文档

同VPC内多公网NAT网关部署方案

更新时间:

同一个VPC内支持创建多个公网NAT网关,您可以通过不同的公网NAT网关转发去往不同目的地址的流量,并可以针对不同的公网NAT网关做不同的安全防护,实现更精细化地部署公网访问网络。

同VPC内部署多公网NAT网关的场景说明

本文以下图场景为例,为您介绍如何使用公网NAT网关产品在同一个VPC内部署多公网NAT网关的网络环境。

同VPC多NAT网关方案架构图

上述场景方案中的交换机对应的场景说明如下:

  • 创建一个VPC并部署3个vSwitch,其中网络安全域1内部署一套公网NAT网关(NATGW-1),vSwitch1使用该套网关;网络安全域2内部署另一套公网NAT网关(NATGW-2),vSwitch2和vSwitch3共享这套网关。

    • vSwitch1属于网络安全域1,关联系统路由表。独立公网IP,50 Mbps带宽;不主动对外暴露公网IP,只允许内部主机主动对外访问,并要求独立环境。

    • vSwitch2和vSwitch3属于网络安全域2,关联VPC子网路由表。共享网络安全域2内的统一公网出口1 Gbps;既能被外网访问,同时需要主动访问公网。

  • 创建一个名为EIP1且带宽为50 Mbps的EIP,用于绑定NATGW-1的SNAT。

  • 申请一个1 Gbps的共享带宽,用于NATGW-2,再申请3个名为EIP2、EIP3和EIP4且带宽均为5 Mbps的EIP,加入到该共享带宽中,2个EIP分别用于vSwitch2和vSwitch3的DNAT使用,第3个EIP用于两个vSwitch的SNAT访问。

  • 配置公网NAT网关的监控,针对NATGW-2下不同vSwitch的流量进行监控,监控vSwitch的使用情况。

部署流程

同VPC内多NAT网关部署流程

步骤一:准备云网络资源

在为交换机部署公网NAT网关前,您需要先创建VPC、vSwitch、ECS、EIP和共享带宽等云资源。

云网络资源

规格描述

数量

具体操作

VPC

地域:华北5(呼和浩特)。

1个

创建专有网络和交换机

vSwitch

可用区

  • 呼和浩特可用区A:1个,vSwitch1部署在该可用区。

  • 呼和浩特可用区B:2个,vSwitch2和vSwitch3部署在该可用区。

3个

创建专有网络和交换机

ECS实例

  • 付费模式:选择按量付费

  • 地域及可用区:选择华北5(呼和浩特)

  • 实例:本文选择ecs.g6e.large

  • 镜像:本文选择Alibaba Cloud Linux 3.2104 64位

  • 网络:已创建的专有网络和交换机。

    • 呼和浩特可用区A:1个,ECS1创建在vSwitch1所在可用区。

    • 呼和浩特可用区B:2个,ECS2和ECS3创建在vSwitch2和vSwitch3所在可用区。

  • 公网IP: 选择不分配。

  • 安全组:选择使用默认安全组。

3台

创建ECS实例

EIP

  • 付费模式:选择按量付费

  • 地域:华北5(呼和浩特)。

  • 带宽峰值:1个50 Mbps,3个5 Mbps。

4个

申请EIP

共享带宽

  • 付费模式:选择按量计费

  • 地域:华北5(呼和浩特)。

  • 峰值带宽:1000 Mbps。

1个

创建共享带宽实例

步骤二:创建两个公网NAT网关实例

在创建的VPC内创建两个按使用量计费的公网NAT网关实例,名称为NATGW-1和NATGW-2,其中NATGW-1用于绑定在vSwitch1内,NATGW-2用于绑定在vSwitch2和vSwitch3内。

  1. 登录NAT网关管理控制台
  2. 公网NAT网关页面,单击创建NAT网关
  3. 首次使用NAT网关时,在创建公网NAT网关页面关联角色创建区域,单击创建关联角色。角色创建成功后即可创建NAT网关。

    创建角色 关于NAT网关服务关联角色的更多信息,请参见服务关联角色

  4. 在创建公网NAT网关页面,配置以下购买信息,然后单击立即购买

    配置

    说明

    付费模式

    默认选择为按量付费,即一种先使用后付费的付费模式。更多信息,请参见公网NAT网关计费

    资源组

    选择VPC所属的资源组。更多信息,请参见资源组概述

    标签

    • 标签键:选择或输入完整的标签键。

      最多支持输入20个标签键。一个标签键最多支持128个字符,不能以aliyun和acs:开头,不能包含http://或者https://。

    • 标签值:选择或输入完整的标签值。

      最多支持输入20个标签值。一个标签值最多支持128个字符,不能以aliyun和acs:开头,不能包含http://或者https://。

    所属地域

    选择需要创建公网NAT网关的地域。

    所属专有网络

    选择公网NAT网关所属的VPC。创建后,不能修改公网NAT网关所属的VPC。

    关联交换机

    选择公网NAT网关实例所属的交换机。

    计费类型

    默认选择为按使用量计费,即按公网NAT网关实际使用量收费。更多信息,请参见公网NAT网关计费

    计费周期

    默认选择为按小时,即按使用量计费公网NAT网关的计费周期为1小时,不足1小时按1小时计算。

    实例名称

    设置公网NAT网关实例的名称。

    实例名称长度为2~128个字符,以英文大小写字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    访问模式

    选择公网NAT网关的访问模式。支持以下两种模式:

    • VPC全通模式(SNAT):选择了VPC全通模式,在公网NAT网关创建成功后当前VPC内所有实例即可通过该公网NAT网关访问公网。

      选择VPC全通模式(SNAT)后,您需要配置弹性公网IP(Elastic IP Address,简称EIP)的相关信息。

    • 稍后配置:如需稍后配置或有更多配置需求,可在购买完成后,前往控制台进行配置。

      选择稍后配置,则只购买公网NAT网关实例。

    本文选择稍后配置

  5. 确认订单页面确认公网NAT网关的配置信息,选中服务协议并单击确认订单

    当出现恭喜,购买成功!的提示后,说明您创建成功。

步骤三:为vSwitch2和vSwitch3添加自定义路由表

路由表由路由条目组成,每条路由条目指定了网络流量的目的地。除默认路由表外,您还可以创建自定义路由表,管理网络流量。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击路由表

  3. 选择要创建的路由表的地域。

    本文选择华北5(呼和浩特)地域。

    自定义路由表功能支持的地域信息,请参见自定义路由表发布及地域支持情况

  4. 路由表页面,单击创建路由表

  5. 创建路由表页面,根据以下信息配置路由表,然后单击确定

    配置

    说明

    资源组

    选择路由表所属的资源组。

    专有网络

    选择路由表所属的专有网络。

    名称

    输入路由表的名称。

    名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    描述

    输入路由表的描述。

    描述长度为2~256个字符,不能以http://https://开头。

  6. 路由表页面,找到目标路由表,单击路由表ID。

  7. 路由表基本信息页面,单击已绑定交换机页签,然后单击绑定交换机

  8. 绑定交换机页面,分别选择要绑定的vSwitch2和vSwitch3,然后单击确定

  9. 单击路由条目列表 > 自定义路由条目页签,然后单击添加路由条目,在添加路由条目面板设置以下配置信息。

    配置

    说明

    名称

    输入路由条目的名称。

    名称长度为2~128个字符之间,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    目标网段

    输入要转发到的目标网段,本文设置为0.0.0.0/0

    下一跳类型

    选择下一跳类型为NAT网关:将目的地址在目标网段范围内的流量路由至选择的NAT网关。

    NAT网关

    选择下一跳实例为步骤二:创建两个公网NAT网关实例中创建的NATGW-2网关。

    添加完成后,新建的自定义路由表中会增加一条指向NATGW-2的自定义路由条目。

步骤四:将3个5 Mbps带宽的EIP绑定到一个共享带宽

  1. 登录共享带宽管理控制台
  2. 在顶部菜单栏处,选择共享带宽实例的地域。

    本文选择华北5(呼和浩特)地域。

  3. 共享带宽页面,找到目标共享带宽实例,然后在操作列单击添加IP

  4. 添加IP面板,选择从已有EIP列表选取,然后选择资源组和可用EIP,最后单击确定

    将3个5 Mbps带宽的EIP加入1000 Mbps共享带宽后,这3个EIP会共享1000 Mbps带宽。

步骤五:将4个EIP逐个绑定到公网NAT网关

将创建的EIP绑定到步骤二:创建两个公网NAT网关实例中创建的公网NAT网关实例中,其中EIP1绑定到NATGW-1,EIP2、EIP3和EIP4绑定到NATGW-2。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择公网NAT网关的地域。

    本文选择华北5(呼和浩特)地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,然后在弹性公网IP列单击立即绑定

  4. 绑定弹性公网IP对话框,配置以下参数,然后单击确定

    配置

    说明

    所在资源组

    选择EIP所在的资源组。

    选择弹性公网IP

    选择从已有弹性公网IP中选择,然后在下拉列表中选择EIP:

    • 当绑定EIP到NATGW-1时,选择创建的50 Mbps的EIP实例。

    • 当绑定EIP到NATGW-2时,选择已加入共享带宽的3个EIP实例。

    绑定成功后,在公网NAT网关实例的弹性公网IP列将会显示出已绑定的EIP。

步骤六:创建SNAT条目

公网NAT网关的SNAT功能可以为VPC中无公网IP的ECS实例提供访问互联网的代理服务。为NATGW-1创建1条SNAT条目,为NATGW-2创建2条SNAT条目。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择公网NAT网关的地域。

    本文选择华北5(呼和浩特)地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,然后在操作列单击设置SNAT
  4. SNAT管理页签,单击创建SNAT条目

  5. 创建SNAT条目页面,配置以下参数,然后单击确定创建

    • 当为NATGW-1创建SNAT条目时,选择vSwitch1。

    • 当为NATGW-2创建SNAT条目时,请将vSwitch2和vSwitch3都指向同一个SNAT中绑定的EIP。

    配置

    说明

    SNAT条目粒度

    选择SNAT条目的粒度。本文以选择交换机粒度为例:指定交换机下的ECS实例通过配置的公网IP访问公网。

    • 选择交换机:在下拉列表中选择交换机。

      说明

      如您选择多个交换机,将会为您创建多条SNAT条目,使用相同的公网IP地址。

    • 交换机网段:选择后显示交换机的网段。

    选择公网IP地址

    选择用来提供公网访问的公网IP。本文以选择使用单IP为例,在下拉列表中选择步骤二中绑定至公网NAT网关的EIP。

    条目名称

    输入SNAT条目的名称。

步骤七:创建DNAT条目

通过NAT网关的DNAT功能,可以将NAT网关上的公网IP映射给ECS实例使用,使ECS实例能够提供互联网服务。为NATGW-2创建2条DNAT条目。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择公网NAT网关的地域。

    本文选择华北5(呼和浩特)地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,然后在操作列单击设置DNAT
  4. DNAT管理页签,单击创建DNAT条目

  5. 创建DNAT条目页面,配置DNAT条目参数,然后单击确定创建

    为vSwitch2和vSwitch3设置以下DNAT规则。

    配置

    说明

    选择公网IP地址

    在下拉列表选择要提供互联网通信的EIP。

    选择私网IP地址

    选择要通过DNAT规则进行互联网通信的ECS实例。选择通过ECS或弹性网卡进行选择:从ECS实例或弹性网卡列表中选择ECS实例。

    端口设置

    选择DNAT映射的方式,选择具体端口

    vSwitch2和vSwitch3的设置如下:

    • vSwitch2:

      • 公网端口:进行端口转发的外部端口,设置为22

      • 私网端口:进行端口转发的内部端口,设置为22

      • 协议类型:转发端口的协议类型,选择TCP

    • vSwitch3:

      • 公网端口:进行端口转发的外部端口,设置为22

      • 私网端口:进行端口转发的内部端口,设置为22

      • 协议类型:转发端口的协议类型,选择TCP

    请确保ECS2和ECS3的安全组入方向允许TCP协议22端口通行。

    条目名称

    DNAT条目的名称。

    名称长度为2~128个字符,以大小写字母或中文开头, 可包含数字、下划线(_)和短划线(-)。

步骤八:测试验证和指标监控

测试ECS实例访问公网的能力

登录ECS实例,以vSwitch1下的ECS1为例,执行以下操作步骤,验证ECS实例访问公网的能力,并可查看该ECS实例上绑定的SNAT地址。

  1. 登录vSwitch1下的ECS1。更多信息,请参见ECS连接方式概述

  2. 执行ping命令,ping www.aliyun.com测试网络连通性。

    如果能接收到回复报文,表示连接成功。

    经测试,ECS1可以访问互联网。ping

  3. 执行curl myip.ipip.net命令查看ECS1的公网出口IP,然后再执行ifconfig查看ECS1的私网IP。

    经测试,ECS1的公网出口IP是NATGW-1SNAT条目中的公网IP地址。查看SNAT地址

测试ECS实例对外提供公网服务的能力

  1. 登录本地Linux设备。

  2. 执行ssh root@公网IP命令,此处的公网IP即为NATGW-2的DNAT条目中的公网IP地址,然后输入ECS2实例的登录密码,查看是否可以远程连接到实例。

    若界面上出现Welcome to Alibaba Cloud Elastic Compute Service!时,表示您已经成功连接到实例,即ECS2通过NATGW-2的DNAT功能提供公网访问能力。test

  3. 执行ifconfig命令,查看到IP信息与ECS2的私网IP一致,证明该ECS实例提供公网服务。

    访问记录

查看监控指标

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择公网NAT网关的地域。

  3. 公网NAT网关页面,找到目标公网NAT网关,然后在监控列单击监控图标查看监控。

    关于公网NAT网关的监控指标,请参见公网NAT网关监控与运维