通过标准型 NAT 实现跨 VPC 访问公网

PDF

聚焦模式

字号

最后更新时间： 2024-08-01 14:14:59

使用场景
用户在某个 VPC 建立了 NAT 网关，同 VPC 或者其他 VPC（包括同地域，跨地域，跨账号）的 CVM 实例希望通过 NAT 网关出公网。
限制条件
跨 VPC 访问公网功能，当前仅标准型 NAT 网关支持，传统型 NAT 网关不支持。
不同 VPC 的 NAT 路由不支持同时发布到 云联网（Cloud Connect Network，CCN）。
标准型 NAT 网关正在灰度测试中。如需使用，请 提交工单 申请。
配置原理
用户创建 NAT 网关，并配置目的网段为公网地址且下一跳为 NAT 的路由之后，同 VPC 的 CVM 实例即可通过 NAT 的路由出公网；将 NAT 的路由发布到 CCN 之后，关联 CCN 的其他 VPC 即可通过 CCN 和 NAT 出公网。
说明：
云联网为独立产品，使用 CCN 会产生相关费用，详情请参考 计费总览。
﻿
使用流程
步骤一：在北京 VPC 创建标准型 NAT 网关
登录 NAT 网关控制台，可参见 创建 NAT 网关，创建示例 NAT 网关：vpc_bj_nat。
说明：
NAT 网关所在的 VPC 不能存在 VPN 网关。
﻿
步骤二：新增路由策略
登录 路由表控制台，在示例北京 VPC：vpc_bj_nat 的路由表中创建一条路由策略，例如0.0.0.0的默认路由，下一跳为 NAT 网关。详细操作，可参见 配置指向 NAT 网关的路由。
此时同 VPC 的 CVM 即可通过该路由出公网。
﻿
步骤三：确认广州 VPC 的 CVM
登录 CVM 控制台，确保在广州 VPC 已有 CVM 实例，例如广州 VPC 的 CVM 实例：cvm_gz，若没有 CVM，可参见 创建 CVM 实例。
﻿
步骤四：创建 CCN 并加入 CCN
登录 私有网络-云联网 控制台，参考文档 新建云联网实例 和 关联网络实例，将 NAT 网关所在的北京 VPC 加入 CCN，将 cvm_gz 实例所在的广州 VPC 加入 CCN，可参见 关联网络实例。
说明：
1. 此处的 CVM 实例可以是同地域，跨地域，跨账号的 VPC；地域不受限制。
2. 流程上也可以先把北京 VPC 加入 CCN，再创建 NAT 路由和创建广州 VPC 下的 CVM。
﻿
步骤五：NAT 路由发布到 CCN
登录 私有网络-路由表 控制台，将所创建 NAT 网关的路由发布到 CCN，详细操作，可参见文档 管理路由策略。
说明：
1. 不支持不同 VPC 的 NAT 的路由发布到 CCN。
2. 仅支持单个 VPC 的 NAT 的路由发布到 CCN，并且支持该 VPC 的多条 NAT 的路由发布到 CCN。
﻿
﻿
注意：
1. NAT 的路由发布到 CCN 时，系统会自动创建一个名称为"system-auto-for-nat-ccn"路由表：关联子网为0，用于公网回向流量的路由，即 NAT 网关指向 CCN 的路由，用户一般无需修改它。
2. 一个 VPC 仅会创建一个"system-auto-for-nat-ccn"路由表，已经存在则不再重复创建。最后一个 NAT 路由从 CCN 撤销时或者 VPC 和 CCN 解绑时会自动删除该路由表。
如下所示：NAT 所在 VPC：vpc_bj_nat 的路由表列表页：
﻿
步骤六：启用路由
当 NAT 路由为0.0.0.0的默认路由时，由于路由的目的 CIDR 存在冲突，需要手动启用路由。登录 私有网络-云联网 控制台，详细操作，可参见 启用路由。
﻿
﻿
﻿
步骤七：流量验证
在 CVM 上可以 ping 通，即可访问外网。
﻿
删除流程
步骤一：路由撤销
登录 私有网络-路由表 控制台，将 NAT 网关的路由从 CCN 撤销。
﻿
﻿
步骤二：路由校验
登录 私有网络-路由表 控制台，查看"system-auto-for-nat-ccn"路由表也被联动删除了。如下所示：NAT 所在 VPC：vpc_bj_nat 的路由表列表页。
﻿
登录 私有网络-云联网 控制台，查看 CCN 路由表里的0.0.0.0的路由也联动删除了。
﻿
﻿
﻿
﻿