同一個VPC內支援建立多個公網NAT Gateway,您可以通過不同的公網NAT Gateway轉寄去往不同目的地址的流量,並可以針對不同的公網NAT Gateway做不同的安全防護,實現更精細化地部署公網訪問網路。
同VPC內部署多公網NAT Gateway的情境說明
本文以下圖情境為例,介紹如何在同一個VPC內通過部署多個公網NAT Gateway,結合路由表實現多業務系統公網出口的靈活分配與隔離。
一個VPC內部署多個公網NAT Gateway(NATGW-1和NATGW-2),分別位於vSwitch-A1和vSwitch-A2中。
將vSwitch-A1和vSwitch-A2分別綁定至不同的路由表,並為每個路由表添加預設路由(0.0.0.0/0)指向不同的NAT Gateway,以實現內網流量的分流。
通過為不同業務的ECS執行個體配置SNAT條目,指定Elastic IP Address,實現公網流量分流和隔離。
通過配置DNAT條目,將外部使用者的公網流量轉寄至內部ECS執行個體,以滿足外部使用者的遠端存取需求。
配置步驟
步驟一:準備雲網路資源
在為交換器部署公網NAT Gateway之前,您需首先建立VPC、vSwitch、ECS、EIP等雲資源。
雲網路資源 | 規格描述 | 數量 | 具體操作 |
VPC | 地區:西南1(成都)。 | 1個 | |
vSwitch | 2個 | ||
ECS執行個體 |
| 3台 | |
EIP | 地區:西南1(成都)。 | 3個 |
步驟二:建立公網NAT Gateway
在公網NAT Gateway頁面,單擊建立公網NAT Gateway。
在NAT Gateway頁面,配置以下購買資訊,然後單擊立即購買。
配置項
說明
執行個體名稱
分別建立執行個體名稱
NATGW-1和NATGW-2的公網NAT Gateway,以便後續在添加路由條目時進行選擇。地區
選擇需要建立公網NAT Gateway的地區。
網路及可用性區域
請選擇NAT Gateway所屬的VPC和交換器。建立成功後,無法進行修改或切換。
NATGW-1執行個體選擇vSwitch-A1。NATGW-2執行個體選擇vSwitch-A2。
網路類型
本文選擇公網NAT Gateway。
公網NAT Gateway:具備網路位址轉譯能力,可以綁定Elastic IP Address,從而為ECS執行個體提供訪問互連網的能力,實現私網和公網之間的通訊。
VPC NAT Gateway:同樣具備網路位址轉譯能力,但無法綁定Elastic IP Address,只能為ECS執行個體提供私網內部的地址轉換,適用於內網地址隱藏、地址衝突規避等情境。
Elastic IP Address
本文選擇:稍後配置。
步驟三:綁定Elastic IP Address
將EIP1綁定至NATGW-1,將EIP2和EIP3綁定至NATGW-2。
在公網NAT Gateway頁面,找到目標執行個體,單擊Elastic IP Address列下的立即綁定。
在綁定Elastic IP Address面板,選擇從已有Elastic IP Address中選擇,然後在下拉式清單中選擇EIP。
以NATGW-2綁定EIP2和EIP3為例進行說明。
說明每綁定一個Elastic IP Address,將佔用NAT Gateway所在交換器的一個私網IP地址。請確保該交換器具有足夠的可用私網IP地址,否則將無法成功綁定新的Elastic IP Address。
步驟四:建立SNAT條目和DNAT條目
在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT。
在SNAT管理頁簽,單擊建立SNAT條目。
在建立SNAT條目頁面,配置以下參數,然後單擊確定建立。
以NATGW-2為例,建立SNAT條目以便為ECS2執行個體提供通過EIP1訪問互連網的能力。您也可根據自身需求調整SNAT條目粒度。
配置項
說明
SNAT條目粒度
本次選擇ECS/彈性網卡粒度,在通過ECS或彈性網卡進行選擇下拉式清單中選擇ECS2執行個體。
VPC粒度:適用於需要讓VPC內所有ECS執行個體,以及通過CEN或專線等產品實現內網互連並配置了0.0.0.0/0路由條目指向該VPC的其他VPC或資料IDC內的ECS執行個體,統一通過同一Elastic IP Address訪問公網的情境。
交換器粒度:適用於對公網訪問有精細控制需求,只允許指定的交換器具備公網訪問能力的情境。
ECS/彈性網卡粒度:適用於對公網訪問有精細控制需求,只允許指定的ECS執行個體或彈性網卡具備公網訪問能力的情境。
自訂網段粒度:適用於需要靈活指定任意IP網段,通過NAT Gateway統一配置公網訪問能力的情境,可覆蓋VPC內、跨VPC或跨本地IDC等各種網路環境,滿足複雜或定製化網路結構的需求。
說明當您選擇多個交換器或ECS/彈性網卡時,將為您建立多條SNAT條目,這些條目將使用相同的公網IP地址。
選擇Elastic IP Address地址
單擊Elastic IP Address,在下拉式清單中選擇EIP2。
在DNAT管理頁簽,單擊建立DNAT條目。
在建立DNAT條目頁面,配置以下參數,然後單擊確定建立。
為ECS3建立DNAT條目,本文以SSH服務作為遠端存取的驗證方式,請確保ECS3執行個體所屬安全性群組已放通22號連接埠,具體操作請參見管理安全性群組規則。您可以根據自身實際需求建立對應的DNAT條目。
說明SSH服務:採用連線導向的TCP協議傳輸,應用22號連接埠。
步驟五:為vSwitch-A2綁定自訂路由表
路由表由路由條目組成,每條路由條目指定了網路流量的目的地。除預設路由表外,您還可以建立自訂路由表,管理網路流量。
在左側導覽列,單擊路由表,在路由表頁面,單擊建立路由表。
在路由表頁面,找到目標執行個體,單擊綁定資源>立即綁定。
在路由條目列表頁簽,單擊。配置完成後,如下圖所示:
結果驗證
ECS執行個體訪問公網。
通過Workbench控制台依次登入ECS1、ECS2執行個體,執行如下命令。
ping 223.5.5.5
curl myip.ipip.net
外部使用者遠程登入ECS執行個體
登入本地裝置,以Windows作業系統為例,開啟命令提示字元(CMD),並執行如下命令。
ssh root@EIP3
ifconfig