在天翼云主机上实现"映射"通常指的是以下两种常见需求:
1、端口映射(端口转发): 将云主机的内网服务端口映射到公网IP的某个端口,使得外部网络可以通过公网IP和指定端口访问到云主机内部的服务(如Web服务、数据库、远程桌面等)。
2、磁盘/文件夹映射(网络驱动器映射): 将云主机上的某个共享文件夹映射到本地计算机,像使用本地磁盘一样访问云主机上的文件(主要针对Windows系统)。
以下分别说明这两种映射的操作方法:
一、 端口映射(让外部访问云主机内部服务)
这是最常见的需求,实现步骤主要涉及安全组规则配置和云主机内部防火墙配置。
1、登录天翼云控制台:
* 访问 [https://www.ctyun.cn/](https://www.ctyun.cn/) 并使用您的账号登录。
2、定位目标云主机:
* 进入"计算" ->"云主机" 或"弹性云主机" 菜单。
* 在实例列表中找到您需要进行端口映射的目标云主机实例。
3、确认/绑定弹性公网IP:
* 确保您的云主机已经绑定了一个"弹性公网IP",如果没有,您需要先申请并绑定一个弹性公网IP,外部访问必须通过这个公网IP。
* 在实例详情页查看绑定的公网IP地址。
4、配置安全组规则(关键步骤):
* 在云主机实例的详情页面,找到关联的"安全组"(通常是一个链接或标签页)。
点击进入该安全组的管理界面。
* 在安全组规则页面,选择"入方向规则" 标签页。
点击"添加规则"。
填写规则参数
优先级 保持默认或按需设置(数字越小优先级越高)。
策略 选择"允许"。
协议类型 选择您内部服务使用的协议(如TCP,UDP, 或全部),最常见的是TCP。
端口范围
目标类型 选择"端口"。
目标端口范围 填写您希望外部访问者使用的公网端口号,如果您想用8080 访问内部的80 服务,这里就填8080,如果想直接访问内部80 服务,就填80,范围填写如80/80 或单个端口80。
源地址
源类型 通常选择"IP地址"。
源IP地址
允许特定IP访问 填写允许访问的客户端公网IP地址(如123.123.123.123/32),或一个CIDR网段(如123.123.123.0/24)。(强烈推荐,更安全)
允许所有IP访问(谨慎) 填写0.0.0.0/0,这意味着互联网上任何主机都可以尝试访问这个端口!仅在测试或确定服务安全性时临时使用,生产环境务必限制源IP。
描述 可填写描述信息,如 "映射Web服务端口8080到内部80"。
点击"确定" 保存规则。
重要 确保安全组已正确关联到您的目标云主机实例,在实例详情页的安全组部分可以查看和修改关联。
5、配置云主机内部防火墙(关键步骤):
* 仅仅配置天翼云安全组是不够的,云主机操作系统自身的防火墙也必须放行相应的内部服务端口。
登录到您的云主机操作系统(通过VNC或之前配置好的SSH/RDP)。
根据操作系统配置防火墙
Linux (通常使用firewalld 或iptables)
例如使用firewalldsudo firewall-cmd --permanent --add-port=<内部端口号>/tcp (替换<内部端口号> 为实际端口,如80)
然后重载sudo firewall-cmd --reload
* 或者临时用iptables 添加规则(注意规则持久化)。
Windows
* 打开 "Windows Defender 防火墙" -> "高级设置"。
* 在 "入站规则" 中,找到对应您服务的规则(如 "万维网服务(HTTP 流入)" 对应端口80),确保它是"已启用" 状态。
* 如果没有,需要"新建规则..." -> 选择 "端口" -> 指定协议(TCP/UDP)和内部端口号 -> 允许连接 -> 按需选择配置文件(域、专用、公用)-> 命名规则 -> 完成。
验证服务本身是否监听在正确的IP和端口上
* Linux:netstat -tulnp | grep <端口号>
* Windows:netstat -ano | findstr :<端口号>
* 确保服务监听在0.0.0.0 (表示所有接口) 或云主机的内网IP地址上,而不是127.0.0.1 (仅本地访问)。
6、测试映射:
* 从外部网络(非云主机所在网络,如您的本地电脑或手机4G网络),使用浏览器、telnet、nc 或专用客户端工具。
连接地址<您的弹性公网IP>:<您在安全组中配置的目标端口范围>
例如http://123.123.123.123:8080 或telnet 123.123.123.123 3389 (测试RDP)。
* 如果连接成功,说明端口映射配置正确。
二、 磁盘/文件夹映射(将云主机共享文件夹挂载到本地电脑)
这主要用于Windows云主机,方便文件传输和管理。
1、 云主机是Windows 操作系统。
2、 云主机上已启用网络共享并设置好共享文件夹。
3、 本地电脑和云主机之间网络互通(通常通过公网IP,但强烈建议使用VPN建立安全连接后再进行共享映射,因为SMB协议直接暴露在公网非常不安全)。
4、 您拥有云主机共享文件夹的有效访问凭据(用户名和密码)。
操作步骤(在您的本地Windows电脑上进行)
1、(在云主机上)设置共享文件夹:
* 登录Windows云主机。
* 右键点击需要共享的文件夹 -> "属性"。
* 切换到 "共享" 选项卡。
* 点击 "共享..." 按钮,添加需要共享的用户(如Administrator 或其他用户)并设置权限(读取/写入)。
* 点击 "共享" -> "完成"。
记下共享路径,通常类似\\<云主机内网IP或计算机名>\<共享名>,例如\\192.168.1.100\MyShare。(重要这里通常用内网IP,因为映射发生在本地电脑连接云主机时)
2、(在云主机上)配置防火墙(如果之前没开):
* 确保Windows防火墙允许"文件和打印机共享" 相关的规则(特别是SMB-In, 端口 TCP 445)在"专用" 或 "域" 网络配置文件下是启用的,如果通过公网映射(不推荐),可能需要在 "公用" 配置文件下启用(极不安全,务必配合VPN)。
3、(在本地电脑上)映射网络驱动器:
* 打开本地电脑的 "文件资源管理器"。
* 右键点击 "此电脑" 或 "计算机" -> 选择 "映射网络驱动器..."。
* 选择一个驱动器号(如Z:)。
在 "文件夹" 框中输入共享路径
通过公网(高风险,不推荐)\\<云主机的弹性公网IP>\<共享名> (例如\\123.123.123.123\MyShare)。警告:SMB协议明文传输,且公网暴露极易被攻击扫描,务必仅在测试或临时使用,完成后立即关闭共享或防火墙规则,强烈建议使用VPN!
通过VPN(安全推荐) 建立VPN连接到云主机所在的VPC网络后,使用云主机的内网IP地址:\\<云主机内网IP>\<共享名> (例如\\192.168.1.100\MyShare)。
* 勾选 "使用其他凭据连接"。
* 点击 "完成"。
* 在弹出的登录窗口中,输入您在云主机上拥有访问该共享权限的用户名和密码。
用户名格式通常是<云主机名或IP>\<用户名> (例如MYCLOUDVM\Administrator) 或<用户名>@<域名> (如果加入域)。
* 点击 "确定"。
4、访问映射驱动器:
* 如果凭据正确且网络连通,映射的驱动器(如Z:)就会出现在 "此电脑" 中,您可以像操作本地磁盘一样访问其中的文件。
重要提示与注意事项
安全第一
端口映射 严格限制安全组入规则的源地址 (源IP地址),不要轻易使用0.0.0.0/0,尤其是对于管理端口(SSH 22, RDP 3389)、数据库端口等敏感服务,使用VPN访问管理端口是更佳实践。
文件夹映射绝对避免 在公网直接映射Windows共享文件夹 (\\公网IP\...),SMB协议有严重的安全隐患。必须通过VPN接入云主机所在VPC后再使用内网IP进行映射。
* 定期更新云主机操作系统和应用程序的安全补丁。
防火墙双重检查 天翼云安全组和 云主机操作系统自带的防火墙都需要配置 才能生效,一个配置错误都会导致访问失败。
端口冲突 确保云主机内部没有其他程序占用您想映射的内部端口。
服务状态 确保您要映射的服务(如Web服务器、数据库、远程桌面服务)在云主机内部是正常运行并监听状态的。
弹性公网IP 端口映射依赖弹性公网IP,没有公网IP,外部无法直接访问。
网络连通性 确保本地测试环境到天翼云公网IP的网络是通的(无本地防火墙或ISP封锁目标端口),可以用telnet <公网IP> <端口> 或在线端口扫描工具初步测试。
云主机带宽 映射成功后,访问速度受限于您购买的云主机公网带宽大小。
如果在配置过程中遇到问题,请按照上述步骤逐一检查安全组规则、云主机内部防火墙、服务监听状态、以及测试网络连通性,通常问题就出在这几个环节之一。
文章摘自:https://idc.huochengrm.cn/zj/12688.html
评论