单个私有网络部署多个公网NAT网关
最近更新时间:2024.01.26 11:24:52
首次发布时间:2023.01.06 07:44:26
当私有网络内不同子网的云服务器实例对公网需求不同时,可使用多个NAT网关,便于精细化管理公网流量。本文为您介绍如何在同一个私有网络内部署多个公网NAT网关。
背景介绍
某企业同一私有网络内的三个子网,子网-A用于产品开发,子网-B和子网-C用于产品测试,不同子网对公网的需求不同,为精细化管理公网流量,现使用两个公网NAT网关。
私有网络的名称为VPC-A,网段为172.16.1.0/16。
- 子网-A的网段为172.16.1.0/24,云服务器ECS-A的IP地址为172.16.1.11。
- 子网-B的网段为172.16.2.0/24,云服务器ECS-B的IP地址为172.16.2.22。
- 子网-C的网段为172.16.3.0/24,云服务器ECS-C的IP地址为172.16.3.33。
上图公网NAT网关-A仅呈现一条SNAT规则,公网NAT网关-B仅呈现一条SNAT规则和一条DNAT规则,在实际使用过程中,您可按需创建多条SNAT规则和DNAT规则。
准备工作
根据背景介绍,在操作之前,您需要做如下准备:
使用火山引擎账号,在华北2(北京)地域创建1个VPC,VPC的参数同上述背景介绍 保持一致。具体操作,请参考 创建私有网络 。
在VPC-A的子网-A中创建云服务器ECS-A(172.16.1.11),子网-B中创建云服务器ECS-B(172.16.2.22),子网-C中创建云服务器ECS-C(172.16.3.33),三台云服务器均未绑定公网IP。具体操作,请参考 购买云服务器 。
申请3个未绑定云资源的公网IP,本文使用EIP-A(180.XX.XX.11)、EIP-B(180.XX.XX.22)和EIP-C(180.XX.XX.33)。具体操作,请参考 申请公网IP 。
配置首个公网NAT网关
步骤一:创建公网NAT网关并绑定公网IP
登录 公网NAT网关控制台 。
在顶部导航栏,选择目标地域和项目,本文示例“华北2(北京)”和“default”。
单击“创建公网NAT网关”按钮,进入创建公网NAT网关页面。
参考下表,配置相关参数。
参数说明本文取值计费类型 支持按量计费和包年包月。 按量计费 地域 选择公网NAT网关所在地域。 华北2(北京) 名称 设置公网NAT网关的名称。 公网NAT网关-A 规格 选择公网NAT网关的规格。 小型 私有网络 选择私有网络。 VPC-A|172.16.1.0/16 子网 下拉选择子网。 子网-A|172.16.1.0/24 项目 选择公网NAT网关所属的项目。 default 配置方式 选择公网NAT网关的配置方式。 手动配置 标签 按需为公网NAT网关添加一个或多个用户标签。 不添加用户标签 单击“确认订单”按钮,进入订单详情页面。
确认信息无误后,勾选“我已阅读并同意《公网NAT网关服务条款》”,单击“立即购买”按钮,完成创建。
说明
若创建失败,请参考 创建公网NAT网关失败是什么原因 。
在公网NAT网关列表,单击目标网关右侧的“配置公网IP”按钮,进入配置公网IP页面。
单击“绑定公网IP”按钮,在弹出的绑定公网IP窗口中,下拉选择预先准备的EIP-A,单击“确定”按钮,完成绑定。
步骤二:创建SNAT规则
- 在公网NAT网关列表,单击公网NAT网关-A名称,进入公网NAT网关详情页面。
- 选择“SNAT规则”页签,单击“创建SNAT规则”按钮。
- 参考下表,配置相关参数。
参数说明本文取值
名称 设置SNAT规则的名称。 SNAT规则-A 粒度 选择SNAT规则的粒度。 子网
子网-A|172.16.1.0/24公网IP 选择公网NAT网关已绑定的公网IP。 180.XX.XX.11|EIP-A - 单击“确定”按钮,完成创建。
- 登录预先准备的云服务器实例ECS-A,在命令行执行
ping 8.8.8.8。 - Ping通,则表示ECS-A可通过公网NAT网关的SNAT规则访问公网。
说明
若无法Ping通,请参考 已配置SNAT规则的云服务器无法访问公网 。
配置非首个公网NAT网关
步骤一:创建公网NAT网关并绑定公网IP
- 在公网NAT网关列表, 单击“创建公网NAT网关”按钮,进入创建公网NAT网关页面。
- 参考下表,配置相关参数。
参数说明本文取值
计费类型 支持按量计费和包年包月。 按量计费 地域 选择公网NAT网关所在地域。 华北2(北京) 名称 设置公网NAT网关的名称。 公网NAT网关-B 规格 选择公网NAT网关的规格。 小型 私有网络 选择私有网络。 VPC-A|172.16.1.0/16 子网 下拉选择子网。 子网-B|172.16.2.0/24 项目 选择公网NAT网关所属的项目。 default 配置方式 选择公网NAT网关的配置方式。 手动配置 标签 按需为公网NAT网关添加一个或多个用户标签。 不添加用户标签 - 单击“确认订单”按钮,进入订单详情页面。
- 确认信息无误后,勾选“我已阅读并同意《公网NAT网关服务条款》”,单击“立即购买”按钮,完成创建。
说明
若创建失败,请参考 创建公网NAT网关失败是什么原因 。
- 在公网NAT网关列表,单击目标网关右侧的“配置公网IP”按钮,进入配置公网IP页面。
- 单击“绑定公网IP”按钮,在弹出的绑定公网IP窗口中,下拉选择预先准备的EIP-B,单击“确定”按钮,完成绑定。
- 重复第8步,绑定预先准备的EIP-C。
步骤二:配置路由
私有网络内创建首个公网NAT网关,系统自动为其在私有网络系统路由表配置路由;私有网络内创建非首个公网NAT网关,需要您手动为其配置路由,您可通过本操作为私有网络内非首个公网NAT网关配置路由。
创建路由表
- 登录 路由表控制台 。
- 在顶部导航栏,选择目标地域和项目,本文示例“华北2(北京)”和“default”。
- 单击“创建路由表”按钮,进入创建路由表页面。
- 参考下表,配置相关参数。
参数说明本文取值
名称 输入自定义路由表的名称。 route-X 私有网络 选择路由表所属的私有网络。 VPC-A - 单击“确定”按钮,完成配置。
关联子网
- 在路由表列表,单击新创建自定义路由表右侧的“关联子网”按钮,进入关联子网页面。
- 选中子网-B,单击“确定”按钮,完成关联。
- 重复第1、2步,关联子网-C。此时子网-A关联系统路由表,子网-B、子网-C关联自定义路由表。
添加公网NAT网关路由
- 在路由表列表,单击目标自定义路由表名称,进入路由表详情页面。
- 选择“路由条目 > 自定义路由”页签,单击“添加路由条目”按钮,弹出添加路由条目窗口。
- 添加目标网段为0.0.0.0/0,下一跳为公网NAT网关-B的自定义路由。
- 单击“确定”按钮,完成配置。
此时已完成公网NAT网关-B路由配置,子网-B和子网-C中的无公网IP的云服务器实例流量可路由到公网NAT网关-B。
步骤三:创建SNAT规则
- 登录 公网NAT网关控制台 。
- 在顶部导航栏,选择公网NAT网关的地域和项目。
- 在公网NAT网关列表,单击公网NAT网关-B名称,进入公网NAT网关详情页面。
- 选择“SNAT规则”页签,单击“创建SNAT规则”按钮。
- 参考下表,配置相关参数。
参数说明本文取值
名称 设置SNAT规则的名称。 SNAT规则-B 粒度 选择SNAT规则的粒度。 子网
子网-B|172.16.2.0/24公网IP 选择公网NAT网关已绑定的公网IP。 180.XX.XX.22|EIP-B - 单击“确定”按钮,完成创建。
- 登录预先准备的云服务器实例ECS-B,在命令行执行
ping 8.8.8.8。
Ping通,则表示ECS-B可通过公网NAT网关的SNAT规则访问公网。说明
若无法Ping通,请参考 已配置SNAT规则的云服务器无法访问公网 。
步骤四:创建DNAT规则
- 在公网NAT网关列表,单击公网NAT网关-B名称,进入公网NAT网关详情页面。
- 选择“DNAT规则”页签,单击“创建DNAT规则”按钮。
- 参考下表,配置相关参数。
参数说明本文取值
名称 输入DNAT规则的名称。 DNAT规则-C 协议 选择协议类型,支持TCP、UDP。 TCP 私网IP及其端口 设置预先准备的云服务器实例的私网IP地址及其向公网提供服务的端口或端口段,端口范围为1~65535。 172.16.3.33
22公网IP及其端口 设置公网NAT网关已绑定的公网IP及其接收来自公网的请求的端口或端口段,端口范围为1~65535。 180.XX.XX.33|EIP-C
80 - 单击“确定”按钮,完成创建。
- 打开本地电脑命令行,输入
ssh <DNAT规则设置的公网IP地址> -p <DNAT规则设置的公网IP端口>。
若进入登录页面,则表示预先准备的云服务器实例ECS-C可通过公网NAT网关的DNAT规则向公网提供远程登录服务。说明
若验证有问题,请参考 已配置DNAT规则的云服务器无法被公网访问 。