方案概述
应用场景
- 在不改变现有IDC网络组织架构的前提下,需要将网络组织架构迁移上云,并实现IDC中的两个重叠网段内的主机相互访问。
- 在不改变现有IDC网络组织架构的前提下,需要将网络组织架构迁移上云,并实现以IDC中指定IP地址访问外部资源。
例如:
某大型公司拥有多个分公司,分公司之间网段独立规划、存在重叠子网。如图1,部门A和部门B分配了相同的192.168.0.0/24网段,并且两个网段内的主机可以相互访问;另外,根据行业规范要求,部门A需要定期以指定的IP地址访问行业监管部门的主机归档数据。
IDC内业务复杂且庞大,重新规划并整改网段会影响已有业务的正常运行。客户希望能够保持现有网络规划不变,网段免修改上云,上云后重叠子网的主机仍能相互访问,且部门A的主机仍然可以以指定IP地址访问行业监管部门的主机。
方案架构
华为云私网NAT网关(Private NAT Gateway)能够为虚拟私有云(Virtual Private Cloud)内的云主机提供网络地址转换服务,实现重叠子网VPC内的主机互访以及主机私网地址映射。弥补了VPC对等连接服务中有重叠子网网段的VPC,不能使用VPC对等连接的约束限制。
如图2:
- 将部门A和部门B的192.168.0.0/24网段直接迁移到云上的VPC内,然后使用私网NAT网关实现两个部门的主机相互访问。
- 同时可以通过配置SNAT规则,将部门A的主机私网地址映射为指定的IP地址10.1.0.55访问外部主机。
方案优势
- 客户不用改造现有网络组织架构,直接将云下IDC业务迁移上云,节省了网络改造的成本。
- 解决了重叠私网IP地址的主机无法相互访问的问题。
- 满足了客户对安全性的要求,可以为私网内的主机指定IP地址访问外部资源。
约束与限制
使用私网NAT网关时,您需要注意以下几点:
- 用户需要在VPC下手动添加私网路由,即通过创建对等连接或开通云专线/VPN连接远端私网。
- VPC内的每个子网只能添加一条SNAT规则。
- SNAT规则和DNAT规则不能共用同一个中转IP。
- DNAT的全端口模式不能和具体端口模式共用同一个中转IP。
- 私网NAT网关支持添加的DNAT规则和SNAT规则的数量如下:
- 小型:DNAT规则和SNAT规则的总数不超过20个。
- 中型:DNAT规则和SNAT规则的总数不超过50个。
- 大型:DNAT规则和SNAT规则的总数不超过200个。
- 超大型:DNAT规则和SNAT规则的总数不超过500个。