更新时间:2024-05-06 GMT+08:00
分享

方案概述

应用场景

  • 在不改变现有IDC网络组织架构的前提下,需要将网络组织架构迁移上云,并实现IDC中的两个重叠网段内的主机相互访问
  • 在不改变现有IDC网络组织架构的前提下,需要将网络组织架构迁移上云,并实现以IDC中指定IP地址访问外部资源

例如:

某大型公司拥有多个分公司,分公司之间网段独立规划、存在重叠子网。如图1,部门A和部门B分配了相同的192.168.0.0/24网段,并且两个网段内的主机可以相互访问;另外,根据行业规范要求,部门A需要定期以指定的IP地址访问行业监管部门的主机归档数据。

IDC内业务复杂且庞大,重新规划并整改网段会影响已有业务的正常运行。客户希望能够保持现有网络规划不变,网段免修改上云,上云后重叠子网的主机仍能相互访问,且部门A的主机仍然可以以指定IP地址访问行业监管部门的主机

图1 子公司间的网络存在子网重叠

方案架构

华为云私网NAT网关(Private NAT Gateway)能够为虚拟私有云(Virtual Private Cloud)内的云主机提供网络地址转换服务,实现重叠子网VPC内的主机互访以及主机私网地址映射。弥补了VPC对等连接服务中有重叠子网网段的VPC,不能使用VPC对等连接的约束限制。

图2

  • 将部门A和部门B的192.168.0.0/24网段直接迁移到云上的VPC内,然后使用私网NAT网关实现两个部门的主机相互访问。
  • 同时可以通过配置SNAT规则,将部门A的主机私网地址映射为指定的IP地址10.1.0.55访问外部主机。
图2 华为云私网NAT服务

方案优势

  • 客户不用改造现有网络组织架构,直接将云下IDC业务迁移上云,节省了网络改造的成本。
  • 解决了重叠私网IP地址的主机无法相互访问的问题。
  • 满足了客户对安全性的要求,可以为私网内的主机指定IP地址访问外部资源。

约束与限制

使用私网NAT网关时,您需要注意以下几点:

  • 用户需要在VPC下手动添加私网路由,即通过创建对等连接或开通云专线/VPN连接远端私网。
  • VPC内的每个子网只能添加一条SNAT规则。
  • SNAT规则和DNAT规则不能共用同一个中转IP。
  • DNAT的全端口模式不能和具体端口模式共用同一个中转IP。
  • 私网NAT网关支持添加的DNAT规则和SNAT规则的数量如下:
    • 小型:DNAT规则和SNAT规则的总数不超过20个。
    • 中型:DNAT规则和SNAT规则的总数不超过50个。
    • 大型:DNAT规则和SNAT规则的总数不超过200个。
    • 超大型:DNAT规则和SNAT规则的总数不超过500个。

相关文档