You need to enable JavaScript to run this app.
导航
单个私有网络部署多个公网NAT网关
最近更新时间:2024.05.21 15:05:03首次发布时间:2023.01.06 07:44:26

当私有网络内不同子网的云服务器实例对公网需求不同时,可使用多个NAT网关,便于精细化管理公网流量。本文为您介绍如何在同一个私有网络内部署多个公网NAT网关。

背景介绍

某企业同一私有网络内的三个子网,子网-A用于产品开发,子网-B和子网-C用于产品测试,不同子网对公网的需求不同,为精细化管理公网流量,现使用两个公网NAT网关。

私有网络的名称为VPC-A,网段为172.16.1.0/16。

  • 子网-A的网段为172.16.1.0/24,云服务器ECS-A的IP地址为172.16.1.11。
  • 子网-B的网段为172.16.2.0/24,云服务器ECS-B的IP地址为172.16.2.22。
  • 子网-C的网段为172.16.3.0/24,云服务器ECS-C的IP地址为172.16.3.33。

上图公网NAT网关-A仅呈现一条SNAT规则,公网NAT网关-B仅呈现一条SNAT规则和一条DNAT规则,在实际使用过程中,您可按需创建多条SNAT规则和DNAT规则。

准备工作

根据背景介绍,在操作之前,您需要做如下准备:

  1. 使用火山引擎账号,在华北2(北京)地域创建1个VPC,VPC的参数同上述背景介绍 保持一致。具体操作,请参考 创建私有网络

  2. 在VPC-A的子网-A中创建云服务器ECS-A(172.16.1.11),子网-B中创建云服务器ECS-B(172.16.2.22),子网-C中创建云服务器ECS-C(172.16.3.33),三台云服务器均未绑定公网IP。具体操作,请参考 购买云服务器

  3. 申请3个未绑定云资源的公网IP,本文使用EIP-A(180.XX.XX.11)、EIP-B(180.XX.XX.22)和EIP-C(180.XX.XX.33)。具体操作,请参考 申请公网IP

配置首个公网NAT网关

步骤一:创建公网NAT网关并绑定公网IP

  1. 登录 公网NAT网关控制台

  2. 在顶部导航栏,选择目标地域和项目,本文示例“华北2(北京)”和“default”。

  3. 单击“创建公网NAT网关”按钮,进入创建公网NAT网关页面。

  4. 参考下表,配置相关参数。

    参数
    说明
    本文取值
    计费类型支持按量计费和包年包月。按量计费
    地域选择公网NAT网关所在地域。华北2(北京)
    名称设置公网NAT网关的名称。公网NAT网关-A
    规格选择公网NAT网关的规格。小型
    私有网络选择私有网络。VPC-A|172.16.1.0/16
    子网下拉选择子网。子网-A|172.16.1.0/24
    项目选择公网NAT网关所属的项目。default
    配置方式选择公网NAT网关的配置方式。手动配置
    标签按需为公网NAT网关添加一个或多个用户标签。不添加用户标签
  5. 单击“确认订单”按钮,进入订单详情页面。

  6. 确认信息无误后,请根据控制台指引查阅并确认相关协议,单击“立即购买”按钮,完成创建。

    说明

    若创建失败,请参考 创建公网NAT网关失败是什么原因

  7. 在公网NAT网关列表,单击目标网关右侧的“配置公网IP”按钮,进入配置公网IP页面。

  8. 单击“绑定公网IP”按钮,在弹出的绑定公网IP窗口中,下拉选择预先准备的EIP-A,单击“确定”按钮,完成绑定。

步骤二:创建SNAT规则

  1. 在公网NAT网关列表,单击公网NAT网关-A名称,进入公网NAT网关详情页面。
  2. 选择“SNAT规则”页签,单击“创建SNAT规则”按钮。
  3. 参考下表,配置相关参数。
    参数
    说明
    本文取值
    名称设置SNAT规则的名称。SNAT规则-A
    粒度选择SNAT规则的粒度。子网
    子网-A|172.16.1.0/24
    公网IP选择公网NAT网关已绑定的公网IP。180.XX.XX.11|EIP-A
  4. 单击“确定”按钮,完成创建。
  5. 登录预先准备的云服务器实例ECS-A,在命令行执行ping 8.8.8.8
  6. Ping通,则表示ECS-A可通过公网NAT网关的SNAT规则访问公网。

    说明

    若无法Ping通,请参考 已配置SNAT规则的云服务器无法访问公网

配置非首个公网NAT网关

步骤一:创建公网NAT网关并绑定公网IP

  1. 在公网NAT网关列表, 单击“创建公网NAT网关”按钮,进入创建公网NAT网关页面。
  2. 参考下表,配置相关参数。
    参数
    说明
    本文取值
    计费类型支持按量计费和包年包月。按量计费
    地域选择公网NAT网关所在地域。华北2(北京)
    名称设置公网NAT网关的名称。公网NAT网关-B
    规格选择公网NAT网关的规格。小型
    私有网络选择私有网络。VPC-A|172.16.1.0/16
    子网下拉选择子网。子网-B|172.16.2.0/24
    项目选择公网NAT网关所属的项目。default
    配置方式选择公网NAT网关的配置方式。手动配置
    标签按需为公网NAT网关添加一个或多个用户标签。不添加用户标签
  3. 单击“确认订单”按钮,进入订单详情页面。
  4. 确认信息无误后,请根据控制台指引查阅并确认相关协议,单击“立即购买”按钮,完成创建。

    说明

    若创建失败,请参考 创建公网NAT网关失败是什么原因

  5. 在公网NAT网关列表,单击目标网关右侧的“配置公网IP”按钮,进入配置公网IP页面。
  6. 单击“绑定公网IP”按钮,在弹出的绑定公网IP窗口中,下拉选择预先准备的EIP-B,单击“确定”按钮,完成绑定。
  7. 重复第8步,绑定预先准备的EIP-C。

步骤二:配置路由

私有网络内创建首个公网NAT网关,系统自动为其在私有网络系统路由表配置路由;私有网络内创建非首个公网NAT网关,需要您手动为其配置路由,您可通过本操作为私有网络内非首个公网NAT网关配置路由。

创建路由表

  1. 登录 路由表控制台
  2. 在顶部导航栏,选择目标地域和项目,本文示例“华北2(北京)”和“default”。
  3. 单击“创建路由表”按钮,进入创建路由表页面。
  4. 参考下表,配置相关参数。
    参数
    说明
    本文取值
    名称输入自定义路由表的名称。route-X
    私有网络选择路由表所属的私有网络。VPC-A
  5. 单击“确定”按钮,完成配置。

关联子网

  1. 在路由表列表,单击新创建自定义路由表右侧的“关联子网”按钮,进入关联子网页面。
  2. 选中子网-B,单击“确定”按钮,完成关联。
  3. 重复第1、2步,关联子网-C。此时子网-A关联系统路由表,子网-B、子网-C关联自定义路由表。

添加公网NAT网关路由

  1. 在路由表列表,单击目标自定义路由表名称,进入路由表详情页面。
  2. 选择“路由条目 > 自定义路由”页签,单击“添加路由条目”按钮,弹出添加路由条目窗口。
  3. 添加目标网段为0.0.0.0/0,下一跳为公网NAT网关-B的自定义路由。
  4. 单击“确定”按钮,完成配置。

此时已完成公网NAT网关-B路由配置,子网-B和子网-C中的无公网IP的云服务器实例流量可路由到公网NAT网关-B。

步骤三:创建SNAT规则

  1. 登录 公网NAT网关控制台
  2. 在顶部导航栏,选择公网NAT网关的地域和项目。
  3. 在公网NAT网关列表,单击公网NAT网关-B名称,进入公网NAT网关详情页面。
  4. 选择“SNAT规则”页签,单击“创建SNAT规则”按钮。
  5. 参考下表,配置相关参数。
    参数
    说明
    本文取值
    名称设置SNAT规则的名称。SNAT规则-B
    粒度选择SNAT规则的粒度。子网
    子网-B|172.16.2.0/24
    公网IP选择公网NAT网关已绑定的公网IP。180.XX.XX.22|EIP-B
  6. 单击“确定”按钮,完成创建。
  7. 登录预先准备的云服务器实例ECS-B,在命令行执行ping 8.8.8.8
    Ping通,则表示ECS-B可通过公网NAT网关的SNAT规则访问公网。

    说明

    若无法Ping通,请参考 已配置SNAT规则的云服务器无法访问公网

步骤四:创建DNAT规则

  1. 在公网NAT网关列表,单击公网NAT网关-B名称,进入公网NAT网关详情页面。
  2. 选择“DNAT规则”页签,单击“创建DNAT规则”按钮。
  3. 参考下表,配置相关参数。
    参数
    说明
    本文取值
    名称输入DNAT规则的名称。DNAT规则-C
    协议选择协议类型,支持TCP、UDP。TCP
    私网IP及其端口设置预先准备的云服务器实例的私网IP地址及其向公网提供服务的端口或端口段,端口范围为1~65535。172.16.3.33
    22
    公网IP及其端口设置公网NAT网关已绑定的公网IP及其接收来自公网的请求的端口或端口段,端口范围为1~65535。180.XX.XX.33|EIP-C
    80
  4. 单击“确定”按钮,完成创建。
  5. 打开本地电脑命令行,输入ssh <DNAT规则设置的公网IP地址> -p <DNAT规则设置的公网IP端口>
    若进入登录页面,则表示预先准备的云服务器实例ECS-C可通过公网NAT网关的DNAT规则向公网提供远程登录服务。

    说明

    若验证有问题,请参考 已配置DNAT规则的云服务器无法被公网访问