通过私网NAT网关实现云上云下互通
操作场景
本文档将以部署VPC内计算实例以指定私网地址接入线下本地数据中心为场景,帮助您学习如何创建和使用私网NAT网关。
用户本地数据中心(IDC)通过云专线接入虚拟私有云(VPC),VPC中的ECS需要转换成IDC指定的私网网段进行通信,详情可见下方的组网图。
操作流程
操作步骤 |
说明 |
---|---|
使用云服务前,您需要注册华为账号并开通华为云、完成实名认证、为账户充值。 |
|
创建业务VPC(含业务子网)和中转VPC(含中转子网)。 |
|
创建VPC对等连接将用户IDC(Peering目的VPC)与中转VPC连通。 |
|
购买一个私网NAT网关。 |
|
为私网NAT网关添加SNAT规则,通过绑定中转IP可实现VPC内的多个云服务器共享中转IP,访问外部数据中心或其他VPC。 |
|
自定义路由,路由包括目的地址、下一跳类型、下一跳地址等信息,可以决定网络流量的走向。 |
|
在目的VPC包含的云服务器中添加入方向安全组规则,用于将转发到目的端的流量全部放通。 |
准备工作
在使用NAT网关服务前,您需要注册华为账号并开通华为云、完成实名认证、为账户充值。
- 注册华为账号并开通华为云。
- 参考“实名认证”完成个人或企业账号实名认证。
- 您需要确保账户有足够金额,请参见“如何给华为云账户充值”。
步骤一:创建业务VPC和中转VPC
虚拟私有云可以为您的弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境。
创建业务VPC(含业务子网)和中转VPC(含中转子网)。
具体操作请参见创建虚拟私有云和子网。
步骤二:配置VPC Peering
您需要在IDC和“中国-香港”云上区域创建云专线。本示例使用VPC对等连接代替云专线。
通过创建VPC对等连接将用户IDC(Peering目的VPC)与中转VPC连通。详细步骤请参见VPC对等连接。
如要使用云专线将用户IDC(Peering目的VPC)与中转VPC连通,请参见配置云专线。
步骤三:购买私网NAT网关
- 进入购买私网NAT网关页面。
- 在“购买私网NAT网关”页面,根据界面提示配置私网NAT网关参数。
图2 购买私网NAT网关
表1 私网NAT网关参数说明 参数
示例
参数说明
计费模式
按需计费
私网NAT网关的计费模式。
区域
中国-香港
私网NAT网关所在的区域。
名称
private-nat-01
私网NAT网关名称。最大支持64个字符,仅支持中文、数字、字母、_(下划线)、-(中划线)。
虚拟私有云
VPC-A
私网NAT网关所属的业务VPC。
VPC仅在购买私网NAT网关时可以选择,后续不支持修改。
子网
Subnet-A01
私网NAT网关所属VPC中的子网。
子网至少有一个可用的IP地址。
子网仅在购买私网NAT网关时可以选择,后续不支持修改。
规格
小型
私网NAT网关的规格。
企业项目
default
配置私网NAT网关归属的企业项目。当没有指定企业项目时,将默认使用项目名称为default的企业项目。
当您的账号开通企业项目权限后,才支持配置私网NAT网关归属的企业项目。
标签
无需配置
私网NAT网关的标识,包括键和值。可以创建20个标签。
描述
无需配置
私网NAT网关信息描述。最大支持255个字符,且不能包含“<”和“>”。
- 单击“立即购买”,开始创建私网NAT网关。
- 在“私网NAT网关”列表,查看私网NAT网关状态。
步骤四:创建中转IP
- 在私网NAT网关页面,单击“中转IP > 创建中转IP”,进入创建中转IP页面。
图3 创建中转IP
- 根据界面提示,配置中转IP的基本信息,配置参数请参见表2。
- 单击“确定”,开始创建中转IP。
步骤五:添加SNAT规则
- 进入私网NAT网关列表页面。
- 在私网NAT网关页面,单击需要添加SNAT规则的私网NAT网关名称。
- 在SNAT规则页签中,单击“添加SNAT规则”。
- 根据界面提示,配置添加SNAT规则参数,详情请参见表3。
表3 SNAT规则参数说明 参数
示例
参数说明
子网
使用已有
SNAT规则的子网类型,选择“使用已有”或“自定义”。
选择业务VPC中需要做地址映射的子网。
监控
-
可以为SNAT连接数设置告警,实时监控运行状态。
中转IP
-
中转IP选择步骤四创建的中转IP。
描述
无需配置
SNAT规则信息描述。最大支持255个字符,且不能包含“<”和“>”。
- 配置完成后,单击确定,完成“SNAT规则”创建。
- 在SNAT规则列表中查看详情,若“状态”为“运行中”,表示创建成功。
步骤六:添加路由
- 进入路由表列表页面。
- 在路由表列表中,单击业务VPC的路由表名称。
- 单击“添加路由”,按照提示配置参数。
表4 添加路由参数说明 参数
示例
参数说明
目的地址
10.0.0.0/24
目的地址网段。
配置为IDC(目的VPC)的私网网段。
下一跳类型
NAT网关
下一跳的资源类型。
下一跳
private-nat-01
下一跳资源选择创建的私网NAT网关。
描述
无需配置
路由的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
- 单击“确定”,完成添加。
步骤七:添加安全组规则
- 进入安全组列表页面。
- 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。
- 在入方向规则页签,单击“添加规则”,添加入方向规则。
表5 入方向参数说明 参数
取值样例
说明
优先级
1
规则的优先级,优先级数字越小,规则的优先级别越高
策略
允许
安全组规则策略,支持的策略如下:
- 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
- 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。
协议端口
TCP
网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。
22或22-30
端口:允许远端地址访问弹性云服务器指定端口,取值范围为:1~65535。
源地址
0.0.0.0/0
源地址:可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。
更多IP地址组信息,请参见IP地址组。
描述
无需配置
安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
- 单击“确定”,完成添加。