产品动态
产品公告
通过私网 NAT 实现 VPC 内指定子网和外部资源互访
应用场景
适用于解决 VPC 内指定子网的地址转换,用于 VPC 内指定子网和外部资源的互访。
本文以下述场景为例:在广州的 VPC 内存在多个子网,不允许子网1直接和上海的 VPC 互访,允许子网2直接和上海的 VPC 互访。因此,在本案例中,广州 VPC 子网1通过 SNAT 到其他 IP,实现和上海的 VPC 互访。
配置方案
组网方案可参考图示配置:
步骤一:创建 VPC 资源
广州地域:
创建1个 VPC:vpc-gz-test
创建3个子网:
子网1 vpc-gz-subnet1;其中1台 CVM:vpc-gz-cvm1
子网2 vpc-gz-subnet2;其中0台 CVM:无
子网3 vpc-gz-subnet3;其中1台 CVM:vpc-gz-cvm2
上海地域:
创建1个VPC:vpc-sh-test
创建1个子网:vpc-sh-subnet1;其中1台 CVM:vpc-sh-cvm1
步骤二:创建 CCN 资源,同时绑定步骤1中创建的两个 VPC
步骤三:关闭 CCN 端涉及 NAT 的自学习路由
1. 登录 云联网控制台,单击步骤二中创建的 CCN 实例,进入实例页面。
2. 选择路由表页签,关闭需要 NAT 的子网网段路由(示例中对应 vpc-gz-subnet1)。
说明:
如果用作 NAT IP 的网段也属于某个子网网段或子集,那么需要关闭对应子网的路由,例如 vpc-gz-subnet2 的网段 IP 作为 NAT IP,则关闭 vpc-gz-subnet2 的路由。
步骤四:在广州 VPC(vpc-gz-test) 新建 VPC 类型私网 NAT 网关
步骤五:编辑 NAT 网关规则 (四层 SNAT 规则)
1. 登录 私网 NAT 网关控制台,单击步骤四中创建的 VPC 类型私网 NAT 网关 ID,进入网关详情页。
2. 单击 SNAT 页签,编辑 NAT 网关规则(四层 SNAT 规则)。
说明:
原 IP 是 vpc-gz-cvm1 IP, 映射 IP 池(即 NAT IP) 可以是其它第三方 IP,或者是其它子网网段子集。(例如从 vpc-gz-subnet2 子网网段范围内获取)。
步骤六:配置 vpc-gz-test 端路由
1. 登录 私有网络控制台,在 vpc-gz-test 实例中,新建两个路由表,vpc-gz-rtb1 和 vpc-gz-rtb2,其中 vpc-gz-rtb1 绑定子网1(vpc-gz-subnet1) 。
2. 在路由表 vpc-gz-rtb1 中,关闭所有从 CCN 学习到的路由。
说明:
一旦有新加入云联网的 VPC,都需要在这个路由表中关闭对应学习到的路由条目。
3. vpc-gz-rtb1 中新建路由条目,目的是要访问的网段,下一跳是 步骤四 中新建的 NAT 实例。
4. vpc-gz-rtb2 中新建路由条目,目的是NAT IP网段(如果是其它子网网段分配,则需要是子网网段子集,不能和子网网段完全相同),并且要发布到云联网。
注意:
该目的网段IP必须覆盖 第4步中的映射地址池NAT IP范围。 (推荐二者取相同值)可以从CCN路由表进行确认是否发布成功。
步骤七:流量验证
从广州 vpc-gz-cvm1 ping 上海 vpc-sh-cvm1, 网络正常,并且在 vpc-sh-cvm1 抓包源 IP 是NAT IP。
如流量 ping 不通,可注意以下情况:
1. vpc-gz-rtb1 要禁用CCN发布的路由;
2. vpc-gz-rtb2 不能绑定任何子网;
3. 如果NAT IP是从子网内分配,NATIP网段必须属于子网网段的子集;
4. CCN上要禁用需要NAT的子网路由。(NAT IP如果从其它子网网段分配,则也需要禁用相应网段的路由)
文档反馈