文档首页/ NAT网关 NAT/ 最佳实践/ 基于私网NAT网关和云专线的混合云SNAT
更新时间:2023-05-25 GMT+08:00
分享

基于私网NAT网关和云专线的混合云SNAT

应用场景

VPC中的云主机实例在与用户本地数据中心(IDC)通过云专线进行通信时,需要将VPC中的云主机私网地址转换成IDC信任的私网地址进行通信。

方案架构

  1. 通过云专线将用户IDC与中转VPC连通。
  2. 配置私网NAT网关,将业务VPC中的ECS私网地址转换成中转VPC中的中转IP(用户IDC信任的私网地址)。
    图1 组网图

方案优势

混合云场景中,云上VPC与线下IDC互通时,需要将VPC内云主机实例的私网地址映射为受IDC信任的私网地址,以此来满足安全合规等要求。

约束与限制

  • IDC网段与中转VPC、业务VPC中的子网网段都不能重叠,否则无法通信。
  • 需要在中转VPC中自定义私网网段,用来为业务VPC中的资源做私网地址映射,一般为用户IDC信任的私网网段或私网地址。

资源和成本规划

表1 资源和成本规划

资源

资源名称

资源说明

数量

虚拟私有云(VPC)

VPC-Test01

业务VPC,VPC子网网段为:192.168.0.0/24。

1

VPC-Test02

中转VPC,VPC子网网段为:10.1.0.0/24。

1

NAT网关

NAT-Private-Test

购买私网NAT网关,私网NAT网关所在的VPC选择业务VPC(VPC-Test01)。

1

NAT-Ext-Sub-IP-Test

创建中转IP,中转IP所在的VPC为中转VPC(VPC-Test02),该中转IP地址为:10.1.0.10。

1

云专线

DC-Test

使用云专线将用户IDC和中转VPC连通。

1

弹性云服务器(ECS)

ECS-Test

购买ECS,该ECS所在的VPC选择业务VPC(VPC-Test01),该ECS的私网地址为:192.168.0.10。

1

用户线下数据中心(IDC)

IDC-Test

用户IDC网段为:10.0.0.0/24,其中包含的服务器私网IP为:10.0.0.62。

1

  • 在本方案中,将ECS的私网地址192.168.0.10通过私网NAT网关映射为用户IDC信任的私网地址10.1.0.10。
  • 本方案所需的VPC、NAT网关、云专线、ECS需在同一区域。

实施步骤

  1. 创建业务VPC和中转VPC

    具体操作请参见创建虚拟私有云和子网

  2. 配置云专线

    在IDC和中转VPC所在的区域之间创建云专线。具体操作请参见配置云专线

  3. 购买并配置私网NAT网关

    1. 在指定区域购买私网NAT网关,选定业务VPC。
    2. 创建中转IP,中转VPC选择VPC-Test02,中转IP选择手动分配,IP地址为:10.1.0.10
    3. 进入到上述购买的私网NAT网关的“SNAT规则”页签,单击“添加SNAT规则”,子网选择业务VPC中需要做地址映射的子网(网段为:192.168.0.0/24),中转IP选择上述创建好的。
    4. 在业务VPC中添加指向私网NAT网关的路由,目的地址配置为IDC的网段(目的网段:10.0.0.0/24)
      图2 添加路由
    5. 在目的网段包含的服务器(私网地址为:10.0.0.62)中添加入方向安全组规则,用于将发到目的端的流量全部放通。
      图3 添加入方向安全组规则

配置验证

配置完成,测试连通性。

登录业务VPC中的ECS(ECS-Test),ping对端IDC(目的网段)中的私网IP(10.0.0.62)。

相关文档