文档首页/ NAT网关 NAT/ 快速入门/ 通过私网NAT网关实现云上云下互通
更新时间:2024-10-12 GMT+08:00

通过私网NAT网关实现云上云下互通

操作场景

本文档将以部署VPC内计算实例以指定私网地址接入线下本地数据中心为场景,帮助您学习如何创建和使用私网NAT网关。

用户本地数据中心(IDC)通过云专线接入虚拟私有云(VPC),VPC中的ECS需要转换成IDC指定的私网网段进行通信,详情可见下方的组网图。

图1 组网图

操作流程

操作步骤

说明

准备工作

使用云服务前,您需要注册华为账号并开通华为云、完成实名认证、为账户充值。

步骤一:创建业务VPC和中转VPC

创建业务VPC(含业务子网)和中转VPC(含中转子网)。

步骤二:配置VPC Peering

创建VPC对等连接将用户IDC(Peering目的VPC)与中转VPC连通。

步骤三:购买私网NAT网关

购买一个私网NAT网关。

步骤五:添加SNAT规则

为私网NAT网关添加SNAT规则,通过绑定中转IP可实现VPC内的多个云服务器共享中转IP,访问外部数据中心或其他VPC。

步骤六:添加路由

自定义路由,路由包括目的地址、下一跳类型、下一跳地址等信息,可以决定网络流量的走向。

步骤七:添加安全组规则

在目的VPC包含的云服务器中添加入方向安全组规则,用于将转发到目的端的流量全部放通。

准备工作

在使用NAT网关服务前,您需要注册华为账号并开通华为云、完成实名认证、为账户充值。

步骤一:创建业务VPC和中转VPC

虚拟私有云可以为您的弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境。

创建业务VPC(含业务子网)和中转VPC(含中转子网)。

具体操作请参见创建虚拟私有云和子网

步骤二:配置VPC Peering

您需要在IDC和“中国-香港”云上区域创建云专线。本示例使用VPC对等连接代替云专线。

通过创建VPC对等连接将用户IDC(Peering目的VPC)与中转VPC连通。详细步骤请参见VPC对等连接

如要使用云专线将用户IDC(Peering目的VPC)与中转VPC连通,请参见配置云专线

步骤三:购买私网NAT网关

  1. 进入购买私网NAT网关页面。
  2. 在“购买私网NAT网关”页面,根据界面提示配置私网NAT网关参数。
    图2 购买私网NAT网关
    表1 私网NAT网关参数说明

    参数

    示例

    参数说明

    计费模式

    按需计费

    私网NAT网关的计费模式。

    区域

    中国-香港

    私网NAT网关所在的区域。

    名称

    private-nat-01

    私网NAT网关名称。最大支持64个字符,仅支持中文、数字、字母、_(下划线)、-(中划线)。

    虚拟私有云

    VPC-A

    私网NAT网关所属的业务VPC。

    VPC仅在购买私网NAT网关时可以选择,后续不支持修改。

    子网

    Subnet-A01

    私网NAT网关所属VPC中的子网。

    子网至少有一个可用的IP地址。

    子网仅在购买私网NAT网关时可以选择,后续不支持修改。

    规格

    小型

    私网NAT网关的规格。

    企业项目

    default

    配置私网NAT网关归属的企业项目。当没有指定企业项目时,将默认使用项目名称为default的企业项目。

    当您的账号开通企业项目权限后,才支持配置私网NAT网关归属的企业项目。

    标签

    无需配置

    私网NAT网关的标识,包括键和值。可以创建20个标签。

    描述

    无需配置

    私网NAT网关信息描述。最大支持255个字符,且不能包含“<”和“>”。

  3. 单击“立即购买”,开始创建私网NAT网关。
  4. 在“私网NAT网关”列表,查看私网NAT网关状态。

步骤四:创建中转IP

  1. 在私网NAT网关页面,单击“中转IP > 创建中转IP”,进入创建中转IP页面。
    图3 创建中转IP
  2. 根据界面提示,配置中转IP的基本信息,配置参数请参见表2
    表2 中转IP参数说明

    参数

    示例

    参数说明

    中转VPC

    -

    选择中转IP所在的VPC。

    中转子网

    -

    中转子网相当于一个中转网络,是中转IP所属的子网。

    子网至少有一个可用的IP地址。

    中转IP

    自动分配

    中转IP的分配方式有以下两种。

    自动分配:由系统自动分配中转IP地址。

    手动分配:手动指定中转IP地址。

    企业项目

    default

    中转IP所属的企业项目。

    标签

    无需配置

    中转IP的标识,包括键和值。可以创建20个标签。

  3. 单击“确定”,开始创建中转IP。

步骤五:添加SNAT规则

  1. 进入私网NAT网关列表页面。
  2. 在私网NAT网关页面,单击需要添加SNAT规则的私网NAT网关名称。
  3. 在SNAT规则页签中,单击“添加SNAT规则”。
  4. 根据界面提示,配置添加SNAT规则参数,详情请参见表3
    表3 SNAT规则参数说明

    参数

    示例

    参数说明

    子网

    使用已有

    SNAT规则的子网类型,选择“使用已有”或“自定义”。

    选择业务VPC中需要做地址映射的子网。

    监控

    -

    可以为SNAT连接数设置告警,实时监控运行状态。

    中转IP

    -

    中转IP选择步骤四创建的中转IP。

    描述

    无需配置

    SNAT规则信息描述。最大支持255个字符,且不能包含“<”和“>”。

  5. 配置完成后,单击确定,完成“SNAT规则”创建。
  6. 在SNAT规则列表中查看详情,若“状态”为“运行中”,表示创建成功。

步骤六:添加路由

  1. 进入路由表列表页面。
  2. 在路由表列表中,单击业务VPC的路由表名称。
  3. 单击“添加路由”,按照提示配置参数。
    表4 添加路由参数说明

    参数

    示例

    参数说明

    目的地址

    10.0.0.0/24

    目的地址网段。

    配置为IDC(目的VPC)的私网网段。

    下一跳类型

    NAT网关

    下一跳的资源类型。

    下一跳

    private-nat-01

    下一跳资源选择创建的私网NAT网关。

    描述

    无需配置

    路由的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

  4. 单击“确定”,完成添加。

步骤七:添加安全组规则

  1. 进入安全组列表页面。
  2. 在安全组列表中,单击目标安全组所在行的操作列下的“配置规则”。

    进入安全组规则配置页面。

  3. 在入方向规则页签,单击“添加规则”,添加入方向规则。

    单击“+”可以依次增加多条入方向规则。

    表5 入方向参数说明

    参数

    取值样例

    说明

    优先级

    1

    规则的优先级,优先级数字越小,规则的优先级别越高

    策略

    允许

    安全组规则策略,支持的策略如下:

    • 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
    • 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。

    协议端口

    TCP

    网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。

    22或22-30

    端口:允许远端地址访问弹性云服务器指定端口,取值范围为:1~65535。

    源地址

    0.0.0.0/0

    源地址:可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。

    更多IP地址组信息,请参见IP地址组

    描述

    无需配置

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

  4. 单击“确定”,完成添加。