同一個VPC內支援建立多個公網NAT Gateway,您可以通過不同的公網NAT Gateway轉寄去往不同目的地址的流量,並可以針對不同的公網NAT Gateway做不同的安全防護,實現更精細化地部署公網訪問網路。
同VPC內部署多公網NAT Gateway的情境說明
本文以下圖情境為例,為您介紹如何使用公網NAT Gateway產品在同一個VPC內部署多公網NAT Gateway的網路環境。
上述情境方案中的交換器對應的情境說明如下:
- 建立一個VPC並部署3個vSwitch,其中網路安全域1內部署一套公網NAT Gateway(NATGW-1),vSwitch1使用該套網關;網路安全域2內部署另一套公網NAT Gateway(NATGW-2),vSwitch2和vSwitch3共用這套網關。
- vSwitch1屬於網路安全域1,關聯絡統路由表。獨立公網IP,50 Mbps頻寬;不主動對外暴露公網IP,只允許內部主機主動對外訪問,並要求獨立環境。
- vSwitch2和vSwitch3屬於網路安全域2,關聯VPC子網路由表。共用網路安全域2內的統一公網出口1 Gbps;既能被外網訪問,同時需要主動訪問公網。
- 建立一個名為EIP1且頻寬為50 Mbps的EIP,用於綁定NATGW-1的SNAT。
- 申請一個1 Gbps的共用頻寬,用於NATGW-2,再申請3個名為EIP2、EIP3和EIP4且頻寬均為5 Mbps的EIP,加入到該共用頻寬中,2個EIP分別用於vSwitch2和vSwitch3的DNAT使用,第3個EIP用於兩個vSwitch的SNAT訪問。
- 配置公網NAT Gateway的監控,針對NATGW-2下不同vSwitch的流量進行監控,監控vSwitch的使用方式。
部署流程
步驟一:準備雲網路資源
在為交換器部署公網NAT Gateway前,您需要先建立VPC、vSwitch、ECS、EIP和共用頻寬等雲資源。
| 雲網路資源 | 規格描述 | 數量 | 具體操作 |
| VPC | 地區:華北5(呼和浩特)。 | 1個 | 建立專用網路和交換器 |
| vSwitch | 可用性區域:
| 3個 | 建立專用網路和交換器 |
| ECS執行個體 |
| 3台 | 建立ECS執行個體 |
| EIP |
| 4個 | 申請EIP |
| 共用頻寬 |
| 1個 | 建立共用頻寬執行個體 |
步驟二:建立兩個公網NAT Gateway執行個體
在建立的VPC內建立兩個按使用量計費的公網NAT Gateway執行個體,名稱為NATGW-1和NATGW-2,其中NATGW-1用於綁定在vSwitch1內,NATGW-2用於綁定在vSwitch2和vSwitch3內。
- 登入NAT Gateway管理主控台。
- 在公網NAT Gateway頁面,單擊建立NAT Gateway。
首次使用NAT Gateway時,在建立公網NAT Gateway頁面關聯角色建立地區,單擊建立關聯角色。角色建立成功後即可建立NAT Gateway。
關於NAT Gateway服務關聯角色的更多資訊,請參見服務關聯角色。在建立公網NAT Gateway頁面,配置以下購買資訊,然後單擊立即購買。
配置
說明
付費模式
預設選擇為隨用隨付,即一種先使用後付費的付費模式。更多資訊,請參見公網NAT Gateway計費。
資源群組
選擇VPC所屬的資源群組。更多資訊,請參見資源群組概述。
標籤
標籤鍵:選擇或輸入完整的標籤鍵。
最多支援輸入20個標籤鍵。一個標籤鍵最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。
標籤值:選擇或輸入完整的標籤值。
最多支援輸入20個標籤值。一個標籤值最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。
所屬地區
選擇需要建立公網NAT Gateway的地區。
所屬專用網路
選擇公網NAT Gateway所屬的VPC。建立後,不能修改公網NAT Gateway所屬的VPC。
關聯交換器
選擇公網NAT Gateway執行個體所屬的交換器。
計費類型
預設選擇為按使用量計費,即按公網NAT Gateway實際使用量收費。更多資訊,請參見公網NAT Gateway計費。
計費周期
預設選擇為按小時,即按使用量計費公網NAT Gateway的計費周期為1小時,不足1小時按1小時計算。
執行個體名稱
設定公網NAT Gateway執行個體的名稱。
執行個體名稱長度為2~128個字元,以英文大小字母或中文開頭,可包含數字、底線(_)和短劃線(-)。
訪問模式
選擇公網NAT Gateway的訪問模式。支援以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT Gateway建立成功後當前VPC內所有執行個體即可通過該公網NAT Gateway訪問公網。
選擇VPC全通模式(SNAT)後,您需要配置Elastic IP Address(Elastic IP Address,簡稱EIP)的相關資訊。
稍後配置:如需稍後配置或有更多配置需求,可在購買完成後,前往控制台進行配置。
選擇稍後配置,則只購買公網NAT Gateway執行個體。
本文選擇稍後配置。
在確認訂單頁面確認公網NAT Gateway的配置資訊,選中服務合約並單擊確認訂單。
當出現恭喜,購買成功!的提示後,說明您建立成功。
步驟三:為vSwitch2和vSwitch3添加自訂路由表
路由表由路由條目組成,每條路由條目指定了網路流量的目的地。除預設路由表外,您還可以建立自訂路由表,管理網路流量。
- 登入專用網路管理主控台。
- 在左側導覽列,單擊路由表。
- 選擇要建立的路由表的地區。本文選擇華北5(呼和浩特)地區。
自訂路由表功能支援的地區資訊,請參見自訂路由表發布及地區支援情況。
- 在路由表頁面,單擊建立路由表。
- 在建立路由表頁面,根據以下資訊配置路由表,然後單擊確定。
配置 說明 資源群組 選擇路由表所屬的資源群組。 專用網路 選擇路由表所屬的專用網路。 名稱 輸入路由表的名稱。 名稱長度為2~128個字元,以英文字母或中文開頭,可包含數字、底線(_)和短劃線(-)。
描述 輸入路由表的描述。 描述長度為2~256個字元,不能以
http://和https://開頭。 - 在路由表頁面,找到目標路由表,單擊路由表ID。
- 在路由表基本資料頁面,單擊已綁定交換器頁簽,然後單擊綁定交換器。
- 在綁定交換器頁面,分別選擇要綁定的vSwitch2和vSwitch3,然後單擊確定。
- 單擊頁簽,然後單擊添加路由條目,在添加路由條目面板設定以下配置資訊。
配置 說明 名稱 輸入路由條目的名稱。 名稱長度為2~128個字元之間,以英文字母或中文開頭,可包含數字、底線(_)和短劃線(-)。
目標網段 輸入要轉寄到的目標網段,本文設定為0.0.0.0/0。 下一跳類型 選擇下一跳類型為NAT Gateway:將目的地址在目標網段範圍內的流量路由至選擇的NAT Gateway。 NAT Gateway 選擇下一跳執行個體為步驟二:建立兩個公網NAT Gateway執行個體中建立的 NATGW-2網關。添加完成後,建立的自訂路由表中會增加一條指向NATGW-2的自訂路由條目。
步驟四:將3個5 Mbps頻寬的EIP綁定到一個共用頻寬
- 登入共用頻寬管理主控台。
- 在頂部功能表列處,選擇共用頻寬執行個體的地區。本文選擇華北5(呼和浩特)地區。
- 在共用頻寬頁面,找到目標共用頻寬執行個體,然後在操作列單擊添加IP。
- 在添加IP面板,選擇從已有EIP列表選取,然後選擇可用EIP,最後單擊確定。將3個5 Mbps頻寬的EIP加入1000 Mbps共用頻寬後,這3個EIP會共用1000 Mbps頻寬。
步驟五:將4個EIP逐個綁定到公網NAT Gateway
將建立的EIP綁定到步驟二:建立兩個公網NAT Gateway執行個體中建立的公網NAT Gateway執行個體中,其中EIP1綁定到NATGW-1,EIP2、EIP3和EIP4綁定到NATGW-2。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列處,選擇公網NAT Gateway的地區。本文選擇華北5(呼和浩特)地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在Elastic IP Address列單擊立即綁定。
- 在綁定Elastic IP Address對話方塊,配置以下參數,然後單擊確定。
配置 說明 所在資源群組 選擇EIP所在的資源群組。 選擇Elastic IP Address 選擇從已有Elastic IP Address中選擇,然後在下拉式清單中選擇EIP: - 當綁定EIP到
NATGW-1時,選擇建立的50 Mbps的EIP執行個體。 - 當綁定EIP到
NATGW-2時,選擇已加入共用頻寬的3個EIP執行個體。
綁定成功後,在公網NAT Gateway執行個體的Elastic IP Address列將會顯示出已綁定的EIP。 - 當綁定EIP到
步驟六:建立SNAT條目
公網NAT Gateway的SNAT功能可以為VPC中無公網IP的ECS執行個體提供訪問互連網的代理服務。為NATGW-1建立1條SNAT條目,為NATGW-2建立2條SNAT條目。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列處,選擇公網NAT Gateway的地區。本文選擇華北5(呼和浩特)地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT。
- 在SNAT管理頁簽,單擊建立SNAT條目。
- 在建立SNAT條目頁面,配置以下參數,然後單擊確定建立。
- 當為NATGW-1建立SNAT條目時,選擇vSwitch1。
- 當為NATGW-2建立SNAT條目時,請將vSwitch2和vSwitch3都指向同一個SNAT中綁定的EIP。
配置
說明
SNAT條目粒度
選擇SNAT條目的粒度。本文以選擇交換器粒度為例:指定交換器下的ECS執行個體通過配置的公網IP訪問公網。
選擇交換器:在下拉式清單中選擇交換器。
說明如您選擇多個交換器,將會為您建立多條SNAT條目,使用相同的公網IP地址。
交換器網段:選擇後顯示交換器的網段。
選擇公網IP地址
選擇用來提供公網訪問的公網IP。本文以選擇使用單IP為例,在下拉式清單中選擇步驟二中綁定至公網NAT Gateway的EIP。
條目名稱
輸入SNAT條目的名稱。
步驟七:建立DNAT條目
通過NAT Gateway的DNAT功能,可以將NAT Gateway上的公網IP映射給ECS執行個體使用,使ECS執行個體能夠提供互連網服務。為NATGW-2建立2條DNAT條目。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列處,選擇公網NAT Gateway的地區。本文選擇華北5(呼和浩特)地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定DNAT。
- 在DNAT管理頁簽,單擊建立DNAT條目。
- 在建立DNAT條目頁面,配置DNAT條目參數,然後單擊確定建立。為vSwitch2和vSwitch3設定以下DNAT規則。
配置 說明 選擇公網IP地址 在下拉式清單選擇要提供互連網通訊的EIP。 選擇私網IP地址 選擇要通過DNAT規則進行互連網通訊的ECS執行個體。選擇通過ECS或彈性網卡進行選擇:從ECS執行個體或彈性網卡列表中選擇ECS執行個體。 連接埠設定 選擇DNAT映射的方式,選擇具體連接埠。 vSwitch2和vSwitch3的設定如下:- vSwitch2:
- 公網連接埠:進行連接埠轉寄的外部連接埠,設定為22。
- 私網連接埠:進行連接埠轉寄的內部連接埠,設定為22。
- 協議類型:轉送連接埠的協議類型,選擇TCP。
- vSwitch3:
- 公網連接埠:進行連接埠轉寄的外部連接埠,設定為22。
- 私網連接埠:進行連接埠轉寄的內部連接埠,設定為22。
- 協議類型:轉送連接埠的協議類型,選擇TCP。
TCP協議、22連接埠通行。條目名稱 DNAT條目的名稱。 名稱長度為2~128個字元,以大小寫字母或中文開頭, 可包含數字、底線(_)和短劃線(-)。
- vSwitch2:
步驟八:測實驗證和指標監控
測試ECS執行個體訪問公網的能力
登入ECS執行個體,以vSwitch1下的ECS1為例,執行以下操作步驟,驗證ECS執行個體訪問公網的能力,並可查看該ECS執行個體上綁定的SNAT地址。
- 登入vSwitch1下的ECS1。更多資訊,請參見ECS串連方式概述。
- 執行
ping命令,ping www.aliyun.com測試網路連通性。如果能接收到回複報文,表示串連成功。經測試,ECS1可以訪問互連網。
- 執行
curl myip.ipip.net命令查看ECS1的公網出口IP,然後再執行ifconfig查看ECS1的私網IP。經測試,ECS1的公網出口IP是NATGW-1SNAT條目中的公網IP地址。
測試ECS執行個體對外提供公網服務的能力
- 登入本地Linux裝置。
- 執行
ssh root@公網IP命令,此處的公網IP即為NATGW-2的DNAT條目中的公網IP地址,然後輸入ECS2執行個體的登入密碼,查看是否可以遠端連線到執行個體。若介面上出現Welcome to Alibaba Cloud Elastic Compute Service!時,表示您已經成功串連到執行個體,即ECS2通過NATGW-2的DNAT功能提供公網訪問能力。
- 執行
ifconfig命令,查看到IP資訊與ECS2的私網IP一致,證明該ECS執行個體提供公網服務。
查看監控指標
- 登入NAT Gateway管理主控台。
- 在頂部功能表列處,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway,然後在監控列單擊
表徵圖查看監控。關於公網NAT Gateway的監控指標,請參見查看NAT Gateway監控。