹 适用场景:

  • 多台 ECS 无需各自公网 IP,统一由 NAT 网关提供互联网访问(SNAT)
  • 对外提供服务时,通过 DNAT 将 EIP 映射到内网 ECS 端口(如将 EIP:80 → ECS:8080)
    🔹 步骤概要:
  1. 创建 NAT 网关(VPC 内)
  2. 为 NAT 网关绑定 EIP
  3. 配置 SNAT 规则(让私网 ECS 访问公网)
  4. 配置 DNAT 规则(将公网请求转发至指定 ECS 私网 IP+端口)

    📌 适合中大型架构,需额外费用(NAT 网关 + EIP + 数据处理费)

❌ 不推荐的方式(已淘汰/限制)

  • ❌ 经典网络公网 IP(阿里云已于 2023 年底全面下线经典网络新购,存量用户逐步迁移)
  • ❌ 使用“公网带宽”但未配置安全组(导致无法访问,常见排查点!)

✅ 三、验证与排错
| 现象 | 检查项 |
|——|——–|
| ❌ 无法 ping 通公网 IP | ① 安全组是否放行 ICMP(ping)?
② ECS 内操作系统是否禁用了 ping(如 sysctl net.ipv4.icmp_echo_ignore_all=1)?
③ 是否开启了系统防火墙(iptables/firewalld)? |
| ❌ SSH/HTTP 连接超时 | ① 安全组是否放行对应 TCP 端口?
② ECS 内服务是否正常监听(netstat -tuln | grep :22)?
③ 是否启用了云防火墙拦截? |
| ❌ EIP 绑定失败 | ① 是否同地域?
② ECS 是否为 VPC 类型?
③ ECS 是否处于「已停止」或「运行中」(不能是「启动中」「停止中」等中间状态)? |

✅ 四、最佳实践建议(生产环境)
✔️ 始终使用 VPC + EIP 架构,保障灵活性与稳定性
✔️ EIP 选择「按固定带宽」计费(避免流量突增产生高额费用)
✔️ 安全组最小化开放原则(只放行必要端口,源地址限制如 0.0.0.0/0 → 改为指定 IP 段)
✔️ 关键业务搭配「云防火墙」+「WAF」+「DDoS 高防(可选)」
✔️ 若需备案:EIP 绑定 ECS 后,在 阿里云 ICP 备案系统 提交备案(中国大陆网站必需)

需要我为您:
🔹 生成一条完整的 安全组入方向规则 JSON 示例(如放行 80/443/22)?
🔹 提供 Linux ECS 开放端口的命令脚本(firewalld/iptables)?
🔹 指导如何 为 EIP 配置 DNS 解析或绑定域名
🔹 或协助排查您当前的具体连接问题?欢迎随时补充细节 👍

祝您上云顺利,网络畅通! 🌐🚀