1、场景描述

客户业务上云时通常会将面向internet用户服务的前端服务部署在云上，客户线下IDC机房的其他系统要与云上业务系统进行互通。同时部分客户线下IDC机房没有公网出口或者公网出口带宽有限，希望通过云上进行公网出口统一管理，实现线下IDC机房公网出口的高可用、动态按需调整。

2、方案说明

通过云专线，NAT网关、弹性IP、共享带宽等产品，实现用户云上、线上混合部署，统一管理公网出口，实现线下IDC机房公网出口的高可用、动态按需调整。

• 用户线下IDC机房通过云专线与云上VPC互通，实现线下、云上混合部署；
• 创建NAT网关，为线下IDC机房服务器配置SNAT规则，实现线下通过云专线使用NAT与公网internet互通；
• NAT网关SNAT规则绑定多个弹性IP、多个弹性IP加入共享带宽。避免其中一个弹性公网IP被攻击封堵时，最大程度保障使用其他弹性公网IP的业务正常运行。从而实现云上公网出口高可用以及带宽需求按需调整；
• 线下IDC机房根据本地实际情况进行路由配置：
  • 若本地有公网出口，结合云上公网出口，配置不同优先级路由，为线下IDC构建主备高可用公网出口；
  • 若本地无公网出口，则配置路由让线下IDC使用云上公网出口与internet互通。

方案优势：

• 云上统一管理公网出口，实现线下IDC机房公网出口的高可用、动态按需调整。
• 共享带宽统一带宽管理，节省带宽使用成本。

3、配置步骤

（1）创建云专线专线网关，绑定云上VPC，配置VPC侧路由、客户侧路由。

• VPC侧路由：专线网关在添加VPC侧路由配置时支持基于”其他目的网段配置”类型的自定义地址段添加，可以配置0.0.0/0，用于把访问internet流量引入VPC。

• 客户侧路由：配置客户侧路由，将去往用户线下IDC的流量引到用户侧CPE设备。

（2）创建NAT网关，配置SNAT、DNAT规则，VPC路由，为用户线下IDC资源构建公网出口。

• 创建NAT网关，绑定所属VPC。

• SNAT规则配置：使用SNAT自定义地址段规则，输入线下IDC机房需要访问internet的主机地址段，绑定期望使用的弹性IP地址。
• DNAT规则：使用DNAT自定义后端地址输入方式，输入需要被Internet访问的后端主机地址及端口。

• VPC路由配置：0.0.0/0的默认路由前缀，下一跳NAT网关。

• 去往用户线下IDC机房的路由，云专线网关会自动同步到VPC默认路由表中。

（3）将多个弹性IP加入同一共享带宽中，共享带宽资源。按需对共享带宽进行变配调整，简化出口带宽管理。