通过NAT网关实现APIG专享版NLB实例的公网出口访问

应用场景

APIG专享版NLB实例部署在无弹性公网IP（EIP）的私有子网中，因此访问公网后端服务需要配置公网NAT网关实现。通过配置公网NAT网关的SNAT规则，可实现实例安全、可控地访问互联网。

方案架构

客户端通过私有连接访问VPC内的APIG，后端若需访问公网则经由NAT网关出站，全程保持安全隔离。

前提条件

• 已创建APIG专享版NLB系列规格实例。如果未创建，请创建APIG实例。NLB系列规格实例受限使用，如需使用，请提交工单申请扩展。
• 已创建API。如果未创建，请创建API。

创建NAT网关

为解决私有子网内NLB实例的公网访问需求，需创建公网NAT网关并配置SNAT规则，以此为NLB实例提供安全可控的公网出口，实现对公网后端服务的访问。

1. 进入购买公网NAT网关页面。
2. 在“购买公网NAT网关”页面，请根据下表参数说明配置参数，其余参数保持默认配置即可。

   表1 公网NAT网关参数说明

   参数	配置说明
   区域	选择公网NAT网关所在的区域，与APIG实例所属区域保持一致。
   规格	选择公网NAT网关的规格，根据实际情况选择，建议选择“中型”及以上。
   名称	填写公网NAT网关的名称。根据规划自定义，此处填写“public-nat-01”。
   虚拟私有云	公网NAT网关所属的VPC，选择NLB实例所属VPC。 VPC仅在购买公网NAT网关时可以选择，后续不支持修改。
   子网	公网NAT网关所属VPC中的子网，选择NLB实例所属子网。 子网至少有一个可用的IP地址。 子网仅在购买公网NAT网关时可以选择，后续不支持修改。 本子网仅为系统配置NAT网关使用，NAT网关对整个VPC生效，需要在购买后继续添加规则，才能够连通Internet。
   企业项目	企业项目与NLB实例的负载均衡的VPC企业项目一致。

3. 单击“立即购买”，在“规格确认”页面，您可以再次核对公网NAT网关信息。

   确认无误后，单击“提交”，开始创建公网NAT网关。

4. 添加SNAT规则。
   1. 在公网NAT网关页面，单击已创建的NAT网关名称。
   2. 在“SNAT规则”页签中，单击“添加SNAT规则”。
      请根据下表参数说明配置参数，其余参数保持默认配置即可。

      表2 SNAT参数说明

      参数	说明
      使用场景	在使用SNAT访问公网的场景下，此处选择“虚拟私有云”。 表示虚拟私有云中的云主机使用SNAT规则访问公网。
      网段	通过配置虚拟私有云子网中的某个网段，使该网段中的云主机通过SNAT方式访问公网。 此处默认“使用已有”，下拉选择子网网段。
      公网IP类型	用来访问公网的IP，此处默认“弹性公网IP”，并选择一个弹性公网IP。

   3. 单击“确定”

验证

本实践通过直接调用 API 的访问地址（URL）进行测试，验证实例与公网后端服务的连通性。

在APIG的“调试”页面向已创建的API的完整URL发送请求，其中该API的后端服务地址配置为目标业务系统的公网IP。成功收到响应即表明公网出口链路畅通，实例可正常访问外部公网服务。