通过VPC NAT网关实现VPC地址冲突时的私网访问

在实现专有网络VPC之间的私网互通时,如果VPC之间存在私网地址冲突,您可以通过VPC NAT网关对冲突的私网地址进行转换,并通过云企业网实现VPC之间的私网互通。

场景示例

某企业在华南1(深圳)地域已创建两个相同网段的专有网络VPC。由于要互通的CIDR网段重叠,导致两个私网之间无法通过部署云企业网实现私网访问,因此,还需对各自的私网地址进行地址转换,从而实现VPC_A访问VPC_B。

实现VPC地址冲突时的私网访问,只需4步:

  1. 添加附加IPv4网段:我们将先通过为VPC添加附加网段,来扩充VPC的网段,为后续资源的创建提供环境。

  2. 搭建云企业网:然后我们将VPC实例接入转发路由器,接入后,转发路由器可以实现VPC_A访问VPC_B。

  3. 网络地址转换:接着我们将通过VPC NAT网关转换云服务地址,满足地址冲突情况下的网络访问需求。

  4. 配置路由表:最后我们将通过在路由表中添加自定义路由条目,实现上述资源之间的路由转发。

image

配置步骤

步骤一:分配附加网段并创建交换机

分别为VPC_AVPC_B添加附加网段并创建交换机,以下为附加网段地址规划,您也可以自行规划网段,请确保您的网段之间没有重叠。

专有网络

IPv4网段

交换机网段与可用区

VPC_A

172.16.0.0/12(附加网段)

172.16.20.0/24(深圳可用区E)

VPC_B

10.0.0.0/8(附加网段)

10.0.20.0/24(深圳可用区E)

  1. 登录专有网络管理控制台,单击目标实例ID,在基本信息页签,单击网段管理页签,添加附加IPv4网段

    image

  2. 在左侧导航栏,单击交换机,在交换机页面,单击创建交换机

    image

步骤二:通过转发路由器连接VPC

分别为VPC_AVPC_B创建VPC连接,以实现VPC_A访问VPC_B。

  1. 登录云企业网管理控制台创建云企业网实例

  2. 云企业网实例创建成功面板,单击创建网络实例连接

    说明

    企业版转发路由器支持的地域和可用区,请参见转发路由器的版本

    image

步骤三:配置VPC NAT网关

地址转换:通过VPC NAT网关的SNAT条目和DNAT条目,将各自VPC下的ECS实例地址转换成NAT IP地址进行交互,以解决地址冲突问题。

  1. NAT网关管理控制台页面,单击左侧导航栏VPC NAT网关。在VPC NAT网关页面,单击创建VPC NAT网关。

    分别为VPC_AVPC_B创建VPC NAT网关。

    image

  2. 在VPC NAT网关页面,找到VPC_NATGW_A实例,单击操作列中的SNAT管理

    VPC_A创建SNAT条目,本文以VPC粒度为例,您也可以根据自身需求,调整SNAT条目粒度。

    image

  3. 在VPC NAT网关页面,找到VPC_NATGW_B实例,单击操作列中的DNAT管理

    ECS_B创建DNAT条目,本文以SSH服务作为内网互通的验证方式,请确保ECS_B实例所属安全组已放通22号端口,具体操作请参见添加安全组规则。您可以根据自身实际需求创建对应的DNAT条目。

    说明

    SSH服务:采用面向连接的TCP协议传输,应用22号端口。

    image

步骤四:配置路由表

  1. 创建自定义路由表并绑定交换机

    1. 在左侧导航栏,单击路由表,在路由表页面,单击创建路由表。

      分别为VPC_A、VPC_B创建自定义路由表。

      image

    2. 路由表页面,找到目标实例,单击绑定资源>立即绑定

      分别将vSwitch_A1、vSwitch_B1绑定至自定义路由表。

      image

  2. (可选)优化VPC_A和VPC_B路由表中的路由条目。

    以下路由条目的调整不会影响本次网络连通性。但考虑到您后续的维护和业务的扩展,建议按照以下步骤进行路由调整。

    说明

    路由优先级的生效规则。请参见路由表概述

    1. 删除如下三条由转发路由器配置后默认创建的路由条目。

      image

    2. 系统路由表中除VPC NAT网关实例所属网段的路由条目,撤回发布。

      image

  3. 路由配置:添加对应路由条目,实现各资源之间的路由转发。请依据下表中的数据,分别为VPC_A、VPC_B的路由表配置路由条目。

    专有网络

    路由表

    目标网段

    下一跳

    VPC_A

    系统路由表

    10.0.20.0/24

    转发路由器

    自定义路由表

    10.0.20.0/24

    VPC_NATGW_A

    VPC_B

    系统路由表

    172.16.20.0/24

    转发路由器

    自定义路由表

    172.16.20.0/24

    VPC_NATGW_B

    下图将展示为VPC_A的系统路由表添加路由条目:

    image

    image

结果验证

在ECS_A实例中,执行如下命令,远程登录ECS_B实例,然后查看实例网卡IP。

ssh root@10.0.20.190
ifconfig

image

如图,我们可以确认ECS_A实例已正常通过VPC_NATGW_A实例的NAT IP(172.16.20.14)访问VPC_NATGW_B实例的NAT IP(10.0.20.190),从而远程登录到ECS_B实例中。

相关内容