VPC NAT Gateway可以實現私網IP地址轉換,滿足地址衝突時網路互訪和指定IP地址訪問的訴求。
建立/刪除VPC NAT Gateway
控制台
建立VPC NAT Gateway
前往NAT Gateway - VPC NAT Gateway購買頁。
付費類型:隨用隨付。
地區:選擇建立VPC NAT Gateway的地區。
網路及可用性區域:選擇VPC NAT Gateway所屬的VPC和交換器。
在確認訂單頁面,確認參數配置及服務合約,單擊立即開通。
建立完成後,可以在VPC NAT Gateway頁面查看已建立的VPC NAT Gateway執行個體。
基本資料頁簽,可查看VPC NAT Gateway的VPC、交換器等資訊。
NAT IP頁簽,可查看預設NAT IP位址區段和預設NAT IP地址。
預設NAT IP位址區段為該VPC NAT Gateway所屬交換器的網段,預設NAT IP地址為系統在交換器網段中隨機分配的一個IP地址。二者均不能刪除。
刪除VPC NAT Gateway
單擊目標VPC NAT Gateway執行個體操作列的刪除。
刪除前,需刪除VPC NAT Gateway下的SNAT條目、DNAT條目、自訂NAT IP地址和自訂NAT IP位址區段。也可以選擇強制移除,系統會同時刪除VPC NAT Gateway執行個體及相關資源,需謹慎操作。
API
調用CreateNatGateway建立VPC NAT Gateway。
調用DeleteNatGateway刪除VPC NAT Gateway。
配置NAT IP和位址區段
建立VPC NAT Gateway後,系統會使用VPC NAT Gateway所屬交換器的網段作為預設NAT IP位址區段。可以為VPC NAT Gateway建立NAT IP位址區段,滿足更多需求。
NAT IP地址可以用來建立SNAT條目或DNAT條目,預設NAT IP地址為系統在交換器網段中隨機分配的一個IP地址。可以在NAT IP位址區段中添加NAT IP地址,增加VPC NAT Gateway用於地址轉換的私網IP地址。
控制台
建立NAT IP位址區段
前往VPC NAT Gateway頁面,在頂部功能表列,選擇VPC NAT Gateway的地區。
單擊目標VPC NAT Gateway執行個體ID進入詳情頁,選擇NAT IP頁簽,單擊建立位址區段。位址區段需滿足以下條件:
建議使用RFC私網地址10.0.0.0/16、172.16.0.0/16、192.168.0.0/16這三個私網網段及其子網作為位址區段,支援的子網路遮罩位元範圍為16至32位。如需使用公網網段,需使用使用者網段保證該網段在專用網路位址區段範圍內,再將其作為NAT IP位址區段。
不能與VPC NAT Gateway所屬VPC的私網網段重疊。如果需要將私網地址轉換為VPC私網網段內的其他地址,請在對應的VPC私網網段內建立交換器,並在該交換器中建立新的VPC NAT Gateway提供私網地址轉換服務。
添加NAT IP地址
前往VPC NAT Gateway頁面,在頂部功能表列,選擇VPC NAT Gateway的地區。
單擊目標VPC NAT Gateway執行個體ID進入詳情頁,選擇NAT IP頁簽,單擊添加NAT IP。
選擇位址區段:選擇VPC NAT Gateway下任意的NAT IP位址區段或者建立NAT IP位址區段。
分配方式:隨機分配IP或從所選位址區段中指定IP地址來手動分配IP。
刪除NAT IP地址
預設NAT IP地址無法刪除。
單擊目標NAT IP地址操作列的刪除,或選擇多個NAT IP地址,在頁面下方單擊刪除。
刪除NAT IP位址區段
預設NAT IP位址區段無法刪除。
單擊目標NAT IP位址區段右側
表徵圖。刪除前,需先刪除該位址區段中的NAT IP地址。
API
調用CreateNatIpCidr建立NAT IP位址區段。
調用CreateNatIp添加NAT IP地址。
調用DeleteNatIp刪除NAT IP地址。
調用DeleteNatIpCidr刪除NAT IP位址區段。
配置SNAT條目
通過建立SNAT條目,VPC中的資源可以通過NAT IP地址訪問其他VPC或IDC網路。
控制台
建立 SNAT 條目
前往VPC NAT Gateway頁面,在頂部功能表列,選擇VPC NAT Gateway的地區。
單擊目標VPC NAT Gateway執行個體操作列的SNAT管理,單擊建立SNAT條目。
SNAT條目粒度:選擇SNAT條目的粒度。
專用網路粒度:VPC NAT Gateway所屬VPC下的所有位址區段可以通過配置的SNAT規則訪問外部私網。
交換器粒度:指定交換器下的ECS執行個體通過配置的SNAT規則訪問外部私網。
選擇交換器:可以在下拉式清單選擇已建立的交換器,也可以單擊建立交換器跳轉到VPC控制台建立交換器後選擇。
交換器網段:顯示交換器的網段。
ECS粒度:指定的ECS執行個體通過配置的SNAT規則訪問外部私網。
選擇ECS:可以在下拉式清單選擇已建立的ECS執行個體,也可以單擊建立ECS跳轉到ECS控制台建立ECS執行個體後選擇。選擇多個ECS時,將會建立多條SNAT條目,使用相同的NAT IP地址。需確保ECS執行個體的狀態處於運行中。
ECS網段:顯示ECS的網段。
自訂網段粒度:輸入任意網段後,該網段的下ECS執行個體都可以通過配置的SNAT規則訪問外部私網。
選擇NAT IP地址:在下拉式清單中選擇一個或多個用來訪問外部私網的NAT IP地址。可以在下拉式清單選擇建立NAT IP,建立後選擇。
NAT IP親和性:選擇多個NAT IP,未開啟親和性時,同一個私網IP訪問單一目的IP,可能使用不同的NAT IP。開啟後,會使用相同的NAT IP。
建立完成後,可單擊目標條目操作列的編輯,修改NAT IP地址與NAT IP親和性。
刪除 SNAT 條目
在VPC NAT Gateway詳情頁的SNAT管理頁簽,單擊目標SNAT條目操作列的刪除。
API
調用CreateSnatEntry建立SNAT條目。
調用DeleteSnatEntry刪除SNAT條目。
配置DNAT條目
通過建立DNAT條目,將VPC NAT Gateway上的NAT IP地址映射給VPC內的ECS執行個體使用,ECS執行個體可以對外部私網提供服務。
控制台
建立 DNAT 條目
前往VPC NAT Gateway頁面,在頂部功能表列,選擇VPC NAT Gateway的地區。
單擊目標VPC NAT Gateway執行個體操作列的DNAT管理,單擊建立DNAT條目。
選擇NAT IP地址:選擇供外部私網訪問的NAT IP地址。支援將一個NAT IP地址同時用於DNAT條目(連接埠映射方式)和SNAT條目。
選擇私網IP地址:選擇要通過DNAT規則進行通訊的私網IP地址。支援通過ECS或彈性網卡進行選擇或通過手動輸入。
連接埠設定:配置DNAT映射。
任意連接埠:屬於IP映射,任何訪問該NAT IP地址的請求都將轉寄到目標ECS執行個體上,目標ECS執行個體也可以使用該NAT IP地址主動訪問外部私網。
DNAT條目中配置了IP映射方式的NAT IP地址不能再被其他DNAT條目或SNAT條目使用。
如果NAT Gateway既配置了DNAT IP映射方式,又配置了SNAT條目,則ECS執行個體會優先通過DNAT IP映射方式的NAT IP地址訪問外部私網。
具體連接埠:屬於連接埠映射,VPC NAT Gateway會將以指定協議和連接埠訪問該NAT IP地址的請求轉寄到目標ECS執行個體的指定連接埠上。 配置前端連接埠(NAT IP地址被外部私網訪問的連接埠)、後端連接埠(映射的目標ECS執行個體連接埠)、協議類型(轉送連接埠的協議類型)。
輸入的連接埠範圍需要在1~65535之間。
當選擇的NAT IP已建立SNAT條目,且需要設定大於
1024的連接埠時,因SNAT預設分配連接埠範圍在1025~65535之間,需開啟連接埠突破。但開啟連接埠突破會導致部分存量SNAT的串連閃斷,重連即可恢複,請謹慎操作。
建立完成後,可單擊目標條目操作列的編輯,修改NAT IP地址、私網IP地址和連接埠。
刪除 DNAT 條目
在VPC NAT Gateway詳情頁的DNAT管理頁簽,單擊目標DNAT條目操作列的刪除。
API
調用CreateForwardEntry建立DNAT條目。
調用DeleteForwardEntry刪除DNAT條目。
配置路由
參考以下操作配置路由來管理網路流量。
使用預設NAT IP位址區段作為VPC NAT Gateway的私網轉換位址區段。
在VPC NAT Gateway所在VPC的系統路由表中添加目標網段為對端網段,下一跳指向VPC NAT Gateway的自訂路由條目。
為VPC NAT Gateway所在交換器自訂一張路由表,在自訂路由表中查看是否學習到對端網段的動態路由條目(例如從CEN學習到的動態路由)。
如果已經學習到對端網段的動態路由條目,則不需要手動添加指向對端網路的自訂路由條目。
如果沒有學習到對端網段的動態路由條目,則需要手動添加目標網段為對端網段,下一跳指向對端裝置(例如VBR、CEN等)的自訂路由條目。
使用自訂NAT IP位址區段作為VPC NAT Gateway的私網轉換位址區段。
在VPC NAT Gateway所在VPC的系統路由表中添加目標網段為自訂NAT IP位址區段,下一跳指向VPC NAT Gateway的自訂路由條目。
在VPC NAT Gateway所在VPC的系統路由表中添加目標網段為對端網段,下一跳指向VPC NAT Gateway的自訂路由條目。
為VPC NAT Gateway所在交換器自訂一張路由表,並添加目標網段為對端網段,下一跳指向對端裝置(例如路由器介面、轉寄路由器)的自訂路由條目。
使用自訂NAT IP位址區段與雲下資源或雲上其他VPC資源互訪時,需要使用企業版轉寄路由器組網。