更新时间:2023-05-25 GMT+08:00
云上重叠子网间主机互访
应用场景
在不改变现有IDC网络组织架构的前提下,需要将网络组织架构迁移上云,并实现IDC中的两个重叠网段内的主机相互访问。
本最佳实践模拟IDC中两个子网重叠的部门,不修改网段直接迁移上云,并且迁移上云后两个部门(重叠子网)能够继续互相访问。
方案架构
- IDC的两个子公司的部门A和部门B均使用192.168.0.0/24网段。网段免修改,直接在云上创建相同网段的VPC。
- 分别为两个子公司的VPC创建私网NAT网关,为部门A的主机(192.168.0.3)和部门B的主机(192.168.0.3)分别映射10.1.0.11和10.2.0.22两个中转IP地址,通过中转IP实现两个主机相互访问。
图1 最佳实践逻辑拓扑
请注意手动配置如下几条路由信息,避免漏配置导致流量不通。
- VPC(部门A)到私网NATA
- 中转VPC1到VPC-Peering
- 中转VPC2到VPC-Peering
- VPC(部门B)到私网NATB
方案优势
IDC网段免修改直接上云,极大降低用户上云难度。
资源和成本规划
资源 |
名称 |
规划网段/IP |
子网名称 |
说明 |
|---|---|---|---|---|
VPC(中国-香港) |
vpc-部门A |
192.168.0.0/24 |
subnet-A |
部门A迁移到云上的VPC。 |
vpc-部门B |
192.168.0.0/24 |
subnet-B |
部门B迁移到云上的VPC。 |
|
vpc-中转1 |
10.1.0.0/24 |
ext_sub_T1 |
部门A的私网NAT网关所需的中转VPC。 |
|
vpc-中转2 |
10.2.0.0/24 |
ext_sub_T2 |
部门B的私网NAT网关所需的中转VPC。 |
|
中转IP(vpc-中转) |
中转IP-部门A |
10.1.0.11 |
- |
部门A对外提供服务的IP地址,部门B通过此IP地址可以访问部门A的主机。 |
中转IP-部门B |
10.2.0.22 |
- |
部门B对外提供服务的IP地址,部门A通过此IP地址可以访问部门B的主机。 |
|
弹性云服务器(中国-香港) |
ecs-部门A |
192.168.0.3 |
- |
部门A的主机,可以和部门B互相访问。 |
ecs-部门B |
192.168.0.3 |
- |
部门B的主机,可以和部门A互相访问。 |
|
私网NAT网关 |
private-nat-A |
- |
- |
为部门A配置的私网NAT网关,所属VPC为vpc-部门A。 |
private-nat-B |
- |
- |
为部门B配置的私网NAT网关,所属VPC为vpc-部门B。 |
前提条件
- 已拥有华为云帐号。
- 华为云帐号未欠费,并且有足够的金额可以购买本最佳实践所涉及的资源。
- 已完成私网NAT网关创建。
- 私网NAT网关目前在“华东-上海二”、“中国-香港”、“拉美-圣保罗一”、“非洲-约翰内斯堡”、“拉美-墨西哥城二”限时免费。
- 私网NAT网关目前在“华南-广州”、“华东-上海一”、“华北-北京四”、“亚太-曼谷”、“亚太-新加坡”、“西南-贵阳一”已开始计费。
创建弹性云服务器
- 选择“计算 > 弹性云服务器”,单击“购买弹性云服务器”。
- 根据表1配置部门A的弹性云服务器的基础信息,完成后单击“下一步:网络配置”。
- 计费模式:按需计费
- 区域:选择华北-北京四
- 规格:用户自定义。本实践以c6.large.2举例。
- 镜像:公共镜像。具体镜像用户自定义,本实践以CentOS 8.0举例。
- 未提及参数,保持默认或根据界面引导配置
- 配置部门A的ECS的网络信息,完成后单击“下一步:高级配置”。
- 网络:选择部门A的VPC“vpc-部门A”,并选择“手动分配IP地址”,指定IP地址为表1规划的ecs-部门A的IP地址“192.168.0.3”。
- 安全组:Sys-FullAccess。本实践选择一个全部放通的安全组作为测试安全组,后期可以根据业务情况重新绑定业务所需的安全组,提升业务安全性。
- 弹性公网IP:暂不购买
- 未提及参数,保持默认或根据界面引导配置
- 设置云服务器名称和密码等信息,完成后单击“下一步:确认配置”。
- 云服务器名称:ecs-部门A
- 登录凭证:密码;并输入密码。
- 未提及参数,保持默认或根据界面引导配置。
- 确认ECS信息无误后,勾选“协议”并单击“立即购买”,完成部门A的ECS创建。
- 单击弹性云服务器总览页面所在行的“远程登录”,选择VNC方式登录。
- 使用root帐号登录ECS,并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。
ifconfig
- 重复1~7,完成其他已规划的ECS的创建。
创建并配置私网NAT网关
创建中转IP
- 选择“网络 > NAT网关”,选择“私网NAT网关”,切换至“中转IP”页签。
- 单击“创建中转IP”,按照如下参数设置。
- 中转VPC:vpc-中转1
- 中转子网:ext_sub_T1
- 中转IP:手动分配
- IP地址:10.1.0.11
- 设置完成后,单击“确定”。
- 重复1~3,参数按照如下设置,为部门B创建中转IP(10.2.0.22)。
- 中转VPC:vpc-中转2
- 中转子网:ext_sub_T2
- 中转IP:手动分配
- IP地址:10.2.0.22
创建私网NAT网关并配置转换规则
- 返回私网NAT网关页面,并单击“购买私网NAT网关”。
- 配置参数,为部门A创建私网NAT网关,完成后单击“立即购买”。
- 区域:中国-香港
- 名称:private-nat-A
- 虚拟私有云:vpc-部门A
- 未提及参数,保持默认或根据界面引导配置
- 创建完成后,单击弹窗的“添加规则”,切换至“DNAT规则”页签并单击“添加DNAT规则”。
- 配置DNAT规则参数,添加部门A的主机、中转子网、部门A的中转IP至DNAT规则中,完成后单击“确定”。
- 端口类型:所有端口
- 中转子网:ext_sub_T1
- 中转IP:10.1.0.11
- 实例类型:选择服务器,并选择部门A的ECS。
- 返回私网NAT网关页面,并单击“购买私网NAT网关”。
- 配置参数,为部门B创建私网NAT网关,完成后单击“立即购买”。
- 区域:中国-香港
- 名称:private-nat-B
- 虚拟私有云:vpc-部门B
- 未提及参数,保持默认或根据界面引导配置
- 创建完成后,单击弹窗的“添加规则”,切换至“DNAT规则”页签并单击“添加DNAT规则”。
- 配置DNAT规则参数,添加部门B的主机、中转子网、部门B的中转IP至DNAT规则中,完成后单击“确定”。
- 端口类型:所有端口
- 中转子网:ext_sub_T2
- 中转IP:10.2.0.22
- 实例类型:选择服务器,并选择部门B的ECS。
配置路由和对等连接
配置主机到私网NAT网关路由信息
- 选择“网络 > NAT网关”,在左侧导航栏选择“路由表”。
- 单击“rtb-vpc-部门A”的名称,在基本信息页面单击“添加路由”。
- 配置路由相关信息,配置部门A的主机访问部门A的私网NAT网关的路由,单击“确认”。
- 目的地址:设置为0.0.0.0/0(实际操作时也可根据业务需要设置指定目的地址。)
- 下一跳类型:NAT网关
- 下一跳:系统自动关联出部门A的私网NAT网关
- 配置完成后返回路由表的概览页,单击“rtb-vpc-部门B”,单击“添加路由”。
- 配置路由相关信息,配置部门B的主机访问部门B的私网NAT网关的路由,单击“确认”。
- 目的地址:设置为0.0.0.0/0
- 下一跳类型:NAT网关
- 下一跳:系统自动关联出部门B的私网NAT网关
配置中转VPC1到中转VPC2的对等连接
- 单击网络控制台左侧导航栏的“对等连接”,并单击“创建对等连接”。
- 配置中转VPC1和中转VPC2分别作为本端VPC和对端VPC,完成后单击“确定”。
- 名称:peering-TtoT
- 本端VPC:vpc-中转1
- 对端VPC:vpc-中转2
- 未提及参数,保持默认或根据界面引导配置
- 返回到网络控制台,并单击左侧导航栏的“路由表”。
- 单击“rtb-vpc-中转1”的名称,在基本信息页面单击“添加路由”。
- 配置路由相关信息,配置中转VPC1到VPC-Peering的路由,单击“确认”。
- 目的地址:设置为0.0.0.0/0
- 下一跳类型:对等连接
- 下一跳:系统自动关联对等连接实例
- 重复9~10,选择“rtb-vpc-中转2”并配置中转VPC2到VPC-Peering的路由,单击“确认”。
