1.
准备与前提:购买与信息核验
1) 确认云主机提供商支持“原生IP”或“裸金属/直连IP”并非NAT环境。
2) 获取分配给你的IPv4/IPv6地址段、网关和网段掩码,记录ASN与上游接入商。
3) 确认控制面(控制台)提供MAC绑定、ARP条目或静态路由选项,以防IP被运营商防护透传。
4) 准备好SSH密钥、root帐号、以及控制台的串口/控制台访问以便排错。
5) 示例:供应商给出IPv4 203.145.10.12/29,网关203.145.10.9;或IPv6 2402:XXXX:100::12/64,网关2402:XXXX:100::1。
2.
操作系统网络基础配置(以Ubuntu为例)
1) 编辑网络配置文件(netplan或/etc/network/interfaces),写入IP与掩码。
2) 示例命令(直接在Shell执行):ip addr add 203.145.10.12/29 dev eth0;ip -6 addr add 2402:xxxx:100::12/64 dev eth0。
3) 添加默认路由:ip route add default via 203.145.10.9;ip -6 route add default via 2402:xxxx:100::1。
4) 保存并重启网络:netplan apply 或 systemctl restart networking,确保远程会话有备份方式。
5) 测试连通性:ping 203.145.10.9;ping -c4 8.8.8.8;ping6 -c4 2406:xxxx::1。
3.
ARP与路由调整以避免双栈/网关问题
1) 如果提供商要求MAC绑定或代理ARP,按控制台指示绑定公网IP到虚拟网卡。
2) 设置ARP参数,防止主机响应非本机网段ARP:sysctl -w net.ipv4.conf.all.arp_ignore=1;sysctl -w net.ipv4.conf.all.arp_announce=2。
3) 若IP为非同网段,需要添加静态路由或策略路由(ip rule + ip route),示例:ip route add 203.145.10.12/32 dev eth0 src 203.145.10.12。
4) 若使用VRF或二层透传,确认VLAN标签(如100)和桥接br0正确配置。
5) 最后验证:arp -n 查看ARP表;ip route show 查看路由;traceroute 到上游网关。
4.
防火墙、NAT和安全组设置(结合DDoS防护)
1) 先开放必要端口(SSH 22、HTTP 80、HTTPS 443)并限制管理IP白名单。
2) 示例iptables规则(核心思路):允许ESTABLISHED/RELATED,拒绝所有入站除了白名单端口。
3) 若使用Cloud Firewall或安全组,务必在云端与主机双重生效避免误封管理入口。
4) DDoS防护:对高流量使用上游Scrubbing或接入CDN,开启速率限制与连接追踪阈值优化(conntrack/tcp_max_syn_backlog)。
5) 推荐开启日志与阈值报警,结合自动化脚本在流量异常时触发上游清洗或IP封禁。
5.
域名、反向解析与证书配置
1) 在域名DNS管理处添加A记录/AAAA记录指向你的原生IP。
2) 在云主机控制台或向ISP提交反向DNS(PTR)申请,确保邮件服务与SSL验证通过。
3) 示例:域名 example-hk.com 的A记录指向203.145.10.12;PTR设置为 mail.example-hk.com。
4) 使用Let's Encrypt自动化获取证书:certbot --nginx 或 acme.sh 配合webroot。
5) 验证HTTPS、反向域名和邮件逆向域名一致性,避免被标记为垃圾邮件。
6.
真实案例:香港VPS原生IP上线全过程(含配置数据)
1) 客户A购买配置:CPU 4核,内存 8GB,带宽 200Mbps,IP 203.145.10.12/29,网关 203.145.10.9。
2) 我们在主机上执行配置:ip addr add 203.145.10.12/29 dev eth0;ip route add default via 203.145.10.9。
3) 配置防火墙:只开放22/80/443并限制SSH来源至管理公网IP 58.64.23.10。
4) 上游接入了Cloudflare CDN,静态内容通过CDN缓存,动静分离减轻主机带宽压力。
5) 客户在控制台申请PTR,ISP将203.145.10.12反向解析到web1.example-hk.com,邮件投递率提升。
7.
性能监控、带宽优化与运维建议
1) 部署实时监控:Prometheus + node_exporter 或云厂商自带监控,监控带宽、连接数、CPU与内存。
2) 对于高并发使用Nginx反向代理、keepalive与缓存策略减少后端压力。
3) 定期检查conntrack表:cat /proc/sys/net/netfilter/nf_conntrack_max,调整以防满表导致服务中断。
4) 若遇到DDoS攻击,第一时间切换到上游清洗、调整防火墙速率限制并与供应商协作。
5) 建议定期演练故障切换、备份网络配置文件与自动化恢复脚本。
8.
参考配置汇总表(示例数据)
| 项目 | 示例值 |
|---|
| IPv4地址 | 203.145.10.12/29 |
| IPv4网关 | 203.145.10.9 |
| IPv6地址 | 2402:xxxx:100::12/64 |
| 带宽 | 200 Mbps(峰值) |
| 主要端口 | 22/80/443 |
来源:从零开始配置香港云主机原生ip的详细操作步骤
