同一個VPC內支持創建多個公網NAT網關,您可以通過不同的公網NAT網關轉發去往不同目的地址的流量,并可以針對不同的公網NAT網關做不同的安全防護,實現更精細化地部署公網訪問網絡。
同VPC內部署多公網NAT網關的場景說明
本文以下圖場景為例,為您介紹如何使用公網NAT網關產品在同一個VPC內部署多公網NAT網關的網絡環境。
上述場景方案中的交換機對應的場景說明如下:
創建一個VPC并部署3個vSwitch,其中網絡安全域1內部署一套公網NAT網關(NATGW-1),vSwitch1使用該套網關;網絡安全域2內部署另一套公網NAT網關(NATGW-2),vSwitch2和vSwitch3共享這套網關。
vSwitch1屬于網絡安全域1,關聯系統路由表。獨立公網IP,50 Mbps帶寬;不主動對外暴露公網IP,只允許內部主機主動對外訪問,并要求獨立環境。
vSwitch2和vSwitch3屬于網絡安全域2,關聯VPC子網路由表。共享網絡安全域2內的統一公網出口1 Gbps;既能被外網訪問,同時需要主動訪問公網。
創建一個名為EIP1且帶寬為50 Mbps的EIP,用于綁定NATGW-1的SNAT。
申請一個1 Gbps的共享帶寬,用于NATGW-2,再申請3個名為EIP2、EIP3和EIP4且帶寬均為5 Mbps的EIP,加入到該共享帶寬中,2個EIP分別用于vSwitch2和vSwitch3的DNAT使用,第3個EIP用于兩個vSwitch的SNAT訪問。
配置公網NAT網關的監控,針對NATGW-2下不同vSwitch的流量進行監控,監控vSwitch的使用情況。
部署流程
步驟一:準備云網絡資源
在為交換機部署公網NAT網關前,您需要先創建VPC、vSwitch、ECS、EIP和共享帶寬等云資源。
云網絡資源 | 規格描述 | 數量 | 具體操作 |
VPC | 地域:華北5(呼和浩特)。 | 1個 | |
vSwitch | 可用區:
| 3個 | |
ECS實例 |
| 3臺 | |
EIP |
| 4個 | |
共享帶寬 |
| 1個 |
步驟二:創建兩個公網NAT網關實例
在創建的VPC內創建兩個按使用量計費的公網NAT網關實例,名稱為NATGW-1和NATGW-2,其中NATGW-1用于綁定在vSwitch1內,NATGW-2用于綁定在vSwitch2和vSwitch3內。
登錄NAT網關管理控制臺。
在公網NAT網關頁面,單擊創建公網NAT網關。
首次使用NAT網關時,在創建公網NAT網關頁面關聯角色創建區域,單擊創建關聯角色。角色創建成功后即可創建NAT網關。
關于NAT網關服務關聯角色的更多信息,請參見服務關聯角色。在創建公網NAT網關頁面,配置以下購買信息,然后單擊立即購買。
配置
說明
付費模式
默認選擇為按量付費,即一種先使用后付費的付費模式。更多信息,請參見公網NAT網關計費。
資源組
選擇VPC所屬的資源組。更多信息,請參見什么是資源組。
標簽
標簽鍵:選擇或輸入完整的標簽鍵。
最多支持輸入20個標簽鍵。一個標簽鍵最多支持128個字符,不能以aliyun和acs:開頭,不能包含http://或者https://。
標簽值:選擇或輸入完整的標簽值。
最多支持輸入20個標簽值。一個標簽值最多支持128個字符,不能以aliyun和acs:開頭,不能包含http://或者https://。
所屬地域
選擇需要創建公網NAT網關的地域。
所屬專有網絡
選擇公網NAT網關所屬的VPC。創建后,不能修改公網NAT網關所屬的VPC。
關聯交換機
選擇公網NAT網關實例所屬的交換機。
計費類型
默認選擇為按使用量計費,即按公網NAT網關實際使用量收費。更多信息,請參見公網NAT網關計費。
計費周期
默認選擇為按小時,即按使用量計費公網NAT網關的計費周期為1小時,不足1小時按1小時計算。
實例名稱
設置公網NAT網關實例的名稱。
實例名稱長度為2~128個字符,以英文大小寫字母或中文開頭,可包含數字、下劃線(_)和短劃線(-)。
訪問模式
選擇公網NAT網關的訪問模式。支持以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT網關創建成功后當前VPC內所有實例即可通過該公網NAT網關訪問公網。
選擇VPC全通模式(SNAT)后,您需要配置彈性公網IP(Elastic IP Address,簡稱EIP)的相關信息。
稍后配置:如需稍后配置或有更多配置需求,可在購買完成后,前往控制臺進行配置。
選擇稍后配置,則只購買公網NAT網關實例。
本文選擇稍后配置。
在確認訂單頁面確認公網NAT網關的配置信息,選中服務協議并單擊確認訂單。
當出現恭喜,購買成功!的提示后,說明您創建成功。
步驟三:為vSwitch2和vSwitch3添加自定義路由表
路由表由路由條目組成,每條路由條目指定了網絡流量的目的地。除默認路由表外,您還可以創建自定義路由表,管理網絡流量。
- 登錄專有網絡管理控制臺。
在左側導航欄,單擊路由表。
選擇要創建的路由表的地域。
本文選擇華北5(呼和浩特)地域。
自定義路由表功能支持的地域信息,請參見自定義路由表發布及地域支持情況。
在路由表頁面,單擊創建路由表。
在創建路由表頁面,根據以下信息配置路由表,然后單擊確定。
配置
說明
資源組
選擇路由表所屬的資源組。
專有網絡
選擇路由表所屬的專有網絡。
名稱
輸入路由表的名稱。
名稱長度為2~128個字符,以英文字母或中文開頭,可包含數字、下劃線(_)和短劃線(-)。
描述
輸入路由表的描述。
描述長度為2~256個字符,不能以
http://和https://開頭。在路由表頁面,找到目標路由表,單擊路由表ID。
在路由表基本信息頁面,單擊已綁定交換機頁簽,然后單擊綁定交換機。
在綁定交換機頁面,分別選擇要綁定的vSwitch2和vSwitch3,然后單擊確定。
單擊頁簽,然后單擊添加路由條目,在添加路由條目面板設置以下配置信息。
配置
說明
名稱
輸入路由條目的名稱。
名稱長度為2~128個字符之間,以英文字母或中文開頭,可包含數字、下劃線(_)和短劃線(-)。
目標網段
輸入要轉發到的目標網段,本文設置為0.0.0.0/0。
下一跳類型
選擇下一跳類型為NAT網關:將目的地址在目標網段范圍內的流量路由至選擇的NAT網關。
NAT網關
選擇下一跳實例為步驟二:創建兩個公網NAT網關實例中創建的
NATGW-2網關。添加完成后,新建的自定義路由表中會增加一條指向
NATGW-2的自定義路由條目。
步驟四:將3個5 Mbps帶寬的EIP綁定到一個共享帶寬
- 登錄共享帶寬管理控制臺。
在頂部菜單欄處,選擇共享帶寬實例的地域。
本文選擇華北5(呼和浩特)地域。
在共享帶寬頁面,找到目標共享帶寬實例,然后在操作列單擊添加IP。
在添加IP面板,選擇從已有EIP列表選取,然后選擇資源組和可用EIP,最后單擊確定。
將3個5 Mbps帶寬的EIP加入1000 Mbps共享帶寬后,這3個EIP會共享1000 Mbps帶寬。
步驟五:將4個EIP逐個綁定到公網NAT網關
將創建的EIP綁定到步驟二:創建兩個公網NAT網關實例中創建的公網NAT網關實例中,其中EIP1綁定到NATGW-1,EIP2、EIP3和EIP4綁定到NATGW-2。
登錄NAT網關管理控制臺。
在頂部菜單欄處,選擇公網NAT網關的地域。
本文選擇華北5(呼和浩特)地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,然后在彈性公網IP列單擊立即綁定。
在綁定彈性公網IP對話框,配置以下參數,然后單擊確定。
配置
說明
所在資源組
選擇EIP所在的資源組。
選擇彈性公網IP
選擇從已有彈性公網IP中選擇,然后在下拉列表中選擇EIP:
當綁定EIP到
NATGW-1時,選擇創建的50 Mbps的EIP實例。當綁定EIP到
NATGW-2時,選擇已加入共享帶寬的3個EIP實例。
綁定成功后,在公網NAT網關實例的彈性公網IP列將會顯示出已綁定的EIP。
步驟六:創建SNAT條目
公網NAT網關的SNAT功能可以為VPC中無公網IP的ECS實例提供訪問互聯網的代理服務。為NATGW-1創建1條SNAT條目,為NATGW-2創建2條SNAT條目。
登錄NAT網關管理控制臺。
在頂部菜單欄處,選擇公網NAT網關的地域。
本文選擇華北5(呼和浩特)地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,然后在操作列單擊設置SNAT。
在SNAT管理頁簽,單擊創建SNAT條目。
在創建SNAT條目頁面,配置以下參數,然后單擊確定創建。
當為NATGW-1創建SNAT條目時,選擇vSwitch1。
當為NATGW-2創建SNAT條目時,請將vSwitch2和vSwitch3都指向同一個SNAT中綁定的EIP。
配置
說明
SNAT條目粒度
選擇SNAT條目的粒度。本文以選擇交換機粒度為例:指定交換機下的ECS實例通過配置的公網IP訪問公網。
選擇交換機:在下拉列表中選擇交換機。
說明如您選擇多個交換機,將會為您創建多條SNAT條目,使用相同的公網IP地址。
交換機網段:選擇后顯示交換機的網段。
選擇公網IP地址
選擇用來提供公網訪問的公網IP。本文以選擇使用單IP為例,在下拉列表中選擇步驟二中綁定至公網NAT網關的EIP。
條目名稱
輸入SNAT條目的名稱。
步驟七:創建DNAT條目
通過NAT網關的DNAT功能,可以將NAT網關上的公網IP映射給ECS實例使用,使ECS實例能夠提供互聯網服務。為NATGW-2創建2條DNAT條目。
登錄NAT網關管理控制臺。
在頂部菜單欄處,選擇公網NAT網關的地域。
本文選擇華北5(呼和浩特)地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,然后在操作列單擊設置DNAT。
在DNAT管理頁簽,單擊創建DNAT條目。
在創建DNAT條目頁面,配置DNAT條目參數,然后單擊確定創建。
為vSwitch2和vSwitch3設置以下DNAT規則。
配置
說明
選擇公網IP地址
在下拉列表選擇要提供互聯網通信的EIP。
選擇私網IP地址
選擇要通過DNAT規則進行互聯網通信的ECS實例。選擇通過ECS或彈性網卡進行選擇:從ECS實例或彈性網卡列表中選擇ECS實例。
端口設置
選擇DNAT映射的方式,選擇具體端口。
vSwitch2和vSwitch3的設置如下:
vSwitch2:
公網端口:進行端口轉發的外部端口,設置為22。
私網端口:進行端口轉發的內部端口,設置為22。
協議類型:轉發端口的協議類型,選擇TCP。
vSwitch3:
公網端口:進行端口轉發的外部端口,設置為22。
私網端口:進行端口轉發的內部端口,設置為22。
協議類型:轉發端口的協議類型,選擇TCP。
請確保ECS2和ECS3的安全組入方向允許
TCP協議、22端口通行。條目名稱
DNAT條目的名稱。
名稱長度為2~128個字符,以大小寫字母或中文開頭, 可包含數字、下劃線(_)和短劃線(-)。
步驟八:測試驗證和指標監控
測試ECS實例訪問公網的能力
登錄ECS實例,以vSwitch1下的ECS1為例,執行以下操作步驟,驗證ECS實例訪問公網的能力,并可查看該ECS實例上綁定的SNAT地址。
登錄vSwitch1下的ECS1。更多信息,請參見ECS連接方式概述。
執行
ping命令,ping www.aliyun.com測試網絡連通性。如果能接收到回復報文,表示連接成功。
經測試,ECS1可以訪問互聯網。
執行
curl myip.ipip.net命令查看ECS1的公網出口IP,然后再執行ifconfig查看ECS1的私網IP。經測試,ECS1的公網出口IP是NATGW-1SNAT條目中的公網IP地址。
測試ECS實例對外提供公網服務的能力
登錄本地Linux設備。
執行
ssh root@公網IP命令,此處的公網IP即為NATGW-2的DNAT條目中的公網IP地址,然后輸入ECS2實例的登錄密碼,查看是否可以遠程連接到實例。若界面上出現Welcome to Alibaba Cloud Elastic Compute Service!時,表示您已經成功連接到實例,即ECS2通過NATGW-2的DNAT功能提供公網訪問能力。
執行
ifconfig命令,查看到IP信息與ECS2的私網IP一致,證明該ECS實例提供公網服務。
查看監控指標
登錄NAT網關管理控制臺。
在頂部菜單欄處,選擇公網NAT網關的地域。
在公網NAT網關頁面,找到目標公網NAT網關,然后在監控列單擊
圖標查看監控。關于公網NAT網關的監控指標,請參見公網NAT網關監控與運維。