通過使用VPC對等串連可以實現在多個Virtual Private Cloud(Virtual Private Cloud)共用一個公網NAT Gateway,從而達到多VPC訪問公網的效果。
背景資訊
對等串連可以在兩個VPC之間建立網路連接,您可以通過VPC對等串連,實現兩個VPC之間私網互連。多個VPC之間可以通過建立兩兩對等串連實現互連。例如有3個VPC,分別為VPC1、VPC2和VPC3。其中VPC1和VPC2建立對等串連,VPC2和VPC3建立對等串連,VPC1和VPC3建立對等串連,可以實現3個VPC間兩兩互連。本文以在兩個VPC間建立對等串連實現共用一個公網NAT Gateway為例進行說明。
關於VPC對等串連的更多資訊,請參見VPC對等串連。
情境樣本
某公司在西南1(成都)地區建立了兩個VPC,其名稱分別為VPC-A和VPC-B。在VPC-A中,建立了vSwitch-A1和vSwitch-A2,並在vSwitch-A1中建立了公網NAT Gateway;在vSwitch-A2中建立ECS-A執行個體。在VPC-B中,建立了vSwitch-B1並建立了ECS-B執行個體。因公司業務需要,VPC-A與VPC-B都需要訪問公網。
公司可以通過使用VPC對等串連並配置路由條目在VPC-A和VPC-B之間建立私網互連,然後在公網NAT Gateway配置SNAT條目,實現VPC-A和VPC-B通過公網NAT Gateway訪問公網。
配置步驟
步驟一:建立公網NAT Gateway
在公網NAT Gateway頁面,單擊建立公網NAT Gateway。
在NAT Gateway頁面,配置以下購買資訊,然後單擊立即購買。
配置項
說明
地區
選擇需要建立公網NAT Gateway的地區。
網路及可用性區域
請選擇NAT Gateway所屬的VPC和交換器。建立成功後,無法進行修改或切換。
網路類型
本文選擇公網NAT Gateway。
公網NAT Gateway:具備網路位址轉譯能力,可以綁定Elastic IP Address,從而為ECS執行個體提供訪問互連網的能力,實現私網和公網之間的通訊。
VPC NAT Gateway:同樣具備網路位址轉譯能力,但無法綁定Elastic IP Address,只能為ECS執行個體提供私網內部的地址轉換,適用於內網地址隱藏、地址衝突規避等情境。
Elastic IP Address
本文選擇新購Elastic IP Address。
選擇已有
Elastic IP Address執行個體:選擇未綁定執行個體的Elastic IP Address。
新購Elastic IP Address:預設建立BGP(多線)類型的按使用流量計費的Elastic IP Address,可根據自身業務需要選擇頻寬峰值。
說明如需綁定其他線路類型或計費類型的Elastic IP Address,請先申請Elastic IP Address,然後選擇已有進行綁定。
每綁定一個Elastic IP Address,將佔用NAT Gateway所在交換器的一個私網IP地址。請確保該交換器具有足夠的可用私網IP地址,否則將無法成功綁定新的Elastic IP Address。
稍後配置:成功建立的NAT Gateway將不具備公網能力,使用者需手動綁定Elastic IP Address。
建立成功後,您可以在公網NAT Gateway頁面查看已建立的公網NAT Gateway執行個體。
步驟二:建立VPC對等串連
- 登入專用網路管理主控台。
- 在左側導覽列,單擊VPC對等串連。
在頂部功能表列,選擇要建立VPC對等串連的地區。
本文選擇西南1(成都)地區。
在VPC对等连接頁面,單擊建立對等串連。
在建立對等串連頁面,配置以下參數資訊,然後單擊確定。
配置
說明
對等串連名稱
輸入VPC對等串連的名稱。
資源群組
選擇所屬的資源群組。
發起端VPC執行個體
在下拉式清單中選擇發起端的VPC執行個體。
本文選擇VPC-A。
接收端帳號類型
選擇接收端VPC執行個體所屬的阿里雲帳號類型。
本文選擇同帳號。
接收端地區類型
選擇接收端VPC執行個體所在地區類型。
本文選擇同地區。
接收端VPC執行個體
選擇接收端VPC執行個體。
本文選擇VPC-B。
在VPC对等连接頁面,查看VPC對等串連的狀態等資訊。
啟用成功的VPC對等串連狀態為已啟用,您可以正常使用。
您可以查看發起端和接收端的執行個體ID、所在地區、CIDR網段以及所屬阿里雲帳號。
步驟三:配置路由
在VPC對等串連的兩端添加路由條目以管理流量。
- 登入專用網路管理主控台。
- 在左側導覽列,單擊VPC對等串連。
在VPC對等串連頁面,找到已建立的VPC對等串連,執行以下操作配置路由。
配置發起端(VPC-A)的路由
在發起端VPC執行個體列單擊配置路由條目。
在配置路由條目對話方塊,配置以下參數資訊,然後單擊確定。
添加VPC-B網段172.16.0.0/16的路由條目,並將其指向VPC對等串連,以保證式轉送至VPC-B的流量能夠正確地通過VPC對等串連進行轉寄。
配置
說明
專用網路
系統自動顯示當前發起端的VPC執行個體。
路由表
在下拉式清單中選擇該VPC執行個體所關聯的路由表。
名稱
輸入路由條目的名稱。
目標網段
輸入路由條目的目標網段。
本文選擇IPv4網段,然後輸入VPC-B的網段,即172.16.0.0/16。
下一跳
系統自動顯示下一跳對等串連執行個體。
配置接收端(VPC-B)的路由
在接收端執行個體列單擊配置路由條目。
在配置路由條目對話方塊,配置以下參數資訊,然後單擊確定。
添加0.0.0.0/0路由條目,並將其指向VPC對等串連,以便將IPv4流量轉寄至VPC對等串連。
配置
說明
專用網路
系統自動顯示當前發起端的VPC執行個體。
路由表
在下拉式清單中選擇該VPC執行個體所關聯的路由表。
名稱
輸入路由條目的名稱。
目標網段
輸入路由條目的目標網段。
由於VPC-B需要通過公網NAT Gateway訪問公網,因此本文選擇IPv4網段,然後輸入0.0.0.0/0。
下一跳
系統自動顯示下一跳對等串連執行個體。
路由配置完成後,您可以在VPC對等串連頁面,單擊VPC對等串連執行個體的ID,然後在路由條目列表頁簽下,查看已配置的路由條目資訊。
步驟四:建立SNAT條目
在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT。
在SNAT管理頁簽,單擊建立SNAT條目。
在建立SNAT條目頁面,配置以下參數,然後單擊確定建立。
配置項
說明
SNAT條目粒度
本文選擇VPC粒度。您可以根據實際業務需求,選擇適合自身業務的SNAT條目粒度。
VPC粒度:適用於需要讓VPC內所有ECS執行個體,以及通過CEN或專線等產品實現內網互連並配置了0.0.0.0/0路由條目指向該VPC的其他VPC或資料IDC內的ECS執行個體,統一通過同一Elastic IP Address訪問公網的情境。
交換器粒度:適用於對公網訪問有精細控制需求,只允許指定的交換器具備公網訪問能力的情境。
ECS/彈性網卡粒度:適用於對公網訪問有精細控制需求,只允許指定的ECS執行個體或彈性網卡具備公網訪問能力的情境。
自訂網段粒度:適用於需要靈活指定任意IP網段,通過NAT Gateway統一配置公網訪問能力的情境,可覆蓋VPC內、跨VPC或跨本地IDC等各種網路環境,滿足複雜或定製化網路結構的需求。
說明當您選擇多個交換器或ECS/彈性網卡時,將為您建立多條SNAT條目,這些條目將使用相同的公網IP地址。
選擇Elastic IP Address地址
選擇用來提供公網訪問的Elastic IP Address。
配置驗證
通過Workbench控制台依次登入ECS1、ECS2執行個體。
執行
ping 223.5.5.5命令。經驗證,ECS1和ECS2執行個體均可成功訪問公網。
