Menyebarkan beberapa Gateway NAT Internet dalam satu VPC - NAT Gateway

Anda dapat membuat beberapa Gateway NAT Internet dalam satu virtual private cloud (VPC) untuk meneruskan lalu lintas ke alamat IP yang berbeda. Dengan cara ini, Anda dapat mengelola lalu lintas yang ditujukan ke Internet dengan lebih baik. Anda juga dapat menggunakan layanan yang berbeda untuk melindungi setiap Gateway NAT Internet sesuai dengan kebutuhan Anda.

Skenario

Skenario berikut digunakan sebagai contoh untuk menunjukkan cara menyebarkan beberapa Gateway NAT Internet dalam satu VPC.

Architecture

Berikut adalah deskripsi vSwitch yang digunakan dalam contoh ini:

Buat VPC, lalu buat tiga vSwitch di dalam VPC. Terapkan Gateway NAT Internet (NATGW-1) di Security Domain 1 dan Gateway NAT Internet lainnya (NATGW-2) di Security Domain 2. Asosiasikan vSwitch1 dengan NATGW-1. Kemudian, asosiasikan vSwitch2 dan vSwitch3 dengan NATGW-2.
- vSwitch1 termasuk dalam Security Domain 1 dan diasosiasikan dengan tabel rute sistem. Alamat IP publik khusus digunakan untuk merutekan lalu lintas jaringan. Bandwidth maksimum adalah 50 Mbit/s. Alamat IP publik tidak diekspos ke Internet. Instance Elastic Compute Service (ECS) yang terpasang pada vSwitch1 dapat mengirim permintaan ke Internet, tetapi tidak dapat menerima permintaan dari Internet. Instance ECS tersebut memerlukan lingkungan jaringan pribadi.
- vSwitch2 dan vSwitch3 termasuk dalam Security Domain 2 dan diasosiasikan dengan tabel subnet rute VPC. Instance ECS yang terpasang pada vSwitch2 berbagi jalur keluar yang sama untuk berkomunikasi dengan Internet. Mereka dapat mengirim permintaan ke Internet dan menerima permintaan dari Internet. Bandwidth maksimum adalah 1 Gbit/s.
Buat alamat IP elastis (EIP) 50 Mbit/s bernama EIP1 dan tentukan EIP1 dalam entri SNAT pada NATGW-1.
Beli Bandwidth Internet Bersama sebesar 1 Gbit/s dan asosiasikan dengan NATGW-2. Buat tiga EIP 5 Mbit/s (EIP2, EIP3, dan EIP4), dan asosiasikan EIP tersebut dengan Bandwidth Internet Bersama. Tentukan EIP dalam entri DNAT untuk vSwitch2, tentukan EIP lain dalam entri DNAT untuk vSwitch3, dan kemudian tentukan EIP terakhir dalam entri SNAT untuk kedua vSwitch tersebut.
Konfigurasikan pemantauan untuk vSwitches NATGW-2.

Diagram Alir

Deploy multiple Internet NAT gateways in one VPC

Langkah 1: Buat sumber daya cloud

Sebelum menyebarkan Gateway NAT Internet untuk vSwitches, Anda harus terlebih dahulu membuat sumber daya cloud berikut: VPC, vSwitches, instance ECS, EIP, dan Bandwidth Internet Bersama.

Sumber daya cloud	Spesifikasi	Jumlah	Referensi
VPC	Region: Pilih China (Hohhot).	1	Buat VPC dan vSwitch
vSwitch	Zone: Satu vSwitch bernama vSwitch1 dibuat di Hohhot Zone A. Dua vSwitch bernama vSwitch2 dan vSwitch3 dibuat di Hohhot Zone B.	3	Buat VPC dan vSwitch
Instance ECS	Billing method: Pilih Pay-As-You-Go. Region: Pilih China (Hohhot). Instance: ecs.g6e.large dipilih dalam contoh ini. Image: Alibaba Cloud Linux 3.2104 64-bit dipilih dalam contoh ini. Network Type: Pilih VPC dan vSwitches yang telah dibuat. Satu instance ECS bernama ECS1 dibuat di Hohhot Zone A tempat vSwitch1 diterapkan. Dua instance ECS bernama ECS2 dan ECS3 dibuat di Hohhot Zone B tempat vSwitch2 dan vSwitch3 diterapkan. Public IP Address: Kosongkan kotak centang. Security Group: Gunakan grup keamanan default.	3	Buat instance ECS
EIP	Billing method: Pilih Pay-As-You-Go. Region: Pilih China (Hohhot). Max bandwidth: Tentukan 50 Mbit/s untuk satu EIP dan tentukan 5 Mbit/s untuk tiga EIP.	4	Ajukan EIP
Bandwidth Internet Bersama	Billing Mode: Pilih Pay-As-You-Go. Region: Pilih China (Hohhot). Bandwidth: Tentukan 1.000 Mbit/s.	1	Buat Bandwidth Internet Bersama

Langkah 2: Buat dua Gateway NAT Internet

Buat dua Gateway NAT Internet bernama NATGW-1 dan NATGW-2 yang ditagih berdasarkan pembayaran saat digunakan di dalam VPC. Asosiasikan NATGW-1 dengan vSwitch1, dan asosiasikan NATGW-2 dengan vSwitch2 dan vSwitch3.

Masuk ke Konsol Gateway NAT.
Di halaman Internet NAT Gateway, klik Create Internet NAT Gateway.
Saat membuat Gateway NAT Internet untuk pertama kali, klik Create di bagian Catatan pada Creating Service-linked Roles di halaman pembelian untuk membuat peran layanan-terkait. Setelah peran layanan-terkait dibuat, Anda dapat membuat Gateway NAT Internet.
Untuk informasi lebih lanjut, lihat Peran layanan-terkait.

Di halaman pembelian, atur parameter berikut, lalu klik Buy Now.

Parameter	Deskripsi
Billing Method	Secara default, Pay-As-You-Go dipilih. Anda dapat membayar sumber daya setelah Anda menggunakannya. Untuk informasi lebih lanjut, lihat Penagihan Gateway NAT Internet.
Resource Group	Pilih grup sumber daya tempat virtual private cloud (VPC) berada. Untuk informasi lebih lanjut, lihat Ikhtisar Grup Sumber Daya.
Tags	Tag Key: Pilih atau masukkan kunci tag. Anda dapat menentukan hingga 20 kunci tag. Kunci tag dapat memiliki panjang hingga 64 karakter dan tidak boleh dimulai dengan aliyun atau acs:. Tidak boleh mengandung http:// atau https://. Tag Value: Pilih atau masukkan nilai tag. Anda dapat menentukan hingga 20 nilai tag. Nilai tag dapat memiliki panjang hingga 128 karakter. Tidak boleh dimulai dengan aliyun atau acs:, dan tidak boleh mengandung http:// atau https://.
Region	Pilih region tempat Anda ingin membuat Gateway NAT Internet.
VPC	Pilih VPC tempat Anda ingin membuat Gateway NAT Internet. Setelah Gateway NAT Internet dibuat, Anda tidak dapat mengubah VPC tempat Gateway NAT Internet berada.
Associate vSwitch	Pilih vSwitch tempat Gateway NAT Internet berada.
Metering Method	Secara default, Pay-By-CU dipilih. Anda dikenakan biaya berdasarkan sumber daya yang Anda gunakan. Untuk informasi lebih lanjut, lihat Penagihan Gateway NAT Internet.
Billing Cycle	Secara default, By Hour dipilih. Tagihan dibuat secara per jam. Jika Anda menggunakan Gateway NAT Internet kurang dari 1 jam, durasi penggunaan dibulatkan menjadi 1 jam.
Instance Name	Masukkan nama untuk Gateway NAT Internet. Nama harus memiliki panjang 2 hingga 128 karakter dan dapat berisi angka, garis bawah (_), dan tanda hubung (-). Nama harus dimulai dengan huruf.
Access Mode	Pilih mode tempat Anda ingin membuat Gateway NAT Internet. Mode berikut didukung: SNAT-enabled Mode: Jika Anda memilih nilai ini, Gateway NAT Internet dibuat dalam mode akses terpadu. Setelah Gateway NAT Internet dibuat, semua sumber daya di VPC dapat mengakses Internet menggunakan fitur SNAT dari Gateway NAT. Jika Anda memilih SNAT-enabled Mode, Anda juga harus menentukan EIP. Configure Later: Jika Anda memilih opsi ini, Anda dapat mengonfigurasi Gateway NAT Internet di konsol setelah Anda menyelesaikan pembayaran. Jika Anda memilih Configure Later, hanya Gateway NAT Internet yang dibuat. Tidak ada entri SNAT yang dibuat. Dalam contoh ini, Configure Later dipilih.

Di halaman Confirm, konfirmasi informasi, pilih kotak centang Ketentuan Layanan, dan klik Confirm.
Ketika pesan Purchased muncul, Gateway NAT Internet telah dibuat.

Langkah 3: Buat tabel rute kustom untuk vSwitch2 dan vSwitch3

Tabel rute terdiri dari satu atau lebih entri rute. Setiap entri rute menentukan tujuan ke mana lalu lintas jaringan dirutekan. Anda dapat menggunakan tabel rute default atau membuat tabel rute kustom untuk mengelola lalu lintas jaringan.

Masuk ke Konsol VPC.
Di panel navigasi sisi kiri, klik Route Tables.
Pilih region tempat Anda ingin membuat tabel rute.
Dalam contoh ini, China (Hohhot) dipilih.
Untuk informasi lebih lanjut tentang region yang mendukung tabel rute kustom, lihat Tabel Rute.
Di halaman Route Tables, klik Create Route Table.

Di kotak dialog Create Route Table, atur parameter berikut dan klik OK.

Parameter	Deskripsi
Resource Group	Pilih grup sumber daya tempat tabel rute berada.
VPC	Pilih VPC tempat tabel rute berada.
Name	Masukkan nama untuk tabel rute. Nama harus memiliki panjang 2 hingga 128 karakter dan dapat berisi angka, garis bawah (_), dan tanda hubung (-). Nama harus dimulai dengan huruf.
Description	Masukkan deskripsi untuk tabel rute. Deskripsi harus memiliki panjang 2 hingga 256 karakter. Tidak boleh dimulai dengan `http://` atau `https://`.

Di halaman Route Tables, temukan tabel rute yang ingin Anda kelola dan klik ID-nya.
Di bagian Route Table Details, klik tab Associated vSwitch dan klik Associate vSwitch.
Di kotak dialog Associate vSwitch, pilih vSwitch2 dan klik OK. Ulangi langkah ini untuk mengasosiasikan tabel rute dengan vSwitch3.

Klik tab Route Entry List > Custom Route dan klik Add Route Entry. Di panel Add Route Entry, atur parameter berikut.

Parameter	Deskripsi
Name	Masukkan nama untuk entri rute. Nama harus memiliki panjang 2 hingga 128 karakter, dan dapat berisi angka, garis bawah (_), dan tanda hubung (-). Nama harus dimulai dengan huruf.
Destination CIDR Block	Masukkan blok CIDR tujuan ke mana Anda ingin merutekan lalu lintas. Dalam contoh ini, blok CIDR tujuan diatur ke `0.0.0.0/0`.
Next Hop Type	NAT Gateway dipilih dalam contoh ini. Lalu lintas yang ditujukan ke blok CIDR yang ditentukan dirutekan ke Gateway NAT yang ditentukan.
NAT Gateway	Pilih `NATGW-2` yang dibuat di Langkah 2: Buat dua Gateway NAT Internet.

Setelah menyelesaikan operasi sebelumnya, entri rute kustom yang mengarah ke NATGW-2 ditambahkan ke tabel rute kustom yang baru dibuat.

Langkah 4: Asosiasikan tiga EIP 5 Mbit/s dengan Bandwidth Internet Bersama

Masuk ke Konsol Bandwidth Internet Bersama.
Di bilah navigasi atas, pilih region tempat Bandwidth Internet Bersama dibuat.
Dalam contoh ini, China (Hohhot) dipilih.
Di halaman Internet Shared Bandwidth, temukan rencana bandwidth EIP yang ingin Anda kelola dan klik AddIP di kolom Actions.
Di panel Add IP, klik Select from EIP List.Kemudian, pilih EIP dan klik OK.
Setelah mengasosiasikan tiga EIP 5 Mbit/s dengan Bandwidth Internet Bersama 1.000 Mbit/s, EIP tersebut berbagi bandwidth 1.000 Mbit/s.

Langkah 5: Asosiasikan empat EIP dengan Gateway NAT Internet secara terpisah

Asosiasikan EIP dengan Gateway Internet yang dibuat di Langkah 2: Buat dua Gateway NAT Internet. Asosiasikan EIP1 dengan NATGW-1, dan asosiasikan EIP2, EIP3, dan EIP4 dengan NATGW-2.

Masuk ke Konsol Gateway NAT.
Di bilah navigasi atas, pilih region tempat Gateway NAT Internet ditempatkan.
Dalam contoh ini, China (Hohhot) dipilih.
Di halaman Internet NAT Gateway, temukan Gateway NAT Internet yang ingin Anda kelola dan klik Associate Now di kolom Elastic IP Address.

Di kotak dialog Associate EIP, atur parameter berikut dan klik OK.

Parameter

Deskripsi

Resource Group

Pilih grup sumber daya EIP.

EIPs

Pilih Select Existing EIPs dan pilih EIP dari daftar drop-down.

Asosiasikan EIP 50 Mbit/s dengan NATGW-1.
Asosiasikan tiga EIP lainnya dengan NATGW-2.

Setelah menyelesaikan operasi sebelumnya, EIP ditampilkan di kolom Elastic IP Address.

Langkah 6: Buat entri SNAT

Instance ECS di VPC dapat mengakses Internet menggunakan SNAT jika instance ECS tidak diberikan alamat IP publik. Buat satu entri SNAT di NATGW-1, dan buat dua entri SNAT di NATGW-2.

Masuk ke Konsol Gateway NAT.
Di bilah navigasi atas, pilih region tempat Gateway NAT Internet ditempatkan.
Dalam contoh ini, China (Hohhot) dipilih.
Di halaman Internet NAT Gateway, temukan Gateway NAT yang ingin Anda kelola dan klik Configure SNAT di kolom Actions.
Di tab SNAT Management, klik Create SNAT Entry.

Di halaman Create SNAT Entry, atur parameter dan klik Confirm.

Konfigurasikan entri SNAT di NATGW-1 untuk vSwitch1.
Saat mengonfigurasi entri SNAT di NATGW-2, tentukan EIP yang sama dalam entri SNAT untuk vSwitch2 dan vSwitch3.

Parameter	Deskripsi
SNAT Entry	Tentukan apakah Anda ingin membuat entri SNAT untuk VPC, vSwitch, instance ECS, atau blok CIDR kustom. Specify vSwitch dipilih dalam contoh ini. Instance ECS yang terpasang pada vSwitch yang ditentukan menggunakan EIP untuk mengakses Internet. Select vSwitch: Pilih vSwitch dari daftar drop-down. Catatan Jika Anda memilih beberapa vSwitch, sistem akan membuat beberapa entri SNAT yang menggunakan EIP yang sama. vSwitch CIDR block: Blok CIDR vSwitch yang dipilih ditampilkan.
Select EIP	Pilih satu atau lebih EIP yang digunakan untuk mengakses Internet. Dalam contoh ini, Use Single IP dipilih dan EIP yang diasosiasikan dengan Gateway NAT Internet di Langkah 2 dipilih dari daftar drop-down.
Entry Name	Masukkan nama untuk entri SNAT.

Langkah 7: Buat entri DNAT

DNAT memungkinkan instance ECS menggunakan EIP di Gateway NAT untuk menyediakan layanan melalui Internet. Buat dua entri DNAT di NATGW-2.

Masuk ke Konsol Gateway NAT.
Di bilah navigasi atas, pilih region tempat Gateway NAT Internet ditempatkan.
Dalam contoh ini, China (Hohhot) dipilih.
Di halaman Internet NAT Gateway, temukan Gateway NAT yang ingin Anda kelola dan klik Configure DNAT di kolom Actions.
Di tab DNAT Management, klik Create DNAT Entry.

Di halaman Create DNAT Entry, atur parameter yang dijelaskan dalam tabel berikut dan klik Confirm.

Atur parameter berikut untuk membuat entri DNAT untuk vSwitch2 dan vSwitch3.

Parameter	Deskripsi
Select EIP	Pilih EIP dari daftar drop-down. EIP digunakan untuk berkomunikasi dengan Internet.
Select Private IP Address	Pilih instance ECS yang menggunakan entri DNAT untuk berkomunikasi dengan Internet. Pilih Select by ECS or ENI, dan kemudian pilih instance ECS atau antarmuka jaringan elastis (ENI) yang terkait dengan instance ECS dari daftar drop-down.
Port Settings	Pilih metode pemetaan DNAT. Specific Port dipilih dalam contoh ini. Gunakan pengaturan berikut untuk vSwitch2 dan vSwitch3: vSwitch2: Public Port: port eksternal yang digunakan dalam penerusan port. Port `22` ditentukan dalam contoh ini. Private Port: port internal yang digunakan dalam penerusan port. Port `22` ditentukan dalam contoh ini. Protocol Type: protokol yang digunakan oleh port. `TCP` dipilih dalam contoh ini. vSwitch3: Public Port: port eksternal yang digunakan dalam penerusan port. Port `22` ditentukan dalam contoh ini. Private Port: port internal yang digunakan dalam penerusan port. Port `22` ditentukan dalam contoh ini. Protocol Type: protokol yang digunakan oleh port. `TCP` dipilih dalam contoh ini. Pastikan aturan grup keamanan ECS2 dan ECS3 mengizinkan masuk `TCP` permintaan dari port `22`.
Entry Name	Masukkan nama untuk entri DNAT. Nama harus memiliki panjang 2 hingga 128 karakter, dan dapat berisi angka, titik (.), garis bawah (_), dan tanda hubung (-). Nama harus dimulai dengan huruf.

Langkah 8: Uji konektivitas jaringan dan periksa metrik pemantauan

Periksa apakah instance ECS dapat mengakses Internet

Masuk ke ECS1 di vSwitch1 dan lakukan operasi berikut untuk memeriksa apakah ECS1 dapat mengakses Internet. Anda juga dapat memeriksa EIP yang ditentukan dalam entri SNAT yang diasosiasikan dengan ECS1.

Masuk ke ECS1 di vSwitch1. Untuk informasi lebih lanjut, lihat Metode Koneksi.
Jalankan perintah ping untuk ping ping www.aliyun.com.
Jika Anda dapat menerima paket balasan echo, itu menunjukkan bahwa ECS1 dapat mengakses Internet.
Hasilnya menunjukkan bahwa ECS1 dapat mengakses Internet.
Jalankan perintah curl myip.ipip.net untuk memeriksa EIP yang digunakan ECS1 untuk mengakses Internet. Kemudian, jalankan perintah ifconfig untuk memeriksa alamat IP privat ECS1.
Hasilnya menunjukkan bahwa EIP yang digunakan ECS1 untuk mengakses Internet adalah EIP yang ditentukan dalam entri SNAT yang dikonfigurasikan di NATGW-1.

Periksa apakah ECS2 dapat menyediakan layanan melalui Internet

Masuk ke mesin Linux lokal.
Jalankan perintah ssh root@alamat IP publik. Atur alamat IP publik ke EIP yang ditentukan dalam entri DNAT yang dikonfigurasikan di NATGW-2. Kemudian, masukkan kata sandi ECS2 dan periksa apakah Anda dapat mengakses ECS2.
Jika Welcome to Alibaba Cloud Elastic Compute Service! dikembalikan, itu menunjukkan bahwa ECS2 dapat menggunakan fitur DNAT NATGW-2 untuk menyediakan layanan melalui Internet.
Jalankan perintah ifconfig. Jika alamat IP yang dikembalikan sama dengan alamat IP privat ECS2, itu menunjukkan bahwa ECS2 dapat menyediakan layanan melalui Internet.

Lihat Metrik

Masuk ke Konsol Gateway NAT.
Di bilah navigasi atas, pilih region tempat Gateway NAT Internet ditempatkan.
Di halaman Internet NAT Gateway, temukan Gateway NAT Internet yang ingin Anda kelola dan klik di kolom Monitoring.
Untuk informasi lebih lanjut tentang metrik pemantauan Gateway NAT Internet, lihat Lihat data pemantauan.