腾讯云云联网合规跨境带宽环境设置

腾讯云云联网合规跨境带宽环境设置

背景：公司人员需要跨境访问下载外网资源

需要资源：腾讯云云联网，广州联通跨界宽带，广州与香港云服务器

环境图示：

目录

一．购买云联网，跨界宽带与云服务器

1. 腾讯云新建广州以及香港的私有网络（vpc）

1.1广州vpc

1.2香港vpc

2. 新购广州与香港的云服务器（cvm）

2.1广州cvm

2.2香港cvm

3. 新购腾讯云云联网与跨境宽带

3.1新建云联网

3.2云联网购买广东联通提供的跨境宽带

二．安装配置跨界环境

1. 登录cvm配置环境

1.1配置广州服务器环境

1.2配置香港服务器环境

2. 安装配置ss客户端示例

3. 完善配置项

3.1香港服务器添加出站安全组规则

3.2关联更新安全组

一．购买云联网，跨界宽带与云服务器

1. 腾讯云新建广州以及香港的私有网络（vpc）

1.1广州vpc

网段：10.125.0.0/16

子网网段：10.125.125.0/24

1.2香港vpc

网段：10.125.0.0/16

子网网段：10.125.124.0/24

广州与香港的子网网段有所不同，方便区分，也杜绝了分配到同个内网IP的可能性。

2. 新购广州与香港的云服务器（cvm）

2.1广州cvm

配置：2c2g，40GB系统盘，centos7.9 64位，带宽计费模式选择“包月带宽” 10Mbps（购买时创建的是普通公网IP，建议在EIP面板处转换成EIP也就是弹性公网IP）网络选择创建的广州vpc，安全组全放开。

2.2香港cvm

配置：2c2g，40GB系统盘，centos7.9 64位，带宽计费模式选择“包月带宽” 2Mbps（购买时创建的是普通公网IP，需要在EIP面板处转换成EIP也就是弹性公网IP），网络选择创建的香港vpc，安全组暂时全放开。（这里选择购买2Mbps的带宽，这样香港出流量的带宽是2Mbps即上传东西是2Mbps的带宽，进带宽由于小于10Mbps，所以腾讯云会默认给10Mbps的入带宽。）

 https://cloud.tencent.com/document/product/213/17152

腾讯云cvm的入方向流量是免费的，出方向是收费的。

3. 新购腾讯云云联网与跨境宽带

3.1新建云联网

（2024年04月01日00:00:00前有免费的额度，实例费用与网络流量费用）

需要联系你们的账号的腾讯云商务经理，开通中国香港的选项

配置：带宽计费模式选择“预付费”，服务质量选择“金”（广东联通的服务质量是按金来提供的），关联实例选择广州的cpv和香港的vpc。

3.2云联网购买广东联通提供的跨境宽带

需要联系你们账号的腾讯云商务经理，与中国联通签订合同优惠购买（图中已优惠），原价购买简直太贵了。

二．安装配置跨界环境

1. 登录cvm配置环境

1.1配置广州服务器环境

广州服务器做一个反向代理，用于中转流量，这边使用xshell来连接搭设环境

1.1.1安装nginx

安装nginx软件：yum install -y nginx

1.1.2修改配置文件

修改配置文件：vim /etc/nginx/nginx.conf

添加额外的stream块，注意这里是与原配置的http同级的，切勿放到http里面了，当然可以按需删除掉默认配置的http配置。

在文件的末尾加上如下配置：

stream {

    # 定义日志格式

    log_format tcp_proxy '$remote_addr [$time_local] '

                         '$protocol $status $bytes_sent $bytes_received '

                         '$session_time "$upstream_addr" '

                         '"$upstream_bytes_sent" "$upstream_bytes_received" "$upstream_connect_time"';

    # 访问日志保存路径和格式

    access_log /var/log/nginx/tcpacces.log tcp_proxy;

    # 配置前端监听端口范围并将请求代理到后端服务器

    server {

        listen 29000-29100; # 这里设置前端监听端口范围

        proxy_connect_timeout 3s;

        proxy_timeout 10s;

        proxy_pass 10.125.124.11:$server_port; # 使用与前端监听端口一致的后端端口

    }

}

添加完如上的配置之后保存文件，修改之前可以适当备份原配置文件。

检查配置文件是否正确：nginx -t

1.1.3启动nginx服务

启动nginx服务：systemctl start nginx

重载nginx配置文件：nginx -s reload

或者重启nginx服务：systemctl restart nginx

可以设置nginx的开机自启动：systemctl enable nginx

配置文件中的端口可以自己选定一个范围，或者是指定端口，$server_port会获取用户的请求端口，这里设置的范围是29000-29100端口。

1.2配置香港服务器环境

1.2.1安装x-ui服务端

x-ui是一个提供webui的集多种科学上网设置的程序，当然你也可以直接安装ss，或者是其他的程序。x-ui支持设置过期时间，限制流量使用。https://github.com/vaxilu/x-ui/

安装x-ui程序：

bash <(curl -Ls https://raw.githubusercontent.com/vaxilu/x-ui/master/install.sh)

设置好面板的webui端口（我这里设置的端口是9191），设置面板账号和密码，这里开启bbr加速貌似反而会导致速度变慢，我们目前是没有开启bbr加速，如有需要请自测。另外可以输入命令x-ui配置服务的开机自启动。

浏览器访问webui页面(IP:port)：香港公网IP:9191

1.2.2配置ss入站

添加ss配置：添加入站信息，因为这个是合规的跨境。所以协议勾选最快的ss即可，其他协议自测，端口请输入广州nginx配置文件中选定的端口范围。这里以29001端口为例。可以为每个人设置一个端口，这样当你不想给他继续使用，可以修改密码，这样不会影响到去其他人使用，x-ui目前未支持面板设置单端口多用户模式。

至此，环境已搭设完成，使用支持ss的客户端添加访问即可，需要注意的是客户端使用时需要配置的是广州的公网IP。

2. 安装配置ss客户端示例

这里安装的是v2rayN 5.39即PC端的客户端，它是支持使用ss的，当然你可以选择ss官网提供的客户端来连接使用。

配置时需要额外注意的是，此处的IP需填写广州的公网IP，若填写香港的公网IP，是走公网IP，那么将有可能面临不合规的风险。

若你设置正确，此时已可以访问外网，例如google。

3. 完善配置项

以上虽然可以实现利用云联网来访问外网，但是有可能会产生误操作，若填写香港的公网IP，是走公网IP，那么将有可能面临不合规的风险。

故而我们可以做一些额外的限制来避免此类情况的产生。

3.1香港服务器添加出站安全组规则

规则是从上往下匹配的，入站的流量匹配到规则就会停止匹配，这里的10.125.125.17是广州的内网IP，29000-29100端口是在广州服务器nginx中配置的端口范围。

这样配置之后，用户ss客户端直接配置填写的是香港的公网IP之后，是无法联通的。

3.2关联更新安全组

将新的规则添加到香港服务器上，之前购买服务的时候的全开安全组解除关联。

以上算是比较完整地配置完成整个环境了。