云上重叠子网间主机互访
应用场景
在不改变现有IDC网络组织架构的前提下,需要将网络组织架构迁移上云,并实现IDC中的两个重叠网段内的主机相互访问。
本最佳实践模拟IDC中两个子网重叠的部门,不修改网段直接迁移上云,并且迁移上云后两个部门(重叠子网)能够继续互相访问。
方案架构
- IDC的两个子公司的部门A和部门B均使用192.168.0.0/24网段。网段免修改,直接在云上创建相同网段的VPC。
- 分别为两个子公司的VPC创建私网NAT网关,为部门A的主机(192.168.0.3)和部门B的主机(192.168.0.3)分别映射10.1.0.11和10.2.0.22两个中转IP地址,通过中转IP实现两个主机相互访问。
请注意手动配置如下几条路由信息,避免漏配置导致流量不通。
- VPC(部门A)到私网NATA
- 中转VPC1到VPC-Peering
- 中转VPC2到VPC-Peering
- VPC(部门B)到私网NATB
方案优势
IDC网段免修改直接上云,极大降低用户上云难度。
资源和成本规划
资源 |
名称 |
规划网段/IP |
子网名称 |
说明 |
---|---|---|---|---|
VPC(中国-香港) |
vpc-部门A |
192.168.0.0/24 |
subnet-A |
部门A迁移到云上的VPC。 |
vpc-部门B |
192.168.0.0/24 |
subnet-B |
部门B迁移到云上的VPC。 |
|
vpc-中转1 |
10.1.0.0/24 |
ext_sub_T1 |
部门A的私网NAT网关所需的中转VPC。 |
|
vpc-中转2 |
10.2.0.0/24 |
ext_sub_T2 |
部门B的私网NAT网关所需的中转VPC。 |
|
中转IP(vpc-中转) |
中转IP-部门A |
10.1.0.11 |
- |
部门A对外提供服务的IP地址,部门B通过此IP地址可以访问部门A的主机。 |
中转IP-部门B |
10.2.0.22 |
- |
部门B对外提供服务的IP地址,部门A通过此IP地址可以访问部门B的主机。 |
|
弹性云服务器(中国-香港) |
ecs-部门A |
192.168.0.3 |
- |
部门A的主机,可以和部门B互相访问。 |
ecs-部门B |
192.168.0.3 |
- |
部门B的主机,可以和部门A互相访问。 |
|
私网NAT网关 |
private-nat-A |
- |
- |
为部门A配置的私网NAT网关,所属VPC为vpc-部门A。 |
private-nat-B |
- |
- |
为部门B配置的私网NAT网关,所属VPC为vpc-部门B。 |
前提条件
- 已拥有华为云账号。
- 华为云账号未欠费,并且有足够的金额可以购买本最佳实践所涉及的资源。
- 已完成私网NAT网关创建。
操作流程
创建弹性云服务器
- 选择“计算 > 弹性云服务器”,单击“购买弹性云服务器”。
- 在“购买弹性云服务器”页面,根据表1配置部门A的弹性云服务器的基础信息,完成后单击“下一步:网络配置”。
- 计费模式:按需计费
- 区域:选择中国-香港
- 规格:用户自定义。本实践以c6.large.2举例。
- 镜像:公共镜像。具体镜像用户自定义,本实践以CentOS 8.0举例。
- 未提及参数,保持默认或根据界面引导配置
- 配置部门A的ECS的网络信息。
- 网络:选择部门A的VPC“vpc-部门A”,并选择“手动分配IP地址”,指定IP地址为表1规划的ecs-部门A的IP地址“192.168.0.3”。
- 安全组:Sys-FullAccess。本实践选择一个全部放通的安全组作为测试安全组,后期可以根据业务情况重新绑定业务所需的安全组,提升业务安全性。
- 弹性公网IP:暂不购买
- 未提及参数,保持默认或根据界面引导配置
- 配置完成后单击“下一步:高级配置”。
- 设置云服务器名称和密码等信息。
- 云服务器名称:ecs-部门A
- 登录凭证:密码;并输入密码。
- 未提及参数,保持默认或根据界面引导配置。
- 设置完成后单击“下一步:确认配置”。
- 确认ECS信息无误后,勾选“协议”并单击“立即购买”,完成部门A的ECS创建。
- 单击弹性云服务器总览页面所在行的“远程登录”,选择VNC方式登录。
- 使用root账号登录ECS,并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。
ifconfig
- 重复1~9,完成其他已规划的ECS的创建。
创建私网NAT网关并配置转换规则
- 在私网NAT网关页面,单击“购买私网NAT网关”。
- 为部门A创建私网NAT网关配置参数。
- 区域:中国-香港
- 名称:private-nat-A
- 虚拟私有云:vpc-部门A
- 未提及参数,保持默认或根据界面引导配置
- 配置完成后,单击“立即购买”。
- 在私网NAT网关列表页签,单击需要添加DNAT规则的私网NAT网关名称。
- 切换至“DNAT规则”页签,单击“添加DNAT规则”。
- 配置部门A的DNAT规则参数,完成后单击“确定”。
- 端口类型:所有端口
- 中转子网:ext_sub_T1
- 中转IP:10.1.0.11
- 实例类型:选择服务器,并选择部门A的ECS。
- 返回私网NAT网关页面,并单击“购买私网NAT网关”。
- 为部门B创建私网NAT网关配置参数。
- 区域:中国-香港
- 名称:private-nat-B
- 虚拟私有云:vpc-部门B
- 未提及参数,保持默认或根据界面引导配置
- 配置完成后单击“立即购买”。
- 在私网NAT网关列表页签,单击需要添加DNAT规则的私网NAT网关名称。
- 切换至“DNAT规则”页签,单击“添加DNAT规则”。
- 配置部门B的DNAT规则参数,完成后单击“确定”。
- 端口类型:所有端口
- 中转子网:ext_sub_T2
- 中转IP:10.2.0.22
- 实例类型:选择服务器,并选择部门B的ECS。
配置主机到私网NAT网关的路由信息
- 选择“网络 > 虚拟私有云”,在左侧导航栏选择“路由表”。
- 进入路由表列表页面,单击“rtb-vpc-部门A”的名称,在基本信息页面单击“添加路由”。
- 配置部门A的主机访问部门A的私网NAT网关的路由,单击“确认”。
- 目的地址:设置为0.0.0.0/0(实际操作时也可根据业务需要设置指定目的地址。)
- 下一跳类型:NAT网关
- 下一跳:系统自动关联出部门A的私网NAT网关
- 配置完成后返回路由表列表页面,单击“rtb-vpc-部门B”,单击“添加路由”。
- 配置部门B的主机访问部门B的私网NAT网关的路由,单击“确认”。
- 目的地址:设置为0.0.0.0/0
- 下一跳类型:NAT网关
- 下一跳:系统自动关联出部门B的私网NAT网关
配置中转VPC1到中转VPC2的对等连接
- 选择“网络 > 虚拟私有云”,在左侧导航栏选择“对等连接”。
- 进入对等连接列表页面,单击“创建对等连接”。
- 配置中转VPC1和中转VPC2分别作为本端VPC和对端VPC,完成后单击“确定”。
- 名称:peering-TtoT
- 本端VPC:vpc-中转1
- 对端VPC:vpc-中转2
- 未提及参数,保持默认或根据界面引导配置
- 返回到对等连接列表页面,并单击左侧导航栏的“路由表”。
- 单击“rtb-vpc-中转1”的名称,在基本信息页面单击“添加路由”。
- 配置中转VPC1到VPC-Peering的路由,单击“确认”。
- 目的地址:设置为0.0.0.0/0
- 下一跳类型:对等连接
- 下一跳:系统自动关联对等连接实例
- 重复5~6,选择“rtb-vpc-中转2”并配置中转VPC2到VPC-Peering的路由。