同VPC内多公网NAT网关部署方案 - NAT 网关

同VPC内部署多公网NAT网关的场景说明

本文以下图场景为例，为您介绍如何使用公网NAT网关产品在同一个VPC内部署多公网NAT网关的网络环境。

上述场景方案中的交换机对应的场景说明如下：

创建一个VPC并部署3个vSwitch，其中网络安全域1内部署一套公网NAT网关（NATGW-1），vSwitch1使用该套网关；网络安全域2内部署另一套公网NAT网关（NATGW-2），vSwitch2和vSwitch3共享这套网关。
- vSwitch1属于网络安全域1，关联系统路由表。独立公网IP，50 Mbps带宽；不主动对外暴露公网IP，只允许内部主机主动对外访问，并要求独立环境。
- vSwitch2和vSwitch3属于网络安全域2，关联VPC子网路由表。共享网络安全域2内的统一公网出口1 Gbps；既能被外网访问，同时需要主动访问公网。
创建一个名为EIP1且带宽为50 Mbps的EIP，用于绑定NATGW-1的SNAT。
申请一个1 Gbps的共享带宽，用于NATGW-2，再申请3个名为EIP2、EIP3和EIP4且带宽均为5 Mbps的EIP，加入到该共享带宽中，2个EIP分别用于vSwitch2和vSwitch3的DNAT使用，第3个EIP用于两个vSwitch的SNAT访问。
配置公网NAT网关的监控，针对NATGW-2下不同vSwitch的流量进行监控，监控vSwitch的使用情况。

部署流程

步骤一：准备云网络资源

在为交换机部署公网NAT网关前，您需要先创建VPC、vSwitch、ECS、EIP和共享带宽等云资源。


云网络资源	规格描述	数量	具体操作
VPC	地域：华北5（呼和浩特）。	1个	创建专有网络和交换机
vSwitch	可用区：呼和浩特可用区A：1个，vSwitch1部署在该可用区。呼和浩特可用区B：2个，vSwitch2和vSwitch3部署在该可用区。	3个	创建专有网络和交换机
ECS实例	付费模式：选择按量付费。地域及可用区：选择华北5（呼和浩特）。实例：本文选择ecs.g6e.large。镜像：本文选择Alibaba Cloud Linux 3.2104 64位。网络：已创建的专有网络和交换机。呼和浩特可用区A：1个，ECS1创建在vSwitch1所在可用区。呼和浩特可用区B：2个，ECS2和ECS3创建在vSwitch2和vSwitch3所在可用区。公网IP：选择不分配。安全组：选择使用默认安全组。	3台	创建ECS实例
EIP	付费模式：选择按量付费。地域：华北5（呼和浩特）。带宽峰值：1个50 Mbps，3个5 Mbps。	4个	申请EIP
共享带宽	付费模式：选择按量计费。地域：华北5（呼和浩特）。峰值带宽：1000 Mbps。	1个	创建共享带宽实例

步骤二：创建两个公网NAT网关实例

在创建的VPC内创建两个按使用量计费的公网NAT网关实例，名称为NATGW-1和NATGW-2，其中NATGW-1用于绑定在vSwitch1内，NATGW-2用于绑定在vSwitch2和vSwitch3内。

登录NAT网关管理控制台。
在公网NAT网关页面，单击创建NAT网关。
首次使用NAT网关时，在创建NAT网关面板关联角色创建须知区域，单击创建，创建服务关联角色。角色创建成功后即可创建NAT网关。
关于NAT网关服务关联角色的更多信息，请参见服务关联角色。

在创建公网NAT网关页面，配置以下购买信息，然后单击立即购买。


配置	说明
付费模式	默认选择为按量付费，即一种先使用后付费的付费模式。更多信息，请参见公网NAT网关计费。
所属地域	选择需要创建公网NAT网关的地域。
所属专有网络	选择公网NAT网关所属的VPC。创建后，不能修改公网NAT网关所属的VPC。
关联交换机	选择公网NAT网关实例所属的交换机。
计费类型	默认选择为按使用量计费，即按公网NAT网关实际使用量收费。更多信息，请参见公网NAT网关计费。
计费周期	默认选择为按小时，即按使用量计费公网NAT网关的计费周期为1小时，不足1小时按1小时计算。
实例名称	设置公网NAT网关实例的名称。实例名称长度为2~128个字符，以英文大小字母或中文开头，可包含数字、下划线（_）和短划线（-）。
访问模式	选择公网NAT网关的访问模式。支持以下两种模式： VPC全通模式（SNAT）：选择了VPC全通模式，在公网NAT网关创建成功后当前VPC内所有实例即可通过该公网NAT网关访问公网。选择VPC全通模式（SNAT）后，您需要配置弹性公网IP（Elastic IP Address，简称EIP）的相关信息。稍后配置：如需稍后配置或有更多配置需求，可在购买完成后，前往控制台进行配置。选择稍后配置，则只购买公网NAT网关实例。本文选择稍后配置。

在确认订单页面确认公网NAT网关的配置信息，选中服务协议并单击确认订单。
当出现恭喜，购买成功！的提示后，说明您创建成功。

步骤三：为vSwitch2和vSwitch3添加自定义路由表

路由表由路由条目组成，每条路由条目指定了网络流量的目的地。除默认路由表外，您还可以创建自定义路由表，管理网络流量。

登录专有网络管理控制台。
在左侧导航栏，单击路由表。
选择要创建的路由表的地域。
本文选择华北5（呼和浩特）地域。
自定义路由表功能支持的地域信息，请参见自定义路由表发布及地域支持情况。
在路由表页面，单击创建路由表。

在创建路由表页面，根据以下信息配置路由表，然后单击确定。


配置	说明
资源组	选择路由表所属的资源组。
专有网络	选择路由表所属的专有网络。
名称	输入路由表的名称。名称长度为2~128个字符，以英文字母或中文开头，可包含数字、下划线（_）和短划线（-）。
描述	输入路由表的描述。描述长度为2~256个字符，不能以`http://`和`https://`开头。

在路由表页面，找到目标路由表，单击路由表ID。
在路由表基本信息页面，单击已绑定交换机页签，然后单击绑定交换机。
在绑定交换机页面，分别选择要绑定的vSwitch2和vSwitch3，然后单击确定。

单击路由条目列表 > 自定义路由条目页签，然后单击添加路由条目，在添加路由条目面板设置以下配置信息。


配置	说明
名称	输入路由条目的名称。名称长度为2~128个字符之间，以英文字母或中文开头，可包含数字、下划线（_）和短划线（-）。
目标网段	输入要转发到的目标网段，本文设置为`0.0.0.0/0`。
下一跳类型	选择下一跳类型为NAT网关：将目的地址在目标网段范围内的流量路由至选择的NAT网关。
NAT网关	选择下一跳实例为步骤二：创建两个公网NAT网关实例中创建的`NATGW-2`网关。

添加完成后，新建的自定义路由表中会增加一条指向NATGW-2的自定义路由条目。

步骤四：将3个5 Mbps带宽的EIP绑定到一个共享带宽

登录共享带宽管理控制台。
在顶部菜单栏处，选择共享带宽实例的地域。
本文选择华北5（呼和浩特）地域。
在共享带宽页面，找到目标共享带宽实例，然后在操作列单击添加IP。
在添加IP面板，选择从已有EIP列表选取，然后选择可用EIP，最后单击确定。
将3个5 Mbps带宽的EIP加入1000 Mbps共享带宽后，这3个EIP会共享1000 Mbps带宽。

步骤五：将4个EIP逐个绑定到公网NAT网关

将创建的EIP绑定到步骤二：创建两个公网NAT网关实例中创建的公网NAT网关实例中，其中EIP1绑定到NATGW-1，EIP2、EIP3和EIP4绑定到NATGW-2。

登录NAT网关管理控制台。
在顶部菜单栏处，选择公网NAT网关的地域。
本文选择华北5（呼和浩特）地域。
在公网NAT网关页面，找到目标公网NAT网关实例，然后在弹性公网IP列单击立即绑定。

在绑定弹性公网IP对话框，配置以下参数，然后单击确定。


配置	说明
所在资源组	选择EIP所在的资源组。
选择弹性公网IP	选择从已有弹性公网IP中选择，然后在下拉列表中选择EIP：当绑定EIP到`NATGW-1`时，选择创建的50 Mbps的EIP实例。当绑定EIP到`NATGW-2`时，选择已加入共享带宽的3个EIP实例。

绑定成功后，在公网NAT网关实例的弹性公网IP列将会显示出已绑定的EIP。

步骤六：创建SNAT条目

公网NAT网关的SNAT功能可以为VPC中无公网IP的ECS实例提供访问互联网的代理服务。为NATGW-1创建1条SNAT条目，为NATGW-2创建2条SNAT条目。

登录NAT网关管理控制台。
在顶部菜单栏处，选择公网NAT网关的地域。
本文选择华北5（呼和浩特）地域。
在公网NAT网关页面，找到目标公网NAT网关实例，然后在操作列单击设置SNAT。
在SNAT管理页签，单击创建SNAT条目。

在创建SNAT条目页面，配置以下参数，然后单击确定创建。

当为NATGW-1创建SNAT条目时，选择vSwitch1。
当为NATGW-2创建SNAT条目时，请将vSwitch2和vSwitch3都指向同一个SNAT中绑定的EIP。


配置	说明
SNAT条目粒度	选择SNAT条目的粒度。本文以选择交换机粒度为例：指定交换机下的ECS实例通过配置的公网IP访问公网。选择交换机：在下拉列表中选择交换机。说明如您选择多个交换机，将会为您创建多条SNAT条目，使用相同的公网IP地址。交换机网段：显示交换机的网段。
选择公网IP地址	选择用来提供公网访问的公网IP。本文以选择使用单IP为例，在下拉列表中选择EIP。
条目名称	输入SNAT条目的名称。名称长度为2~128个字符，以大小写字母或中文开头，可包含数字、下划线（_）和短划线（-）。

步骤七：创建DNAT条目

通过NAT网关的DNAT功能，可以将NAT网关上的公网IP映射给ECS实例使用，使ECS实例能够提供互联网服务。为NATGW-2创建2条DNAT条目。

登录NAT网关管理控制台。
在顶部菜单栏处，选择公网NAT网关的地域。
本文选择华北5（呼和浩特）地域。
在公网NAT网关页面，找到目标公网NAT网关实例，然后在操作列单击设置DNAT。
在DNAT管理页签，单击创建DNAT条目。

在创建DNAT条目页面，配置DNAT条目参数，然后单击确定创建。

为vSwitch2和vSwitch3设置以下DNAT规则。


配置	说明
选择公网IP地址	在下拉列表选择要提供互联网通信的EIP。
选择私网IP地址	选择要通过DNAT规则进行互联网通信的ECS实例。选择通过ECS或弹性网卡进行选择：从ECS实例或弹性网卡列表中选择ECS实例。
端口设置	选择DNAT映射的方式，选择具体端口。 vSwitch2和vSwitch3的设置如下： vSwitch2：公网端口：进行端口转发的外部端口，设置为`22`。私网端口：进行端口转发的内部端口，设置为`22`。协议类型：转发端口的协议类型，选择`TCP`。 vSwitch3：公网端口：进行端口转发的外部端口，设置为`22`。私网端口：进行端口转发的内部端口，设置为`22`。协议类型：转发端口的协议类型，选择`TCP`。请确保ECS2和ECS3的安全组入方向允许`TCP协议`、`22`端口通行。
条目名称	DNAT条目的名称。名称长度为2~128个字符，以大小写字母或中文开头，可包含数字、下划线（_）和短划线（-）。

步骤八：测试验证和指标监控

测试ECS实例访问公网的能力

登录ECS实例，以vSwitch1下的ECS1为例，执行以下操作步骤，验证ECS实例访问公网的能力，并可查看该ECS实例上绑定的SNAT地址。

登录vSwitch1下的ECS1。更多信息，请参见ECS连接方式概述。
执行ping命令，ping www.aliyun.com测试网络连通性。
如果能接收到回复报文，表示连接成功。
经测试，ECS1可以访问互联网。
执行curl myip.ipip.net命令查看ECS1的公网出口IP，然后再执行ifconfig查看ECS1的私网IP。
经测试，ECS1的公网出口IP是NATGW-1SNAT条目中的公网IP地址。

测试ECS实例对外提供公网服务的能力

登录本地Linux设备。
执行ssh root@公网IP命令，此处的公网IP即为NATGW-2的DNAT条目中的公网IP地址，然后输入ECS2实例的登录密码，查看是否可以远程连接到实例。
若界面上出现Welcome to Alibaba Cloud Elastic Compute Service!时，表示您已经成功连接到实例，即ECS2通过NATGW-2的DNAT功能提供公网访问能力。
执行ifconfig命令，查看到IP信息与ECS2的私网IP一致，证明该ECS实例提供公网服务。

查看监控指标

登录NAT网关管理控制台。
在顶部菜单栏处，选择公网NAT网关的地域。
在公网NAT网关页面，找到目标公网NAT网关，然后在监控列单击图标查看监控。
关于公网NAT网关的监控指标，请参见查看NAT网关监控。