同一个VPC内支持创建多个增强型NAT网关,您可以通过不同的NAT网关来转发去往不同目的地址的流量,并可以针对不同的NAT网关做不同的安全防护,实现更精细化的部署公网访问网络。

同VPC内部署多NAT网关的场景说明

本部署方案将根据以下目标场景,利用增强型NAT产品在同一个VPC内构建独立的公网出入口的网络环境。

同VPC多NAT网关方案架构图
上述场景方案中的交换机对应的场景说明如下:
  • vSwitch1:属于网络安全域1,关联系统路由表。

    独立公网IP,50 Mbps带宽;不主动对外暴露公网IP,只允许内部主机主动对外访问,并要求独立环境。

  • vSwitch2:属于网络安全域2,关联VPC子网路由表。

    共享网络安全域2内的统一公网出口1 Gbps;既能被外网访问,同时需要主动访问公网。

  • vSwitch3:属于网络安全域2,关联VPC子网路由表。

    共享网络安全域2内的统一公网出口1 Gbps;既能被外网访问,同时需要主动访问公网。

同VPC内部署多NAT网关的解决方案说明

针对上述场景,您需要创建的资源和对应的解决方案罗列如下:

  • 创建一个VPC来部署3个vSwitch,其中网络安全域1内部署一套NAT网关(NATGW-1),vSwitch1使用该套网关;网络安全域2内部署另一套NAT网关(NATGW-2),vSwitch2和vSwitch3共享这套网关。
  • 创建一个50 Mbps的EIP,用于绑定NATGW-1的SNAT。
  • 申请一个1 Gbps的共享带宽,用于NATGW-2,再申请3个EIP加入到该共享带宽中,2个EIP分别用于vSwitch2和vSwitch3的DNAT使用,第三个EIP用于两个vSwitch的SNAT访问。
  • 配置NAT网关的监控,针对NATGW-2下不同vSwitch的SNAT流量进行监控,监控vSwitch的使用情况。

同VPC内部署多NAT网关的配置汇总

表 1. 环境准备
云资源 配置 数量
VPC 呼和浩特地域 1个
vSwitch 分布于两个可用区 3 个
表 2. vSwitch1部署配置列表
云资源 配置 数量
增强型NAT实例 按使用量计费 1个
EIP 按量付费-50 Mbps 1个
ECS ecs.g6e.large 1 台
表 3. vSwitch2和vSwitch3部署配置列表
云资源 配置 数量
增强型NAT实例 按使用量计费 1个
EIP 按量付费-5 Mbps 3个
共享带宽 按量付费-1 Gbps 1个
ECS ecs.g6e.large 2台

部署流程

同VPC内多NAT网关部署流程

步骤一:准备云网络资源

在为交换机部署NAT网关前,您需先创建VPC、vSwitch、ECS、EIP和共享带宽等云资源。

云网络资源 规格描述 数量 具体操作
VPC 地域:华北5(呼和浩特)。 1个 创建专有网络和交换机
vSwitch 可用区
  • 呼和浩特可用区A:1个,vSwitch1部署在该可用区。
  • 呼和浩特可用区B:2个,vSwitch2和vSwitch3部署在该可用区。
3个 创建专有网络和交换机
ECS实例
  • 付费模式:选择按量付费
  • 地域及可用区:华北5(呼和浩特)。
  • 实例:本操作选择ecs.g6e.large
  • 网络:已创建的专有网络和交换机。
    • 呼和浩特可用区A:1个。
    • 呼和浩特可用区B:2个。
  • 公网IP: 选择不分配。
  • 安全组:选择使用默认安全组。
3台 创建ECS实例
EIP
  • 地域:华北5(呼和浩特)。
  • 带宽峰值:1个50 Mbps,3个5 Mbps。
4个 申请新EIP
共享带宽
  • 地域:华北5(呼和浩特)。
  • 峰值带宽:1000 Mbps。
1个 创建共享带宽实例

步骤二:创建两个NAT网关实例

在创建的VPC内创建两个按使用量计费的NAT网关实例,名称为NATGW-1和NATGW-2,其中NATGW-1用于绑定在vSwitch1内,NATGW-2用于绑定在vSwitch2和vSwitch3内。

  1. 登录NAT网关管理控制台
  2. NAT网关页面,单击创建NAT网关
  3. 首次使用NAT网关时,需在创建NAT网关页面最下方的关联角色创建须知区域,单击创建,创建服务关联角色。角色创建成功后即可创建NAT网关。
    创建角色
  4. 创建NAT网关面板,配置以下购买信息,然后单击立即购买
    • 创建NATGW-1时,购买信息如下:
      • 付费模式:本文选择按量付费
      • 地域和可用区:本文选择华北5(呼和浩特)
      • 可用区:选择vSwitch1所属的可用区,呼和浩特可用区A。
      • VPC ID:选择创建的VPC。创建NAT网关后,不能修改NAT网关所属的VPC。
      • 交换机ID:选择创建的vSwitch1。
      • 网关类型:默认选择为增强型
      • 名称:设置NAT网关实例的名称为NATGW-1。

        名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

      • 计费类型:本文选择按使用量计费
      • 计费周期:默认显示NAT网关实例的计费周期为按小时
    • 创建NATGW-2时,购买信息如下:
      • 付费模式:本文选择按量付费
      • 地域和可用区:本文选择华北5(呼和浩特)
      • 可用区:选择vSwitch2所属的可用区,呼和浩特可用区B。
      • VPC ID:选择创建的VPC。创建NAT网关后,不能修改NAT网关所属的VPC。
      • 交换机ID:选择创建的vSwitch2。
      • 网关类型:默认选择为增强型
      • 名称:设置NAT网关实例的名称为NATGW-2。

        名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

      • 计费类型:本文选择按使用量计费
      • 计费周期:默认显示NAT网关实例的计费周期为按小时
  5. 在支付订单页面确认支付金额,然后单击支付完成购买。
    当出现 恭喜,支付成功!的提示后,说明您购买成功。

步骤三:添加自定义路由表用于vSwitch2和vSwitch3访问

路由表由路由条目组成,每个路由条目指定了网络流量的目的地。除默认路由表外,您还可以创建自定义路由表,管理路由流量。

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击路由表
  3. 选择要创建的路由表的地域。
    自定义路由表功能支持的地域信息,请参见 路由表概述
  4. 路由表页面,单击创建路由表
  5. 创建路由表页面,根据以下信息配置路由表,然后单击确定
    配置 说明
    资源组 选择路由表所属的资源组。
    专有网络 选择路由表所属的专有网络。
    名称 输入路由表的名称。

    名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    描述 输入路由表的描述。

    描述长度为2~256个字符,不能以http://https://开头。

    创建路由表后,您可以在 路由表页面查看 路由表类型自定义的路由表。系统会在自定义路由表中自动添加以下系统路由:
    • 以100.64.0.0/10为目标网段的路由条目,用于VPC内的云产品通信。
    • 以路由表所属VPC内的交换机网段为目标网段的路由条目,用于交换机内的云产品通信。
  6. 路由表页面,找到目标路由表,单击路由表ID。
  7. 路由表基本信息页面,单击已绑定交换机页签,然后单击绑定交换机
  8. 绑定交换机页面,选择要绑定的vSwitch2和vSwitch3,然后单击确定
  9. 单击路由条目列表页签,然后单击添加自定义路由条目,在添加路由条目面板设置以下配置信息。
    配置 说明
    名称 输入路由条目的名称。

    名称长度为2~128个字符之间,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    目标网段 输入要转发到的目标网段,此处设置为0.0.0.0/0
    下一跳类型 选择下一跳类型为NAT网关:将目的地址在目标网段范围内的流量路由至选择的NAT网关。
    NAT网关 选择下一跳实例为步骤二:创建两个NAT网关实例中创建的NATGW-2网关。
    添加完成后,新建的路由表中会增加一条默认路由指向增强型NAT网关。

步骤四:将3个5 Mbps带宽的EIP绑定到一个共享带宽来共享资源

  1. 登录共享带宽管理控制台
  2. 在顶部菜单栏处,选择共享带宽实例的地域。
  3. 共享带宽页面,找到目标共享带宽实例,单击操作列下的添加IP
  4. 添加IP对话框,选择从已有EIP列表选取,然后选择资源组和可用EIP,最后单击确定

步骤五:将4个EIP逐个绑定到NAT网关

将创建的EIP绑定到步骤二:创建两个NAT网关实例中创建的NAT网关实例中,其中50 Mbps的EIP绑定到NATGW-1,3个5 Mbps的EIP绑定到NATGW-2。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择NAT网关的地域。
  3. NAT网关页面,找到目标NAT网关实例,单击弹性公网IP列下的立即绑定
  4. 绑定弹性公网IP对话框,配置以下参数,然后单击确定
    配置 说明
    所在资源组 选择EIP所在的资源组。
    选择弹性公网IP 选择从已有弹性公网IP中选择,然后在下拉列表中选择EIP:
    • 当绑定EIP到NATGW-1时,选择创建的50 Mbps的EIP实例。
    • 当绑定EIP到NATGW-2时,选择创建的3个5 Mbps的EIP实例
    绑定成功后,在NAT网关实例的 弹性公网IP列将会显示出绑定的公网IP。

步骤六:创建SNAT条目

NAT网关的SNAT功能可以为VPC中无公网IP的ECS实例提供访问互联网的代理服务。为NATGW-1和NATGW-2网关创建3条SNAT条目。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择NAT网关的地域。
  3. NAT网关页面,找到目标NAT网关实例,单击操作列下的设置SNAT
  4. SNAT管理页签,单击创建SNAT条目
  5. 创建SNAT条目页面,配置以下参数,然后单击确定创建
    • 当为NATGW-1创建SNAT条目时,选择vSwitch1。
    • 当为NATGW-2创建SNAT条目时,请将vSwitch2和vSwitch3都指向同一个SNAT中绑定的EIP。
    配置 说明
    SNAT条目粒度 选择SNAT条目的粒度。本文以选择交换机粒度为例:指定交换机下的ECS实例通过配置的公网IP访问互联网。
    • 选择交换机:在下拉列表中选择交换机。如果下拉列表中没有可选的交换机,可在下拉列表单击创建交换机跳转到VPC控制台创建交换机。
      说明 如您选择多个交换机,将会为您创建多条SNAT条目,使用相同的公网IP地址。
    • 交换机网段:显示交换机的网段。
    选择公网IP地址 选择用来提供互联网访问的公网IP。本文以选择使用单IP为例,在下拉列表中选择弹性公网IP。如果下拉列表中没有可选的弹性公网IP,可在下拉列表单击新购弹性公网IP并绑定购买弹性公网IP。
    条目名称 输入SNAT条目的名称。

    名称长度为2~128个字符,以大小写字母或中文开头, 可包含数字、下划线(_)和短划线(-)。

步骤七:创建DNAT条目

通过NAT网关的DNAT功能,可以将NAT网关上的公网IP映射给ECS实例使用,使ECS实例能够提供互联网服务。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择NAT网关的地域。
  3. NAT网关页面,找到目标NAT网关实例,单击操作列下的设置DNAT
  4. DNAT管理页签,单击创建DNAT条目
  5. 创建DNAT条目页面,配置DNAT条目参数,然后单击确定创建
    为vSwitch2和vSwitch3设置以下DNAT规则。
    配置 说明
    选择公网IP地址 在下拉列表选择要提供互联网通信的EIP。
    选择私网IP地址 选择要通过DNAT规则进行互联网通信的ECS实例。选择通过ECS或弹性网卡进行选择:从ECS实例或弹性网卡列表中选择ECS实例。
    端口设置 选择DNAT映射的方式,选择具体端口
    vSwitch2和vSwitch3的设置如下:
    • vSwitch2:
      • 公网端口:进行端口转发的外部端口,设置为8443
      • 私网端口:进行端口转发的内部端口,设置为443
      • 协议类型:转发端口的协议类型,选择TCP
    • vSwitch3:
      • 公网端口:进行端口转发的外部端口,设置为8800
      • 私网端口:进行端口转发的内部端口,设置为80
      • 协议类型:转发端口的协议类型,选择TCP
    条目名称 DNAT条目的名称。

    名称长度为2~128个字符,以大小写字母或中文开头, 可包含数字、下划线(_)和短划线(-)。

测试验证和指标监控

访问公网能力测试

登录ECS实例,以vSwitch1下的ECS实例为例,执行以下操作步骤,验证各ECS访问公网的能力,并可查看该ECS实例上绑定的SNAT地址。

  1. 登录vSwitch1下的ECS实例。
  2. 通过ping命令测试网络连通性。
    经测试,ECS实例可以访问互联网。 测试SNAT
  3. 使用curl myip.ipip.net命令探测ECS上绑定的SNAT地址。
    查看SNAT地址

测试ECS实例对外提供公网服务的能力

为了便于直观展示DNAT访问效果,在控制台加入了两台ECS的port-22映射,用于SSH登录。
  1. 使用外网机器访问vSwitch2和vSwitch3的DNAT入口。
    访问DNAT的ECS
  2. 登录ECS实例执行ifconfig查看到IP信息与ECS的私网IP一致,证明该ECS有提供公网服务。
    访问记录

查看监控指标

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择NAT网关的地域。
  3. NAT网关页面,找到目标NAT网关,单击监控列下的图标查看监控。
    关于增强型NAT网关的监控指标,请参见 增强型NAT网关监控指标