AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 NAT网关 实践教程 通过多NAT网关部署为业务获得高可用性 同VPC内多公网NAT网关部署方案

同VPC内多公网NAT网关部署方案

更新时间:
产品详情
我的收藏

同一个VPC内支持创建多个公网NAT网关,您可以通过不同的公网NAT网关转发去往不同目的地址的流量,并可以针对不同的公网NAT网关做不同的安全防护,实现更精细化地部署公网访问网络。

VPC内部署多公网NAT网关的场景说明

本文以下图场景为例,介绍如何在同一个VPC内通过部署多个公网NAT网关,结合路由表实现多业务系统公网出口的灵活分配与隔离。

  • 一个VPC内部署多个公网NAT网关(NATGW-1NATGW-2),分别位于vSwitch-A1vSwitch-A2中。

  • vSwitch-A1vSwitch-A2分别绑定至不同的路由表,并为每个路由表添加缺省路由(0.0.0.0/0)指向不同的NAT网关,以实现内网流量的分流。

  • 通过为不同业务的ECS实例配置SNAT条目,指定弹性公网IP,实现公网流量分流和隔离。

  • 通过配置DNAT条目,将外部用户的公网流量转发至内部ECS实例,以满足外部用户的远程访问需求。

image

配置步骤

步骤一:准备云网络资源

在为交换机部署公网NAT网关之前,您需首先创建VPC、vSwitch、ECS、EIP等云资源。

云网络资源

规格描述

数量

具体操作

VPC

地域:西南1(成都)。

1

创建专有网络和交换机

vSwitch

2

ECS实例

  • 地域:西南1(成都)。

  • 网络及可用区

    • ECS1部署在vSwitch-A1中。

    • ECS2ECS3部署在vSwitch-A2中。

  • 公网 IP:不分配公网IPv4地址。

    说明

    如果为ECS实例分配了公网IP,则该实例的互联网访问将直接通过该公网IP进行,无法通过公网NAT网关绑定的弹性公网IP进行访问。

3

创建ECS实例

EIP

地域和可用区:西南1(成都)。

3

申请EIP

步骤二:创建公网NAT网关

  1. 登录NAT网关管理控制台

  2. 公网NAT网关页面,单击创建公网NAT网关

  3. NAT网关页面,配置以下购买信息,然后单击立即购买

    配置项

    说明

    实例名称

    分别创建实例名称NATGW-1NATGW-2的公网NAT网关,以便后续在添加路由条目时进行选择。

    地域

    选择需要创建公网NAT网关的地域。

    网络及可用区

    请选择NAT网关所属的VPC和交换机。创建成功后,无法进行修改或切换。

    • NATGW-1实例选择vSwitch-A1。

    • NATGW-2实例选择vSwitch-A2。

    网络类型

    本文选择公网NAT网关

    • 公网NAT网关:具备网络地址转换能力,可以绑定弹性公网IP,从而为ECS实例提供访问互联网的能力,实现私网和公网之间的通信。

    • VPC NAT网关:同样具备网络地址转换能力,但无法绑定弹性公网IP,只能为ECS实例提供私网内部的地址转换,适用于内网地址隐藏、地址冲突规避等场景。

    弹性公网IP

    本文选择:稍后配置

步骤三:绑定弹性公网IP

EIP1绑定至NATGW-1,将EIP2EIP3绑定至NATGW-2。

  1. 公网NAT网关页面,找到目标实例,单击弹性公网IP列下的立即绑定

    image

  2. 绑定弹性公网IP面板,选择从已有弹性公网IP中选择,然后在下拉列表中选择EIP。

    NATGW-2绑定EIP2EIP3为例进行说明。

    说明

    每绑定一个弹性公网IP,将占用NAT网关所在交换机的一个私网IP地址。请确保该交换机具有足够的可用私网IP地址,否则将无法成功绑定新的弹性公网IP。

    image

步骤四:创建SNAT条目和DNAT条目

  1. 公网NAT网关页面,找到目标公网NAT网关实例,然后在操作列单击设置SNAT

  2. SNAT管理页签,单击创建SNAT条目

  3. 创建SNAT条目页面,配置以下参数,然后单击确定创建

    NATGW-2为例,创建SNAT条目以便为ECS2实例提供通过EIP1访问互联网的能力。您也可根据自身需求调整SNAT条目粒度。

    配置项

    说明

    SNAT条目粒度

    本次选择ECS/弹性网卡粒度,在通过ECS或弹性网卡进行选择下拉列表中选择ECS2实例。

    • VPC粒度:适用于需要让VPC内所有ECS实例,以及通过CEN或专线等产品实现内网互通并配置了0.0.0.0/0路由条目指向该VPC的其他VPC或数据IDC内的ECS实例,统一通过同一弹性公网IP访问公网的场景。

    • 交换机粒度:适用于对公网访问有精细控制需求,只允许指定的交换机具备公网访问能力的场景。

    • ECS/弹性网卡粒度:适用于对公网访问有精细控制需求,只允许指定的ECS实例或弹性网卡具备公网访问能力的场景。

    • 自定义网段粒度:适用于需要灵活指定任意IP网段,通过NAT网关统一配置公网访问能力的场景,可覆盖VPC内、跨VPC或跨本地IDC等各种网络环境,满足复杂或定制化网络结构的需求。

    说明

    当您选择多个交换机或ECS/弹性网卡时,将为您创建多条SNAT条目,这些条目将使用相同的公网IP地址。

    选择弹性公网IP地址

    单击弹性公网IP,在下拉列表中选择EIP2。

  4. DNAT管理页签,单击创建DNAT条目

  5. 创建DNAT条目页面,配置以下参数,然后单击确定创建

    ECS3创建DNAT条目,本文以SSH服务作为远程访问的验证方式,请确保ECS3实例所属安全组已放通22号端口,具体操作请参见管理安全组规则。您可以根据自身实际需求创建对应的DNAT条目。

    说明

    SSH服务:采用面向连接的TCP协议传输,应用22号端口。

    image

步骤五:为vSwitch-A2绑定自定义路由表

路由表由路由条目组成,每条路由条目指定了网络流量的目的地。除默认路由表外,您还可以创建自定义路由表,管理网络流量。

  1. 在左侧导航栏,单击路由表,在路由表页面,单击创建路由表。

  2. 路由表页面,找到目标实例,单击绑定资源>立即绑定

    image

  3. 路由条目列表页签,单击自定义路由条目 > 添加路由条目。配置完成后,如下图所示:

    image

结果验证

ECS实例访问公网。

通过Workbench控制台依次登录ECS1、ECS2实例,执行如下命令。

ping 223.5.5.5
curl myip.ipip.net

image

外部用户远程登录ECS实例

登录本地设备,以Windows操作系统为例,打开命令提示符(CMD),并执行如下命令。

ssh root@EIP3
ifconfig

image

上一篇:通过多NAT网关部署为业务获得高可用性下一篇:在同一个VPC内切换公网NAT网关实例