NAT网关最佳实践
所有文档

          私有网络 VPC

          NAT网关最佳实践

          简介

          NAT(Network Address Translation)网关主要为私有网络提供访问 Internet 服务,支持多台云服务器共享公网IP 主机访问 Internet。NAT 网关可以绑定 EIP 实例及共享带宽包,为云服务器实现从内网IP 到公网IP 的多对一或多对多的地址转换服务。

          NAT 网关基本功能:

          • 更好地进行公网带宽资源的管理和成本的控制,多个云服务器(BCC、BBC、DCC专属实例)访问公网可以通过 NAT 网关共享一个或多个EIP。
          • 可提高云服务器安全性,避免这些服务器直接暴露在公网上被访问到。

          子网类型分为通用型子网和 NAT 专属型子网,绑定 EIP 的云服务器放在通用型子网中;通过 NAT 网关访问公网的云服务器放在 NAT 专属型子网中。NAT 专属型子网的实例无法绑定EIP。

          场景一

          下面我们来介绍如何从零开始合理规范子网的部署。

          示例场景

          如下图所示,绑定 EIP 的云服务器放在通用型子网 A 中,通过 NAT 网关访问公网的云服务器放在 NAT 专属型子网B中,NAT网关绑定EIP。

          操作步骤

          1. 登录百度智能云控制台,进入私有网络VPC,创建一个 VPC 实例。在实例中分别创建通用型子网和 NAT 专属型子网。

          1. 在通用型子网中添加主机(例如 BCC),为 BCC 绑定 EIP,使其可以访问公网。
          2. 在 NAT 专属型子网中添加主机(例如 BCC)。

            • 创建 NAT 网关并绑定 EIP。

            • 配路由表。源网段可以选择 NAT 专属型子网中的网段,目标网段可以为0.0.0.0/0,路由类型为 NAT 网关,下一跳实例选择创建的 NAT 网关实例。

            至此,可以进入云服务器 ping 公网地址测试连通性。

          场景二

          用户购买共享带宽,将共享带宽多个IP绑定到 NAT 网关,实现多对多的地址转换服务。

          示例场景

          在场景一的基础上,NAT 网关从绑定 EIP 改为绑定共享带宽。

          操作步骤

          1. 进入“弹性公网IP”页面,购买共享带宽。
          2. 在私有网络 VPC 中创建 NAT 网关,并绑定共享带宽,选择需要的IP。

          至此,可以进入云服务器 ping 公网地址测试连通性。

          说明: NAT网关绑定共享带宽后也可以灵活解绑IP。

          场景三

          用户前期已完成服务部署,后续由于业务调整,之前通过 NAT 网关访问公网的云服务器需要重新绑定 EIP 直接访问公网。在迁移子网的过程中,云服务器需要重启,服务会有短暂的中断。

          示例场景

          如下图所示,用户前期已完成服务部署,后来由于业务的调整需要将少量的云服务器从 NAT 专属型子网 B 中迁移到通用型子网 A。

          操作步骤

          1. 在 NAT 专属型子网页面,点击需要迁移的云服务器实例名称,进入实例详情页面,点击配置信息中的“变更子网”,选择需要迁移的子网,完成迁移。

          2. 为迁移后的云服务器绑定 EIP,使其能够访问公网。

          至此,可以进入云服务器 ping 公网地址测试连通性。

          示例场景

          类似的,用户前期已完成服务部署,后来由于业务的调整,之前通过 EIP 访问公网的云服务器需要通过 NAT 网关访问公网,迁移子网的过程中云服务器需要重启,服务会有短暂的中断。

          如下图所示,用户前期已完成服务部署,后来由于业务的调整需要将少量的云服务器从通用型子网 A 中迁移到 NAT 专属型子网 B。

          操作步骤

          1. 进入通用型子网中,将需要迁移的云服务器解绑 EIP。
          2. 点击需要迁移的云服务器实例名称,进入实例详情页面,点击配置信息中的“变更子网”,选择需要迁移的子网,完成迁移。

          至此,可以进入云服务器ping公网地址测试连通性。

          说明:用户可以修改迁移实例的内网IP。

          场景四

          用户业务复杂,受条件限制无法迁移云服务器,在同一个子网中部分云服务器通过绑定 EIP 访问公网,其他云服务器通过 NAT 网关访问公网。其配置复杂灵活,用户需要格外细心。

          示例场景

          如下图所示,在通用型子网 A 中,将通过 NAT 网关访问公网的 BCC 与绑定 EIP 直接访问公网的 BCC 混合在一起。

          操作步骤

          1. 用户提交工单,申请在通用型子网中使用 NAT 网关。
          2. 创建 NAT 网关并绑定EIP。
          3. 通过绑定 EIP 访问公网的云服务器配置路由表,源网段选择自定义配置,可填写该云服务器的内网 IP,目地网段为0.0.0.0/0,路由类型选择本地网关,下一跳选择默认网关。

          4. 配置路由表,首先源网段选择该通用型子网,目地网段为0.0.0.0/0,路由类型选择 NAT 网关,下一跳选择创建的 NAT 网关实例。

          注意:此场景下如果跳过第3步直接进行第4步配置NAT网关路由,该子网中所有访问公网的流量都会被牵引至NAT网关,该子网中通过EIP访问公网的流量将会中断。

          至此,可以进入云服务器 ping 公网地址测试连通性。

          上一篇
          安全组配置实践(进阶篇)
          下一篇
          对等连接最佳实践