全部產品
Search
文件中心

NAT Gateway:同VPC內多公網NAT Gateway部署方案

更新時間:Nov 14, 2024

同一個VPC內支援建立多個公網NAT Gateway,您可以通過不同的公網NAT Gateway轉寄去往不同目的地址的流量,並可以針對不同的公網NAT Gateway做不同的安全防護,實現更精細化地部署公網訪問網路。

同VPC內部署多公網NAT Gateway的情境說明

本文以下圖情境為例,為您介紹如何使用公網NAT Gateway產品在同一個VPC內部署多公網NAT Gateway的網路環境。

同VPC多NAT Gateway方案架構圖

上述情境方案中的交換器對應的情境說明如下:

  • 建立一個VPC並部署3個vSwitch,其中網路安全域1內部署一套公網NAT Gateway(NATGW-1),vSwitch1使用該套網關;網路安全域2內部署另一套公網NAT Gateway(NATGW-2),vSwitch2和vSwitch3共用這套網關。

    • vSwitch1屬於網路安全域1,關聯絡統路由表。獨立公網IP,50 Mbps頻寬;不主動對外暴露公網IP,只允許內部主機主動對外訪問,並要求獨立環境。

    • vSwitch2和vSwitch3屬於網路安全域2,關聯VPC子網路由表。共用網路安全域2內的統一公網出口1 Gbps;既能被外網訪問,同時需要主動訪問公網。

  • 建立一個名為EIP1且頻寬為50 Mbps的EIP,用於綁定NATGW-1的SNAT。

  • 申請一個1 Gbps的共用頻寬,用於NATGW-2,再申請3個名為EIP2、EIP3和EIP4且頻寬均為5 Mbps的EIP,加入到該共用頻寬中,2個EIP分別用於vSwitch2和vSwitch3的DNAT使用,第3個EIP用於兩個vSwitch的SNAT訪問。

  • 配置公網NAT Gateway的監控,針對NATGW-2下不同vSwitch的流量進行監控,監控vSwitch的使用方式。

部署流程

同VPC內多NAT Gateway部署流程

步驟一:準備雲網路資源

在為交換器部署公網NAT Gateway前,您需要先建立VPC、vSwitch、ECS、EIP和共用頻寬等雲資源。

雲網路資源

規格描述

數量

具體操作

VPC

地區:華北5(呼和浩特)。

1個

建立專用網路和交換器

vSwitch

可用性區域

  • 呼和浩特可用性區域A:1個,vSwitch1部署在該可用性區域。

  • 呼和浩特可用性區域B:2個,vSwitch2和vSwitch3部署在該可用性區域。

3個

建立專用網路和交換器

ECS執行個體

  • 付費模式:選擇隨用隨付

  • 地區及可用性區域:選擇華北5(呼和浩特)

  • 執行個體:本文選擇ecs.g6e.large

  • 鏡像:本文選擇Alibaba Cloud Linux 3.2104 64位

  • 網路:已建立的專用網路和交換器。

    • 呼和浩特可用性區域A:1個,ECS1建立在vSwitch1所在可用性區域。

    • 呼和浩特可用性區域B:2個,ECS2和ECS3建立在vSwitch2和vSwitch3所在可用性區域。

  • 公網IP: 選擇不分配。

  • 安全性群組:選擇使用預設安全性群組。

3台

建立ECS執行個體

EIP

  • 付費模式:選擇隨用隨付

  • 地區:華北5(呼和浩特)。

  • 頻寬峰值:1個50 Mbps,3個5 Mbps。

4個

申請EIP

共用頻寬

  • 付費模式:選擇隨用隨付

  • 地區:華北5(呼和浩特)。

  • 峰值頻寬:1000 Mbps。

1個

建立共用頻寬執行個體

步驟二:建立兩個公網NAT Gateway執行個體

在建立的VPC內建立兩個按使用量計費的公網NAT Gateway執行個體,名稱為NATGW-1和NATGW-2,其中NATGW-1用於綁定在vSwitch1內,NATGW-2用於綁定在vSwitch2和vSwitch3內。

  1. 登入NAT Gateway管理主控台

  2. 公網NAT Gateway頁面,單擊建立公網NAT Gateway

  3. 首次使用NAT Gateway時,在建立公網NAT Gateway頁面關聯角色建立地區,單擊建立關聯角色。角色建立成功後即可建立NAT Gateway。

    建立角色 關於NAT Gateway服務關聯角色的更多資訊,請參見服務關聯角色

  4. 在建立公網NAT Gateway頁面,配置以下購買資訊,然後單擊立即購買

    配置

    說明

    付費模式

    預設選擇為隨用隨付,即一種先使用後付費的付費模式。更多資訊,請參見公網NAT Gateway計費

    資源群組

    選擇VPC所屬的資源群組。更多資訊,請參見什麼是資源群組

    標籤

    • 標籤鍵:選擇或輸入完整的標籤鍵。

      最多支援輸入20個標籤鍵。一個標籤鍵最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。

    • 標籤值:選擇或輸入完整的標籤值。

      最多支援輸入20個標籤值。一個標籤值最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。

    所屬地區

    選擇需要建立公網NAT Gateway的地區。

    所屬專用網路

    選擇公網NAT Gateway所屬的VPC。建立後,不能修改公網NAT Gateway所屬的VPC。

    關聯交換器

    選擇公網NAT Gateway執行個體所屬的交換器。

    計費類型

    預設選擇為按使用量計費,即按公網NAT Gateway實際使用量收費。更多資訊,請參見公網NAT Gateway計費

    計費周期

    預設選擇為按小時,即按使用量計費公網NAT Gateway的計費周期為1小時,不足1小時按1小時計算。

    執行個體名稱

    設定公網NAT Gateway執行個體的名稱。

    執行個體名稱長度為2~128個字元,以英文大小寫字母或中文開頭,可包含數字、底線(_)和短劃線(-)。

    訪問模式

    選擇公網NAT Gateway的訪問模式。支援以下兩種模式:

    • VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT Gateway建立成功後當前VPC內所有執行個體即可通過該公網NAT Gateway訪問公網。

      選擇VPC全通模式(SNAT)後,您需要配置Elastic IP Address(Elastic IP Address,簡稱EIP)的相關資訊。

    • 稍後配置:如需稍後配置或有更多配置需求,可在購買完成後,前往控制台進行配置。

      選擇稍後配置,則只購買公網NAT Gateway執行個體。

    本文選擇稍後配置

  5. 確認訂單頁面確認公網NAT Gateway的配置資訊,選中服務合約並單擊確認訂單

    當出現恭喜,購買成功!的提示後,說明您建立成功。

步驟三:為vSwitch2和vSwitch3添加自訂路由表

路由表由路由條目組成,每條路由條目指定了網路流量的目的地。除預設路由表外,您還可以建立自訂路由表,管理網路流量。

  1. 登入專用網路管理主控台
  2. 在左側導覽列,單擊路由表

  3. 選擇要建立的路由表的地區。

    本文選擇華北5(呼和浩特)地區。

    自訂路由表功能支援的地區資訊,請參見自訂路由表發布及地區支援情況

  4. 路由表頁面,單擊建立路由表

  5. 建立路由表頁面,根據以下資訊配置路由表,然後單擊確定

    配置

    說明

    資源群組

    選擇路由表所屬的資源群組。

    專用網路

    選擇路由表所屬的專用網路。

    名稱

    輸入路由表的名稱。

    名稱長度為2~128個字元,以英文字母或中文開頭,可包含數字、底線(_)和短劃線(-)。

    描述

    輸入路由表的描述。

    描述長度為2~256個字元,不能以http://https://開頭。

  6. 路由表頁面,找到目標路由表,單擊路由表ID。

  7. 路由表基本資料頁面,單擊已綁定交換器頁簽,然後單擊綁定交換器

  8. 綁定交換器頁面,分別選擇要綁定的vSwitch2和vSwitch3,然後單擊確定

  9. 單擊路由條目列表 > 自訂路由條目頁簽,然後單擊添加路由條目,在添加路由條目面板設定以下配置資訊。

    配置

    說明

    名稱

    輸入路由條目的名稱。

    名稱長度為2~128個字元之間,以英文字母或中文開頭,可包含數字、底線(_)和短劃線(-)。

    目標網段

    輸入要轉寄到的目標網段,本文設定為0.0.0.0/0

    下一跳類型

    選擇下一跳類型為NAT Gateway:將目的地址在目標網段範圍內的流量路由至選擇的NAT Gateway。

    NAT Gateway

    選擇下一跳執行個體為步驟二:建立兩個公網NAT Gateway執行個體中建立的NATGW-2網關。

    添加完成後,建立的自訂路由表中會增加一條指向NATGW-2的自訂路由條目。

步驟四:將3個5 Mbps頻寬的EIP綁定到一個共用頻寬

  1. 登入共用頻寬管理主控台
  2. 在頂部功能表列處,選擇共用頻寬執行個體的地區。

    本文選擇華北5(呼和浩特)地區。

  3. 共用頻寬頁面,找到目標共用頻寬執行個體,然後在操作列單擊添加IP

  4. 添加IP面板,選擇從已有EIP列表選取,然後選擇可用EIP,最後單擊確定

    將3個5 Mbps頻寬的EIP加入1000 Mbps共用頻寬後,這3個EIP會共用1000 Mbps頻寬。

步驟五:將4個EIP逐個綁定到公網NAT Gateway

將建立的EIP綁定到步驟二:建立兩個公網NAT Gateway執行個體中建立的公網NAT Gateway執行個體中,其中EIP1綁定到NATGW-1,EIP2、EIP3和EIP4綁定到NATGW-2。

  1. 登入NAT Gateway管理主控台

  2. 在頂部功能表列處,選擇公網NAT Gateway的地區。

    本文選擇華北5(呼和浩特)地區。

  3. 公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在Elastic IP Address列單擊立即綁定

  4. 綁定Elastic IP Address對話方塊,配置以下參數,然後單擊確定

    配置

    說明

    所在資源群組

    選擇EIP所在的資源群組。

    選擇Elastic IP Address

    選擇從已有Elastic IP Address中選擇,然後在下拉式清單中選擇EIP:

    • 當綁定EIP到NATGW-1時,選擇建立的50 Mbps的EIP執行個體。

    • 當綁定EIP到NATGW-2時,選擇已加入共用頻寬的3個EIP執行個體。

    綁定成功後,在公網NAT Gateway執行個體的Elastic IP Address列將會顯示出已綁定的EIP。

步驟六:建立SNAT條目

公網NAT Gateway的SNAT功能可以為VPC中無公網IP的ECS執行個體提供訪問互連網的代理服務。為NATGW-1建立1條SNAT條目,為NATGW-2建立2條SNAT條目。

  1. 登入NAT Gateway管理主控台

  2. 在頂部功能表列處,選擇公網NAT Gateway的地區。

    本文選擇華北5(呼和浩特)地區。

  3. 公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT

  4. SNAT管理頁簽,單擊建立SNAT條目

  5. 建立SNAT條目頁面,配置以下參數,然後單擊確定建立

    • 當為NATGW-1建立SNAT條目時,選擇vSwitch1。

    • 當為NATGW-2建立SNAT條目時,請將vSwitch2和vSwitch3都指向同一個SNAT中綁定的EIP。

    配置

    說明

    SNAT條目粒度

    選擇SNAT條目的粒度。本文以選擇交換器粒度為例:指定交換器下的ECS執行個體通過配置的公網IP訪問公網。

    • 選擇交換器:在下拉式清單中選擇交換器。

      說明

      如您選擇多個交換器,將會為您建立多條SNAT條目,使用相同的公網IP地址。

    • 交換器網段:選擇後顯示交換器的網段。

    選擇公網IP地址

    選擇用來提供公網訪問的公網IP。本文以選擇使用單IP為例,在下拉式清單中選擇步驟二中綁定至公網NAT Gateway的EIP。

    條目名稱

    輸入SNAT條目的名稱。

步驟七:建立DNAT條目

通過NAT Gateway的DNAT功能,可以將NAT Gateway上的公網IP映射給ECS執行個體使用,使ECS執行個體能夠提供互連網服務。為NATGW-2建立2條DNAT條目。

  1. 登入NAT Gateway管理主控台

  2. 在頂部功能表列處,選擇公網NAT Gateway的地區。

    本文選擇華北5(呼和浩特)地區。

  3. 公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定DNAT

  4. DNAT管理頁簽,單擊建立DNAT條目

  5. 建立DNAT條目頁面,配置DNAT條目參數,然後單擊確定建立

    為vSwitch2和vSwitch3設定以下DNAT規則。

    配置

    說明

    選擇公網IP地址

    在下拉式清單選擇要提供互連網通訊的EIP。

    選擇私網IP地址

    選擇要通過DNAT規則進行互連網通訊的ECS執行個體。選擇通過ECS或彈性網卡進行選擇:從ECS執行個體或彈性網卡列表中選擇ECS執行個體。

    連接埠設定

    選擇DNAT映射的方式,選擇具體連接埠

    vSwitch2和vSwitch3的設定如下:

    • vSwitch2:

      • 公網連接埠:進行連接埠轉寄的外部連接埠,設定為22

      • 私網連接埠:進行連接埠轉寄的內部連接埠,設定為22

      • 協議類型:轉送連接埠的協議類型,選擇TCP

    • vSwitch3:

      • 公網連接埠:進行連接埠轉寄的外部連接埠,設定為22

      • 私網連接埠:進行連接埠轉寄的內部連接埠,設定為22

      • 協議類型:轉送連接埠的協議類型,選擇TCP

    請確保ECS2和ECS3的安全性群組入方向允許TCP協議22連接埠通行。

    條目名稱

    DNAT條目的名稱。

    名稱長度為2~128個字元,以大小寫字母或中文開頭, 可包含數字、底線(_)和短劃線(-)。

步驟八:測實驗證和指標監控

測試ECS執行個體訪問公網的能力

登入ECS執行個體,以vSwitch1下的ECS1為例,執行以下操作步驟,驗證ECS執行個體訪問公網的能力,並可查看該ECS執行個體上綁定的SNAT地址。

  1. 登入vSwitch1下的ECS1。更多資訊,請參見ECS串連方式概述

  2. 執行ping命令,ping www.aliyun.com測試網路連通性。

    如果能接收到回複報文,表示串連成功。

    經測試,ECS1可以訪問互連網。ping

  3. 執行curl myip.ipip.net命令查看ECS1的公網出口IP,然後再執行ifconfig查看ECS1的私網IP。

    經測試,ECS1的公網出口IP是NATGW-1SNAT條目中的公網IP地址。查看SNAT地址

測試ECS執行個體對外提供公網服務的能力

  1. 登入本地Linux裝置。

  2. 執行ssh root@公網IP命令,此處的公網IP即為NATGW-2的DNAT條目中的公網IP地址,然後輸入ECS2執行個體的登入密碼,查看是否可以遠端連線到執行個體。

    若介面上出現Welcome to Alibaba Cloud Elastic Compute Service!時,表示您已經成功串連到執行個體,即ECS2通過NATGW-2的DNAT功能提供公網訪問能力。test

  3. 執行ifconfig命令,查看到IP資訊與ECS2的私網IP一致,證明該ECS執行個體提供公網服務。

    訪問記錄

查看監控指標

  1. 登入NAT Gateway管理主控台

  2. 在頂部功能表列處,選擇公網NAT Gateway的地區。

  3. 公網NAT Gateway頁面,找到目標公網NAT Gateway,然後在監控列單擊監控表徵圖查看監控。

    關於公網NAT Gateway的監控指標,請參見公網NAT Gateway監控與營運