全部產品
Search
文件中心

NAT Gateway:通過VPC NAT Gateway實現VPC地址衝突時的私網訪問

更新時間:Oct 29, 2024

在實現Virtual Private Cloud之間的私網互連時,如果VPC之間存在私網地址衝突,您可以通過VPC NAT Gateway對衝突的私網地址進行轉換,並通過雲企業網實現VPC之間的私網互連。

情境樣本

某企業在華南1(深圳)地區已建立兩個相同網段的Virtual Private Cloud。由於要互連的CIDR網段重疊,導致兩個私網之間無法通過部署雲企業網實現私網訪問,因此,還需對各自的私網地址進行地址轉換,從而實現VPC_A訪問VPC_B。

實現VPC地址衝突時的私網訪問,只需4步:

  1. 添加附加IPv4網段:我們將先通過為VPC添加附加網段,來擴充VPC的網段,為後續資源的建立提供環境。

  2. 搭建雲企業網:然後我們將VPC執行個體接入轉寄路由器,接入後,轉寄路由器可以實現VPC_A訪問VPC_B。

  3. 網路位址轉譯:接著我們將通過VPC NAT Gateway轉換雲端服務地址,滿足地址衝突情況下的網路訪問需求。

  4. 配置路由表:最後我們將通過在路由表中添加自訂路由條目,實現上述資源之間的路由轉寄。

配置步驟

步驟一:分配附加網段並建立交換器

分別為VPC_AVPC_B添加附加網段並建立交換器,以下為附加網段地址規劃,您也可以自行規劃網段,請確保您的網段之間沒有重疊。

專用網路

IPv4網段

交換器網段與可用性區域

VPC_A

172.16.0.0/12(附加網段)

172.16.20.0/24(深圳可用性區域E)

VPC_B

10.0.0.0/8(附加網段)

10.0.20.0/24(深圳可用性區域E)

  1. 登入專用網路管理主控台,單擊目標執行個體ID,在基本資料頁簽,單擊網段管理頁簽,添加附加IPv4網段

    image

  2. 在左側導覽列,單擊交換器,在交換器頁面,單擊建立交換器

    image

步驟二:通過轉寄路由器串連VPC

分別為VPC_AVPC_B建立VPC串連,以實現VPC_A訪問VPC_B。

  1. 登入雲企業網管理主控台建立雲企業網執行個體

  2. 雲企業網執行個體建立成功面板,單擊建立網路執行個體串連

    說明

    企業版轉寄路由器支援的地區和可用性區域,請參見轉寄路由器的版本

    image

步驟三:配置VPC NAT Gateway

地址轉換:通過VPC NAT Gateway的SNAT條目和DNAT條目,將各自VPC下的ECS執行個體地址轉換成NAT IP地址進行互動,以解決地址衝突問題。

  1. NAT Gateway管理主控台頁面,單擊左側導覽列VPC NAT Gateway。在VPC NAT Gateway頁面,單擊建立VPC NAT Gateway。

    分別為VPC_AVPC_B建立VPC NAT Gateway。

    image

  2. 在VPC NAT Gateway頁面,找到VPC_NATGW_A執行個體,單擊操作列中的SNAT管理

    VPC_A建立SNAT條目,本文以VPC粒度為例,您也可以根據自身需求,調整SNAT條目粒度。

    image

  3. 在VPC NAT Gateway頁面,找到VPC_NATGW_B執行個體,單擊操作列中的DNAT管理

    ECS_B建立DNAT條目,本文以SSH服務作為內網互連的驗證方式,請確保ECS_B執行個體所屬安全性群組已放通22號連接埠,具體操作請參見添加安全性群組規則。您可以根據自身實際需求建立對應的DNAT條目。

    說明

    SSH服務:採用連線導向的TCP協議傳輸,應用22號連接埠。

    image

步驟四:配置路由表

  1. 建立自訂路由表並綁定交換器

    1. 在左側導覽列,單擊路由表,在路由表頁面,單擊建立路由表。

      分別為VPC_A、VPC_B建立自訂路由表。

      image

    2. 路由表頁面,找到目標執行個體,單擊綁定資源>立即綁定

      分別將vSwitch_A1、vSwitch_B1綁定至自訂路由表。

      image

  2. (可選)最佳化VPC_A和VPC_B路由表中的路由條目。

    以下路由條目的調整不會影響本次網路連通性。但考慮到您後續的維護和業務的擴充,建議按照以下步驟進行路由調整。

    說明

    路由優先順序的生效規則。請參見路由表概述

    1. 刪除如下三條由轉寄路由器配置後預設建立的路由條目。

      image

    2. 系統路由表中除VPC NAT Gateway執行個體所屬網段的路由條目,撤回傳布。

      image

  3. 路由配置:添加對應路由條目,實現各資源之間的路由轉寄。請依據下表中的資料,分別為VPC_A、VPC_B的路由表配置路由條目。

    專用網路

    路由表

    目標網段

    下一跳

    VPC_A

    系統路由表

    10.0.20.0/24

    轉寄路由器

    自訂路由表

    10.0.20.0/24

    VPC_NATGW_A

    VPC_B

    系統路由表

    172.16.20.0/24

    轉寄路由器

    自訂路由表

    172.16.20.0/24

    VPC_NATGW_B

    下圖將展示為VPC_A的系統路由表添加路由條目:

    image

    image

結果驗證

在ECS_A執行個體中,執行如下命令,遠程登入ECS_B執行個體,然後查看執行個體網卡IP。

ssh root@10.0.20.190
ifconfig

image

如圖,我們可以確認ECS_A執行個體已正常通過VPC_NATGW_A執行個體的NAT IP(172.16.20.14)訪問VPC_NATGW_B執行個體的NAT IP(10.0.20.190),從而遠程登入到ECS_B執行個體中。

相關內容