背景介绍
由于早期网络规划单一或后期的业务合并,可能导致需要实现云上地址重叠的两个VPC的资源互通,您可以通过私网NAT网关的SNAT、DNAT功能统一私网出口来实现地址冲突情况下的多VPC互连需求。
准备工作
环境准备
| 资源规划 | VPC-1 | VPC-2 |
|---|---|---|
| 业务子网 | 192.168.1.0/24 | 192.168.1.0/24 |
| 中转子网 | 192.168.3.0/24 | 192.168.4.0/24 |
| 中转IP地址 | 192.168.3.5 | 192.168.4.5 |
| ECS | 192.168.1.x | 192.168.1.x |
| 对等连接 | Peering-test | Peering-test |
操作步骤
步骤一:创建中转子网
步骤二:购买私网NAT网关
步骤三:创建中转IP地址(可选)
步骤四:创建对等连接
步骤五:配置路由
步骤六:配置SNAT规则
步骤七:配置DNAT规则
步骤八:配置安全组规则
步骤九:测试连通性
步骤一:创建中转子网
步骤说明
选择两个与已有冲突子网地址段不冲突的两个地址段,分别在需要互访的两个VPC创建新的中转子网;新建的两个中转子网用于创建私网NAT网关,且两个子网会成为私网NAT网关默认的中转网段。
操作步骤
具体操作参见创建VPC。
步骤二:购买私网NAT网关
步骤说明
购买私网NAT网关必须指定所在VPC、子网。此处指定弹性云主机所在的VPC及已创建的中转子网。您需要分别在VPC1和VPC2中各创建一个私网NAT网关。
操作步骤
- 登录天翼云控制台,选择”网络>NAT网关>私网NAT网关”。
- 进入NAT网关控制台,点击右上角“创建私网NAT网关”。
- 选择付费方式,填写名称,选择可用区,VPC、子网,选择规格,点击“下一步”。
- 确认规格,选择我已阅读并同意相关协议,单击“确认下单”,完成私网NAT网关的创建。
步骤三:创建中转IP地址(可选)
步骤说明
当私网NAT网关创建时,会自动创建一个中转IP地址;用户可按需再创建其他的中转IP地址,中转IP地址属于中转子网。
操作步骤
- 登录天翼云控制中心,选择目标区域节点。选择“网络>NAT网关>私网NAT网关”,进入私网NAT网关页面。
- 点击需要添加中转IP地址的私网NAT网关名称,进入私网NAT网关详情页,下拉至中转IP地址标签页,点击添加中转IP。
- 根据界面提示,配置中转IP地址的基本信息,可选自动分配或手动分配。
- 配置完成上述信息,点击“确定”,完成中转IP的添加。
步骤四:创建对等连接
步骤说明
通过创建VPC peering,来连通两个待互连的VPC。
操作步骤
具体操作参见创建对等连接。
步骤五:配置路由
步骤说明
为了管理私网NAT的网络流量,您需要配置两张路由表。您需要分别为VPC1和VPC2同时配置好默认路由表和中转子网的子网路由表。
操作步骤
配置默认路由表:将云主机业务流量引流到私网NAT网关
- 单击“路由表“页签,进入路由表页面。
- 点击虚拟私有云已绑定的”默认路由表“进入路由规则页面。
- 在路由规则页面单击“创建“,在弹出页面,选择
- IP类型:IPv4
- 目的地址:x.x.x.x/x(目标网段:对端VPC中转子网)
- 下一跳类型:NAT网关
- NAT网关:选择刚创建的私网NAT网关
- 点击“确定”,完成默认路由指向私网NAT网关。
配置自定义路由表:将私网NAT网关的流量引流到目标VPC
- 为私网NAT网关所在子网,创建一张“自定义路由表”,并绑定中转子网,进入路由规则页面。
- 在路由规则页面单击“创建“,在弹出页面,选择
- IP类型:IPv4
- 目的地址:x.x.x.x/x(目标网段:对端VPC中转子网)
- 下一跳:对等连接网关
- 对等连接网关:选择步骤四中创建好的对等连接网关
- 点击“确定”,完成私网NAT网关的转发路由配置。
步骤六:配置SNAT规则
步骤说明
私网NAT网关创建成功后,您需要创建SNAT规则。通过创建SNAT规则,您可以将该子网下的云主机通过中转IP地址访问其他云资源。
操作步骤
- 登录天翼云控制中心,选择目标区域节点。选择“网络>NAT网关>私网NAT网关”,进入私网NAT网关页面。
- 点击需要添加中转IP地址的私网NAT网关名称,进入私网NAT网关详情页,下拉至SNAT规则标签页,点击添加SNAT规则。
- 在弹出页面选择配置:
- 源网段类型:选择VPC内子网
- 子网/源网段:选择云主机所在子网
- 中转IP:选择步骤三中创建的中转IP地址
- 单击”确定”,完成SNAT规则的添加。
- 等待SNAT规则状态变为运行中,即完成SNAT规则配置。
步骤七:配置DNAT规则
步骤说明
私网NAT网关创建成功后,您需要创建DNAT规则。通过创建DNAT规则,您可以将该子网下的云主机通过中转IP地址对外提供服务。
操作步骤
- 登录天翼云控制中心,选择目标区域节点。选择“网络>NAT网关>私网NAT网关”,进入私网NAT网关页面。
- 点击需要添加中转IP地址的私网NAT网关名称,进入私网NAT网关详情页,下拉至DNAT规则标签页,点击添加DNAT规则。
- 在弹出页面选择配置:
- 中转IP:选择步骤三中创建的中转IP地址
- 类型:选择VPC内子网
- 服务器:云主机
- 网卡:选择ECS对应的网卡实例
- 中转端口:80
- 内网端口:80
- 支持协议:TCP
- 单击”确定”,完成DNAT规则的添加。
- 等待DNAT规则状态变为运行中,即完成DNAT规则配置。
步骤八:配安全组规则
步骤说明
在目标VPC中的ECS实际中添加入方向安全组规则,用于放行私网NAT过来的访问流量。
操作步骤
具体操作参见添加安全组规则。
步骤九:测试连通性
步骤说明
我们通过验证弹性云主机是否可以通过私网NAT网关访问另一个VPC的ECS服务,来测试网络连通性。
操作步骤
- 登录天翼云控制台,选择”计算>弹性云主机”。
- 进入弹性云主机控制台,选择准备工作中创建的弹性云主机,点击右侧“远程登录”登录弹性云主机。
- 登录完成,通过nc访问的云资源DNAT后的地址及端口,测试云主机是否能够通过私网NAT网关访问。
说明弹性云主机可以通过转换后的中转IP地址,实现重叠地址段的服务访问。
