NAT Gateway：使用 VPC NAT Gateway解決地址衝突

地址衝突原因

網段重疊的 VPC 和交換器中的 ECS 互訪時：

• 配置對端VPC網段作為目標網段：流量會優先匹配系統路由，在 VPC 內部轉寄，無法抵達對端 VPC。

• 配置對端交換器網段作為目標網段：無法配置與已有系統路由目標網段相同或更明細的自訂路由。

NAT 解決方案

1. 添加附加IPv4網段：為 2 個 VPC 分別添加不重疊的附加網段，提供不衝突的私網地址。

2. 地址轉換：使用 VPC NAT Gateway轉換 ECS 的私網 IP，解決私網地址衝突。

3. VPC 互連：將 VPC 接入轉寄路由器，並配置自訂路由條目，確保流量正確轉寄。

流量路徑樣本

某企業在華東1（杭州）地區計劃連通已建立的 2 個 VPC，但 VPC 網段重疊。使用 VPC NAT Gateway實現地址轉換，並結合路由配置確保流量轉寄至 VPC NAT Gateway後，可部署雲企業網/對等串連實現私網互連。

以 ECS_A（私網IP：192.168.0.86）訪問 VPC_NATGW_B（私網IP：10.0.0.53）為例。

1. 按照 ECS_A 所在交換器綁定的自訂路由表的路由配置，訪問資料包轉寄至 VPC_NAT Gateway。

2. 按照 VPC_NAT_A 配置的 SNAT 規則，資料包的源 IP 將轉換為 NAT IP（172.16.0.89）。

3. 按照 VPC_A 系統路由表的路由配置，資料包將轉寄至轉寄路由器 TR，再由 TR 轉寄至 VPC_B，從而到達 VPC_B 的VPC NAT Gateway。

4. 按照 VPC_NAT_B 配置的 DNAT 規則，資料包的目的地址將轉換為 ECS_B，流量轉寄至目標伺服器，從而實現 ECS 互訪。

當 ECS_B 返迴響應資料包時，將按照會話映射表還原為原始的私網 IP，並按照路由最終送達 ECS_A。

步驟一：配置附加網段

1. 添加附加網段：

   1. 前往專用網路列表頁。在頂部功能表列選擇 VPC 所屬地區。

   2. 單擊目標VPC ID，選擇網段管理頁簽，單擊添加附加IPv4網段，分別為VPC_A、VPC_B添加附加網段。

2. 建立交換器：前往建立交換器頁面。

   • 專用網路：分別為 VPC_A、VPC_B 建立交換器。

   • IPv4網段：選擇已添加的附加IPv4網段。

步驟二：配置VPC NAT Gateway

建立 VPC NAT Gateway並配置 SNAT 條目和 DNAT 條目，將各自 VPC 中的 ECS 執行個體私網 IP 轉換為 NAT IP，解決地址衝突。

1. 建立 VPC NAT Gateway：前往VPC NAT Gateway購買頁。

   • 地區：選擇 VPC 所屬地區。

   • 網路及可用性區域：分別為VPC_A、VPC_B建立VPC NAT Gateway，選擇使用附加網段建立的交換器。

2. 配置 SNAT 條目：VPC NAT Gateway將按照配置的 SNAT 規則將資料包的源 IP 轉換為 NAT IP 位址。

   1. 前往VPC NAT Gateway列表頁，在頂部功能表列選擇 VPC NAT 所屬地區。

   2. 單擊目標 VPC NAT 執行個體操作列的SNAT管理。單擊建立SNAT條目。

      • SNAT條目粒度：本文選擇VPC粒度，可以根據自身需求調整。

      • 選擇NAT IP地址：選擇 VPC NAT Gateway的私網 IP。

3. 配置 DNAT 條目：VPC NAT Gateway將按照配置的 DNAT 規則將資料包的目的 IP 轉換為 NAT IP 位址。

   1. 前往VPC NAT Gateway列表頁，在頂部功能表列選擇 VPC NAT 所屬地區。

   2. 單擊目標 VPC NAT 執行個體操作列的DNAT管理。單擊建立DNAT條目。

      • 選擇NAT IP地址：選擇 VPC NAT Gateway的私網 IP。

      • 選擇私網IP地址：選擇 VPC 中需互連的 ECS 執行個體。

      • 連接埠設定：本文以SSH服務作為內網互連的驗證方式。SSH 服務採用連線導向的TCP協議傳輸，應用22號連接埠。故配置具體連接埠的前端連接埠和後端連接埠均為22，協議類型選擇TCP。

        可以根據自身實際需求建立對應的DNAT條目。

步驟三：連通 VPC

1. 建立 VPC 串連：

   轉寄路由器支援的地區和可用性區域。

   本樣本為同帳號同地區 VPC 互連。需根據 VPC 帳號與地區歸屬，參考跨地區VPC互連或跨帳號VPC互連。

   1. 前往雲企業網管理主控台，單擊建立雲企業網執行個體。選擇單獨建立並確認。

   2. 建立成功後，單擊建立網路執行個體串連。

      • 執行個體類型：選擇Virtual Private Cloud。

      • 地區：選擇 VPC 所屬地區。

      • 資源歸屬UID：根據 VPC 的帳號歸屬選擇。本文選擇同帳號。

      • 網路執行個體：選擇 VPC_A。

      • 交換器：為實現多可用性區域容災，至少選擇兩個可用性區域。必須包含 VPC NAT Gateway所在的交換器。

      • 進階配置：全部勾選。

   3. 建立完成後，單擊繼續建立串連，為 VPC_B 建立 VPC 串連。

2. 配置路由：

   NAT Gateway本身不決定流量的走向，僅負責地址轉換。流量是否會被發送到 NAT Gateway，以及地址轉換後流向何處，由 VPC 的路由表控制。

   1. 建立自訂路由表並綁定交換器：

      1. 前往路由表列表頁，在頂部功能表列選擇 VPC 所屬地區。

      2. 單擊建立交換器。

         • 專用網路：分別為VPC_A、VPC_B建立路由表。

         • 綁定物件類型：選擇交換器。

      3. 在路由表列表頁，單擊目標自訂路由表綁定資源列的立即綁定，綁定 ECS 執行個體所在的交換器。

   2. 配置路由條目：單擊目標路由表 ID，在自訂路由條目頁簽，單擊添加路由條目，配置目標網段與下一跳。

      按照下表配置路由，確保流量正確轉寄。

      專用網路	路由表	目標網段	下一跳
      VPC_A	系統路由表	10.0.0.0/24	轉寄路由器
      	自訂路由表	10.0.0.0/24	VPC_NATGW_A
      VPC_B	系統路由表	172.16.0.0/24	轉寄路由器
      	自訂路由表	172.16.0.0/24	VPC_NATGW_B

步驟四：結果驗證

登入 ECS_A 執行個體，執行如下命令。

# 通過訪問VPC_NATGW_B執行個體的 NAT IP（10.0.0.53），遠程登入 ECS_B 執行個體
# 確保 ECS_B 執行個體所屬安全性群組已放通22號連接埠
ssh root@10.0.0.53
# 查看執行個體網卡 IP
ifconfig

可確認 ECS_A 執行個體通過 VPC_NATGW_A 的 NAT IP（172.16.0.89）訪問 VPC_NATGW_B 的NAT IP（10.0.0.53），從而遠程登入到 ECS_B 執行個體。