基于EIP和SNAT实现跨区域内网访问iDME服务

应用场景

当用户需要跨区域内网访问iDME公网服务时，可以使用NAT网关（添加SNAT规则）、EIP在用户本地侧和iDME服务侧之间建立网络连通且提高访问速度。

本节中的方案主要介绍如何快速实现多个无弹性公网IP的云主机安全访问iDME云服务，使用公网NAT网关服务共享弹性公网IP，节省弹性公网IP资源，同时按子网配置SNAT规则，轻松构建VPC的公网出口，避免云主机IP直接暴露在公网上。该方案具有以下优势：

• 高安全性：SNAT有安全防护规则，只支持VPC内的ECS实例主动访问公网进行通信，而外部无法主动访问VPC的ECS实例。
• 灵活易用：跨区域部署，公网NAT网关的规格、弹性公网IP，均可以随时调整。配置简单，快速发放，即开即用，运行稳定可靠。
• 低成本：用户无需为云主机访问Internet购买多余的弹性公网IP和带宽资源，多个云主机共享使用弹性公网IP，有效降低成本。

例如：用户的服务器在“华南-广州友好”，希望可以访问“华北-北京四”的iDME服务，那么可以使用本方案。

方案架构

通过在“华南-广州友好”区域购买NAT网关，添加SNAT规则并绑定EIP，来实现访问“华北-北京四”区域的iDME公网服务。

• 弹性公网IP：能提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、NAT网关等资源灵活地绑定及解绑。
• 公网NAT网关：支持将私网IP转换为公网IP，转换后，云上资源即可安全地访问公网或对外提供服务，并且保护私有网络信息不直接对公网暴露。

如图1所示，在本方案中，图中“Region-A”为“华南-广州友好”区域，“Region-B”为“华北-北京四”区域。

资源准备

以在华为云准备表1中的资源为例。

实施步骤

1. 创建虚拟私有云VPC和子网。

   创建流程详细请参考创建虚拟私有云和子网。

2. 购买弹性云服务器。

   购买流程详细请参考购买弹性云服务器。

3. 购买公网NAT网关并绑定至VPC。

   购买配置流程详细请参考购买公网NAT网关。

4. 购买弹性公网IP。

   购买配置流程详细请参考购买弹性公网IP。

5. 添加SNAT规则并绑定至EIP。

   配置流程详细请参考添加SNAT规则。

配置验证

配置完成后，可通过以下两种方式进行验证。

通过Ping方式验证

登录弹性云服务器，执行以下命令，验证ECS-Test和iDME公网服务的通信情况。

ping 公网IP地址或者域名

公网IP地址和公网域名可在数据建模引擎运行服务详情页获取，详细请参见查看数据建模引擎运行服务详情信息。

经测试，ECS-Test可以正常访问应用运行态（iDME公网服务）。

通过API方式验证

通过API方式访问和使用iDME，详细操作指导请参考《iDME API参考》。