VPC NAT网关可以实现私网IP地址转换,满足地址冲突时网络互访和指定IP地址访问的诉求。
创建/删除VPC NAT网关
控制台
创建VPC NAT网关
付费类型:按量付费。
地域:选择创建VPC NAT网关的地域。
网络及可用区:选择VPC NAT 网关所属的VPC和交换机。
在确认订单页面,确认参数配置及服务协议,单击立即开通。
创建完成后,可以在VPC NAT网关页面查看已创建的VPC NAT网关实例。
基本信息页签,可查看VPC NAT网关的VPC、交换机等信息。
NAT IP页签,可查看默认NAT IP地址段和默认NAT IP地址。
默认NAT IP地址段为该VPC NAT网关所属交换机的网段,默认NAT IP地址为系统在交换机网段中随机分配的一个IP地址。二者均不能删除。
删除VPC NAT网关
单击目标VPC NAT网关实例操作列的删除。
删除前,需删除VPC NAT网关下的SNAT条目、DNAT条目、自定义NAT IP地址和自定义NAT IP地址段。也可以选择强制删除,系统会同时删除VPC NAT网关实例及相关资源,需谨慎操作。
API
调用CreateNatGateway创建VPC NAT网关。
调用DeleteNatGateway删除VPC NAT网关。
配置NAT IP和地址段
创建VPC NAT网关后,系统会使用VPC NAT网关所属交换机的网段作为默认NAT IP地址段。可以为VPC NAT网关新建NAT IP地址段,满足更多需求。
NAT IP地址可以用来创建SNAT条目或DNAT条目,默认NAT IP地址为系统在交换机网段中随机分配的一个IP地址。可以在NAT IP地址段中添加NAT IP地址,增加VPC NAT网关用于地址转换的私网IP地址。
控制台
新建NAT IP地址段
前往VPC NAT网关页面,在顶部菜单栏,选择VPC NAT网关的地域。
单击目标VPC NAT网关实例ID进入详情页,选择NAT IP页签,单击新建地址段。地址段需满足以下条件:
建议使用RFC私网地址10.0.0.0/16、172.16.0.0/16、192.168.0.0/16这三个私网网段及其子网作为地址段,支持的子网掩码位数范围为16至32位。如需使用公网网段,需使用用户网段保证该网段在专有网络地址段范围内,再将其作为NAT IP地址段。
不能与VPC NAT网关所属VPC的私网网段重叠。如果需要将私网地址转换为VPC私网网段内的其他地址,请在对应的VPC私网网段内创建交换机,并在该交换机中创建新的VPC NAT网关提供私网地址转换服务。
添加NAT IP地址
前往VPC NAT网关页面,在顶部菜单栏,选择VPC NAT网关的地域。
单击目标VPC NAT网关实例ID进入详情页,选择NAT IP页签,单击添加NAT IP。
选择地址段:选择VPC NAT网关下任意的NAT IP地址段或者新建NAT IP地址段。
分配方式:随机分配IP或从所选地址段中指定IP地址来手动分配IP。
删除NAT IP地址
默认NAT IP地址无法删除。
单击目标NAT IP地址操作列的删除,或选择多个NAT IP地址,在页面下方单击删除。
删除NAT IP地址段
默认NAT IP地址段无法删除。
单击目标NAT IP地址段右侧
图标。删除前,需先删除该地址段中的NAT IP地址。
API
调用CreateNatIpCidr新建NAT IP地址段。
调用CreateNatIp添加NAT IP地址。
调用DeleteNatIp删除NAT IP地址。
调用DeleteNatIpCidr删除NAT IP地址段。
配置SNAT条目
通过创建SNAT条目,VPC中的资源可以通过NAT IP地址访问其他VPC或IDC网络。
控制台
创建 SNAT 条目
前往VPC NAT网关页面,在顶部菜单栏,选择VPC NAT网关的地域。
单击目标VPC NAT网关实例操作列的SNAT管理,单击创建SNAT条目。
SNAT条目粒度:选择SNAT条目的粒度。
专有网络粒度:VPC NAT网关所属VPC下的所有地址段可以通过配置的SNAT规则访问外部私网。
交换机粒度:指定交换机下的ECS实例通过配置的SNAT规则访问外部私网。
选择交换机:可以在下拉列表选择已创建的交换机,也可以单击创建交换机跳转到VPC控制台创建交换机后选择。
交换机网段:显示交换机的网段。
ECS粒度:指定的ECS实例通过配置的SNAT规则访问外部私网。
选择ECS:可以在下拉列表选择已创建的ECS实例,也可以单击创建ECS跳转到ECS控制台创建ECS实例后选择。选择多个ECS时,将会创建多条SNAT条目,使用相同的NAT IP地址。需确保ECS实例的状态处于运行中。
ECS网段:显示ECS的网段。
自定义网段粒度:输入任意网段后,该网段的下ECS实例都可以通过配置的SNAT规则访问外部私网。
选择NAT IP地址:在下拉列表中选择一个或多个用来访问外部私网的NAT IP地址。可以在下拉列表选择新建NAT IP,创建后选择。
NAT IP亲和性:选择多个NAT IP,未开启亲和性时,同一个私网IP访问单一目的IP,可能使用不同的NAT IP。开启后,会使用相同的NAT IP。
创建完成后,可单击目标条目操作列的编辑,修改NAT IP地址与NAT IP亲和性。
删除 SNAT 条目
在VPC NAT网关详情页的SNAT管理页签,单击目标SNAT条目操作列的删除。
API
调用CreateSnatEntry创建SNAT条目。
调用DeleteSnatEntry删除SNAT条目。
配置DNAT条目
通过创建DNAT条目,将VPC NAT网关上的NAT IP地址映射给VPC内的ECS实例使用,ECS实例可以对外部私网提供服务。
控制台
创建 DNAT 条目
前往VPC NAT网关页面,在顶部菜单栏,选择VPC NAT网关的地域。
单击目标VPC NAT网关实例操作列的DNAT管理,单击创建DNAT条目。
选择NAT IP地址:选择供外部私网访问的NAT IP地址。支持将一个NAT IP地址同时用于DNAT条目(端口映射方式)和SNAT条目。
选择私网IP地址:选择要通过DNAT规则进行通信的私网IP地址。支持通过ECS或弹性网卡进行选择或通过手动输入。
端口设置:配置DNAT映射。
任意端口:属于IP映射,任何访问该NAT IP地址的请求都将转发到目标ECS实例上,目标ECS实例也可以使用该NAT IP地址主动访问外部私网。
DNAT条目中配置了IP映射方式的NAT IP地址不能再被其他DNAT条目或SNAT条目使用。
如果NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的NAT IP地址访问外部私网。
具体端口:属于端口映射,VPC NAT网关会将以指定协议和端口访问该NAT IP地址的请求转发到目标ECS实例的指定端口上。 配置前端端口(NAT IP地址被外部私网访问的端口)、后端端口(映射的目标ECS实例端口)、协议类型(转发端口的协议类型)。
输入的端口范围需要在1~65535之间。
当选择的NAT IP已创建SNAT条目,且需要设置大于
1024的端口时,因SNAT默认分配端口范围在1025~65535之间,需开启端口突破。但开启端口突破会导致部分存量SNAT的连接闪断,重连即可恢复,请谨慎操作。
创建完成后,可单击目标条目操作列的编辑,修改NAT IP地址、私网IP地址和端口。
删除 DNAT 条目
在VPC NAT网关详情页的DNAT管理页签,单击目标DNAT条目操作列的删除。
API
调用CreateForwardEntry创建DNAT条目。
调用DeleteForwardEntry删除DNAT条目。
配置路由
参考以下操作配置路由来管理网络流量。
使用默认NAT IP地址段作为VPC NAT网关的私网转换地址段。
在VPC NAT网关所在VPC的系统路由表中添加目标网段为对端网段,下一跳指向VPC NAT网关的自定义路由条目。
为VPC NAT网关所在交换机自定义一张路由表,在自定义路由表中查看是否学习到对端网段的动态路由条目(例如从CEN学习到的动态路由)。
如果已经学习到对端网段的动态路由条目,则不需要手动添加指向对端网络的自定义路由条目。
如果没有学习到对端网段的动态路由条目,则需要手动添加目标网段为对端网段,下一跳指向对端设备(例如VBR、CEN等)的自定义路由条目。
使用自定义NAT IP地址段作为VPC NAT网关的私网转换地址段。
在VPC NAT网关所在VPC的系统路由表中添加目标网段为自定义NAT IP地址段,下一跳指向VPC NAT网关的自定义路由条目。
在VPC NAT网关所在VPC的系统路由表中添加目标网段为对端网段,下一跳指向VPC NAT网关的自定义路由条目。
为VPC NAT网关所在交换机自定义一张路由表,并添加目标网段为对端网段,下一跳指向对端设备(例如路由器接口、转发路由器)的自定义路由条目。
使用自定义NAT IP地址段与云下资源或云上其他VPC资源互访时,需要使用企业版转发路由器组网。