使用轉發路由器可以實現在多個專有網絡VPC(Virtual Private Cloud)共用一個公網NAT網關,從而達到多VPC訪問公網的效果。
背景信息
云企業網CEN(Cloud Enterprise Network)是運行在阿里云私有全球網絡上的一張高可用網絡。云企業網通過轉發路由器TR(Transit Router)幫助您在跨地域VPC之間,VPC與本地數據中心IDC(Internet Data Center)間搭建私網通信通道。
轉發路由器實例是地域范圍內的核心轉發網元,為您轉發同地域或跨地域間的流量,并支持定義靈活的路由策略。在一個云企業網實例中,一個地域支持創建一個轉發路由器實例。您可以將網絡實例連接到企業版轉發路由器。企業版轉發路由器連接網絡實例后,通過轉發路由器路由表存儲網絡實例的路由。企業版轉發路由器通過查詢路由表中的路由條目信息轉發網絡實例的流量。
關于轉發路由器的更多信息,請參見轉發路由器工作原理。
場景示例
本文以下圖場景為例,某公司在華東1(杭州)地域創建了兩個VPC,名稱分別為VPC1和VPC2。在VPC1中創建了交換機1,且在交換機1中創建了一臺名為ECS1的云服務器ECS(Elastic Compute Service)。在VPC2中創建了交換機2,且在交換機2中創建了一臺名為ECS2的ECS實例。因公司業務需要,VPC1與VPC2都需要訪問公網。
公司可以通過使用轉發路由器并結合轉發路由器路由表功能,然后在VPC1中創建公網NAT網關,同時為公網NAT網關配置SNAT規則,實現VPC1和VPC2通過公網NAT網關訪問公網。
前提條件
您已經參考下表完成了VPC和交換機的創建。具體操作,請參見創建和管理專有網絡。
VPC名稱
地域
網段
交換機名稱
可用區和網段
VPC1
華東1(杭州)
192.168.0.0/16
交換機1
杭州可用區H,192.168.0.0/24
華東1(杭州)
192.168.0.0/16
交換機2
杭州可用區H,192.168.5.0/24
VPC2
華東1(杭州)
172.16.0.0/12
交換機3
杭州可用區H,172.28.48.0/20
說明使用企業版轉發路由器創建VPC連接前,請確保VPC實例在企業版轉發路由器支持的可用區擁有至少一個交換機實例,且該交換機實例擁有至少一個空閑的IP地址。例如,華東1(杭州)地域的企業版轉發路由器支持的可用區為杭州可用區H和杭州可用區I。關于企業版轉發路由器支持的可用區信息,請參考轉發路由器的版本。
您已經在交換機1中創建了ECS1實例,在交換機2中創建了ECS2實例。具體操作,請參見自定義購買實例。
您已經創建了云企業網實例。具體操作,請參見創建云企業網實例。
您已經在VPC實例所在地域創建了企業版轉發路由器實例。具體操作,請參見創建轉發路由器實例。
配置步驟
步驟一:創建公網NAT網關
在VPC1中以全通模式創建公網NAT網關。
登錄NAT網關管理控制臺。
在公網NAT網關頁面,單擊創建公網NAT網關。
首次使用NAT網關時,在創建公網NAT網關頁面關聯角色創建區域,單擊創建關聯角色。角色創建成功后即可創建NAT網關。
關于NAT網關服務關聯角色的更多信息,請參見服務關聯角色。在公網NAT網關頁面,配置以下購買信息,然后單擊立即購買。
配置
說明
付費模式
默認選擇為按量付費,即一種先使用后付費的付費模式。更多信息,請參見公網NAT網關計費。
資源組
選擇VPC所屬的資源組。更多信息,請參見什么是資源組。
標簽
標簽鍵:選擇或輸入完整的標簽鍵。
最多支持輸入20個標簽鍵。一個標簽鍵最多支持128個字符,不能以aliyun和acs:開頭,不能包含http://或者https://。
標簽值:選擇或輸入完整的標簽值。
最多支持輸入20個標簽值。一個標簽值最多支持128個字符,不能以aliyun和acs:開頭,不能包含http://或者https://。
所屬地域
選擇需要創建公網NAT網關的地域。
本文選擇華東1(杭州)。
所屬專有網絡
選擇公網NAT網關所屬的VPC。創建后,不能修改公網NAT網關所屬的VPC。
本文選擇VPC1。
關聯交換機
選擇公網NAT網關實例所屬的交換機。
本文選擇交換機2。
計費類型
默認選擇為按使用量計費,即按公網NAT網關實際使用量收費。更多信息,請參見公網NAT網關計費。
計費周期
默認選擇為按小時,即按使用量計費公網NAT網關的計費周期為1小時,不足1小時按1小時計算。
實例名稱
輸入公網NAT網關實例的名稱。
本文輸入為公網NAT網關。
訪問模式
選擇公網NAT網關的訪問模式。支持以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT網關創建成功后當前VPC內所有實例即可通過該公網NAT網關訪問公網。
選擇VPC全通模式(SNAT)后,您需要配置彈性公網IP(Elastic IP Address,簡稱EIP)的相關信息。
稍后配置:如需稍后配置或有更多配置需求,可在購買完成后,前往控制臺進行配置。
選擇稍后配置,則只購買公網NAT網關實例。
本文選擇VPC全通模式(SNAT)。
彈性公網IP
選擇公網NAT網關的EIP。支持以下兩種模式:
選擇已有:在彈性網關IP實例下拉列表中選擇已有的EIP實例綁定到公網NAT網關實例的EIP。
新購彈性公網IP:在公網NAT網關實例地域新購按量付費EIP實例。
本文選擇新購彈性公網IP,新購EIP的線路類型默認為BGP(多線),默認選擇默認版本的安全防護,然后配置帶寬峰值并選擇計費類型為按使用流量計費。
在確認訂單頁面,確認訂單中的配置信息,閱讀并選中服務協議然后單擊確認訂單。
單擊返回控制臺,在公網NAT網關頁面,找到創建的公網NAT網關,然后單擊其實例ID。
在基本信息頁簽指向NAT的VPC路由信息區域,查看路由信息,該路由所屬路由表為VPC1的系統路由表,目標網段為0.0.0.0/0,下一跳為創建的公網NAT網關。
單擊SNAT管理頁簽,在SNAT條目列表區域查看以全通模式配置的SNAT條目,VPC1均可以通過該SNAT條目訪問公網。
步驟二:創建VPC連接并配置路由
在華東1(杭州)地域的轉發路由器中創建VPC1連接和VPC2連接,并為轉發路由器配置路由。
- 登錄云企業網管理控制臺。
- 在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在頁簽,找到目標地域的轉發路由器實例,在操作列單擊創建網絡實例連接。
在連接網絡實例頁面,配置以下參數信息創建VPC連接,然后單擊確定創建。
下表列出VPC1連接和VPC2連接的配置參數。
說明在初次執行此操作時,系統會自動為您創建一個名稱為AliyunServiceRoleForCEN的服務關聯角色。該角色允許轉發路由器實例在VPC的交換機上創建ENI。更多信息,請參見AliyunServiceRoleForCEN。
配置
說明
配置值
實例類型
選擇待連接的網絡實例類型。
選擇專有網絡(VPC)。
地域
選擇待連接的網絡實例所在的地域。
選擇華東1(杭州)。
轉發路由器
系統自動顯示當前地域下已創建的轉發路由器實例。
默認選擇華東1(杭州)的轉發路由器實例。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
選擇同賬號。
付費方式
轉發路由器的計費模式默認為按量付費。
按量付費的計費規則,請參見計費說明。
默認選擇為按量付費。
連接名稱
輸入VPC連接的名稱。
VPC1連接:輸入VPC1連接。
VPC2連接:輸入VPC2連接。
網絡實例
選擇待連接的VPC實例ID。
VPC1連接:選擇VPC1。
VPC2連接:選擇VPC2。
交換機
在轉發路由器支持的可用區選擇一個交換機實例。
VPC1連接:選擇交換機1。
VPC2連接:選擇交換機3。
高級配置
系統默認為您選中三種高級功能,即自動關聯至轉發路由器的默認路由表、自動傳播系統路由至轉發路由器的默認路由表和自動為VPC的所有路由表配置指向轉發路由器的路由。
保持默認配置。
VPC1連接和VPC2連接創建完成后,您可以在地域內連接管理頁簽查看具體的連接信息。具體操作,請參見查看網絡實例連接。
在轉發路由器詳情頁面,單擊轉發路由器路由表頁簽,然后單擊創建路由表。
在創建路由表對話框,輸入路由表名稱為可信路由表,輸入路由表描述,然后單擊確定。
選擇可信路由表,在路由表詳情頁面,單擊路由條目頁簽,然后單擊創建路由條目。
在添加路由條目對話框,配置以下參數信息,然后單擊確定。
配置
說明
路由條目名稱
輸入路由條目的名稱。
本文輸入指向VPC2連接的路由。
目的地址CIDR
設置目的地址的CIDR網段。
本文設置為172.16.0.0/12。
是否為黑洞路由
本文選擇否。
下一跳連接
選擇下一跳的網絡連接。
本文選擇VPC2連接。
路由條目描述
輸入路由條目的描述信息。
本文輸入可信路由表指向VPC2連接的路由條目。
單擊關聯轉發頁簽,然后單擊創建關聯轉發,在添加關聯轉發對話框的關聯轉發下拉列表中選擇VPC1連接,單擊確定。
轉發路由器連接網絡實例后,您可以為網絡實例連接創建關聯轉發關系,將網絡實例連接關聯至指定的路由表。關聯后,轉發路由器將依據該路由表中的路由條目信息轉發網絡實例的流量。更多信息,請參見關聯轉發。
選擇系統路由表,在路由表詳情頁面的基本信息區域,在名稱右側單擊編輯。
在彈出的對話框,輸入不可信路由表,然后單擊確定。
選擇不可信路由表,單擊路由條目頁簽,然后單擊創建路由條目。
在添加路由條目對話框,配置以下參數信息,然后單擊確定。
配置
說明
路由條目名稱
輸入路由條目的名稱。
本文輸入指向VPC1連接的路由。
目的地址CIDR
設置目的地址的CIDR網段。
本文設置為0.0.0.0/0。
是否為黑洞路由
本文選擇否。
下一跳連接
選擇下一跳的網絡連接。
本文選擇VPC1連接。
路由條目描述
輸入路由條目的描述信息。
本文輸入不可信路由表指向VPC1連接的路由條目。
單擊關聯轉發頁簽,然后單擊創建關聯轉發,在關聯轉發下拉列表中選擇VPC2連接,單擊確定。
步驟三:配置VPC路由表
為VPC2的系統路由表配置路由條目。
- 登錄專有網絡管理控制臺。
- 在左側導航欄,單擊路由表。
在路由表頁面,找到VPC2的系統路由表,單擊路由表的ID。
在路由表詳情頁面,單擊頁簽,然后單擊添加路由條目。
在添加路由條目面板,配置以下參數信息,然后單擊確定。
配置
說明
名稱
輸入路由條目的名稱。
目標網段
本文選擇IPv4網段,然后設置0.0.0.0/0。
下一跳類型
選擇下一跳的實例類型。
本文選擇轉發路由器。
轉發路由器
本文選擇VPC2連接。
您可以在自定義路由條目頁簽,查看已創建的指向VPC2連接的路由條目。
步驟四:測試連通性
測試VPC1和VPC2的連通性。
登錄VPC1的ECS1實例。具體操作,請參見ECS連接方式概述。
執行
ping命令,pingVPC2的ECS2實例私網IP地址。收到如下圖所示的回復報文,則表明VPC1至VPC2的網絡已連通。
登錄VPC2的ECS2實例。
執行
ping命令,pingVPC1的ECS1實例私網IP地址。收到如下圖所示的回復報文,則表明VPC2至VPC1的網絡已連通。
測試VPC1和VPC2的ECS實例是否能訪問公網。
登錄VPC1的ECS1實例。
執行
ping www.aliyun.com命令。收到如下圖所示的回復報文,則表明ECS1實例可以訪問公網。
經驗證,ECS1實例可以訪問公網。
登錄接收端VPC2的ECS2實例。
執行
ping www.aliyun.com命令。收到如下圖所示的回復報文,則表明ECS2實例可以訪問公網。
經驗證,ECS2實例可以訪問公網。
