基于私网NAT网关和云专线实现混合云互通
应用场景
在企业混合云架构中,当云上VPC中的云服务器需要与用户本地数据中心(IDC)进行通信时,如果云上VPC的私网地址不是IDC信任分的私网地址,将会导致通信失败。您可以通过配置NAT网关,结合云专线(或VPN)服务实现云上VPC与云下IDC的混合云互通。
方案架构
- 通过云专线(或VPN)将用户IDC与中转VPC连通。
- 配置私网NAT网关,使用SNAT(DNAT)规则将源地址(目的地址)转换成中转VPC中的中转IP(用户IDC信任的私网地址)。
图1 组网图
方案优势
混合云场景中,云上VPC与线下IDC互通时,需要将VPC内云主机实例的私网地址映射为受IDC信任的私网地址,以此来满足安全合规等要求。
约束与限制
- IDC网段与中转VPC、业务VPC中的子网网段都不能重叠,否则无法通信。
- 需要在中转VPC中自定义私网网段,用来为业务VPC中的资源做私网地址映射,一般为用户IDC信任的私网网段或私网地址。
资源和成本规划
|
资源 |
资源名称 |
资源说明 |
数量 |
|---|---|---|---|
|
虚拟私有云(VPC) |
VPC-Test01 |
业务VPC,VPC子网网段为:192.168.0.0/24。 |
1 |
|
VPC-Test02 |
中转VPC,VPC子网网段为:10.1.0.0/24。 |
1 |
|
|
NAT网关 |
NAT-Private-Test |
购买私网NAT网关,私网NAT网关所在的VPC选择业务VPC(VPC-Test01)。 |
1 |
|
NAT-Ext-Sub-IP-Test |
创建中转IP,中转IP所在的VPC为中转VPC(VPC-Test02),该中转IP地址为:10.1.0.10。 |
1 |
|
|
云专线 |
DC-Test |
使用云专线将用户IDC和中转VPC连通。 |
1 |
|
弹性云服务器(ECS) |
ECS-Test |
购买ECS,该ECS所在的VPC选择业务VPC(VPC-Test01),该ECS的私网地址为:192.168.0.10。 |
1 |
|
用户线下数据中心(IDC) |
IDC-Test |
用户IDC网段为:10.0.0.0/24,其中包含的服务器私网IP为:10.0.0.62。 |
1 |
- 在本方案中,将ECS的私网地址192.168.0.10通过私网NAT网关映射为用户IDC信任的私网地址10.1.0.10。
- 本方案所需的VPC、NAT网关、云专线、ECS需在同一区域。
操作步骤
- 创建业务VPC和中转VPC
具体操作请参见创建虚拟私有云和子网。
- 配置云专线(或VPN)
在IDC和中转VPC所在的区域之间创建云专线。具体操作请参见配置云专线。
- 购买并配置私网NAT网关
在指定区域购买私网NAT网关,选定业务VPC。具体操作请参见购买私网NAT网关。
- 创建中转IP
中转VPC选择VPC-Test02,中转IP选择手动分配,IP地址为:10.1.0.10。
- 添加SNAT规则
进入到上述购买的私网NAT网关的“SNAT规则”页签,单击“添加SNAT规则”,子网选择业务VPC中需要做地址映射的子网(网段为:192.168.0.0/24),中转IP选择上述步骤4创建好的中转IP。
- 添加DNAT规则
进入到上述购买的私网NAT网关的“DNAT规则”页签,单击“添加DNAT规则”,本端网络的实例类型选择服务器(私网地址为:192.168.0.10),中转网络的中转IP选择上述步骤4创建好的中转IP。更多配置详情请参见添加DNAT规则。
- 配置路由
- 在业务VPC中添加指向私网NAT网关的路由,目的地址配置为IDC的网段(目的网段:10.0.0.0/24)。
- 在目的网段包含的服务器(私网地址为:10.0.0.62)中添加入方向安全组规则,用于将发到目的端的流量全部放通。
配置验证
配置完成,测试连通性。
登录业务VPC中的ECS(ECS-Test),ping对端IDC(目的网段)中的私网IP(10.0.0.62)。
