私有网络VPC

    NAT网关最佳实践

    简介

    NAT(Network Address Translation)网关主要为私有网络提供访问 Internet 服务,支持多台云服务器共享公网IP 主机访问 Internet。NAT 网关可以绑定 EIP 实例及共享带宽包,为云服务器实现从内网IP 到公网IP 的多对一或多对多的地址转换服务。

    NAT 网关基本功能:

    • 更好地进行公网带宽资源的管理和成本的控制,多个云服务器(BCC、BBC、DCC专属实例)访问公网可以通过 NAT 网关共享一个或多个EIP。
    • 可提高云服务器安全性,避免这些服务器直接暴露在公网上被访问到。

    子网类型分为通用型子网和 NAT 专属型子网,绑定 EIP 的云服务器放在通用型子网中;通过 NAT 网关访问公网的云服务器放在 NAT 专属型子网中。NAT 专属型子网的实例无法绑定EIP。

    场景一

    下面我们来介绍如何从零开始合理规范子网的部署。

    示例场景

    如下图所示,绑定 EIP 的云服务器放在通用型子网 A 中,通过 NAT 网关访问公网的云服务器放在 NAT 专属型子网B中,NAT网关绑定EIP。

    操作步骤

    1. 登录百度智能云控制台,进入私有网络VPC,创建一个 VPC 实例。在实例中分别创建通用型子网和 NAT 专属型子网。

    1. 在通用型子网中添加主机(例如 BCC),为 BCC 绑定 EIP,使其可以访问公网。
    2. 在 NAT 专属型子网中添加主机(例如 BCC)。

      • 创建 NAT 网关并绑定 EIP。

      • 配路由表。源网段可以选择 NAT 专属型子网中的网段,目标网段可以为0.0.0.0/0,路由类型为 NAT 网关,下一跳实例选择创建的 NAT 网关实例。

      至此,可以进入云服务器 ping 公网地址测试连通性。

    场景二

    用户购买共享带宽,将共享带宽多个IP绑定到 NAT 网关,实现多对多的地址转换服务。

    示例场景

    在场景一的基础上,NAT 网关从绑定 EIP 改为绑定共享带宽。

    操作步骤

    1. 进入“弹性公网IP”页面,购买共享带宽。
    2. 在私有网络 VPC 中创建 NAT 网关,并绑定共享带宽,选择需要的IP。

    至此,可以进入云服务器 ping 公网地址测试连通性。

    说明: NAT网关绑定共享带宽后也可以灵活解绑IP。

    场景三

    用户前期已完成服务部署,后续由于业务调整,之前通过 NAT 网关访问公网的云服务器需要重新绑定 EIP 直接访问公网。在迁移子网的过程中,云服务器需要重启,服务会有短暂的中断。

    示例场景

    如下图所示,用户前期已完成服务部署,后来由于业务的调整需要将少量的云服务器从 NAT 专属型子网 B 中迁移到通用型子网 A。

    操作步骤

    1. 在 NAT 专属型子网页面,点击需要迁移的云服务器实例名称,进入实例详情页面,点击配置信息中的“变更子网”,选择需要迁移的子网,完成迁移。

    2. 为迁移后的云服务器绑定 EIP,使其能够访问公网。

    至此,可以进入云服务器 ping 公网地址测试连通性。

    示例场景

    类似的,用户前期已完成服务部署,后来由于业务的调整,之前通过 EIP 访问公网的云服务器需要通过 NAT 网关访问公网,迁移子网的过程中云服务器需要重启,服务会有短暂的中断。

    如下图所示,用户前期已完成服务部署,后来由于业务的调整需要将少量的云服务器从通用型子网 A 中迁移到 NAT 专属型子网 B。

    操作步骤

    1. 进入通用型子网中,将需要迁移的云服务器解绑 EIP。
    2. 点击需要迁移的云服务器实例名称,进入实例详情页面,点击配置信息中的“变更子网”,选择需要迁移的子网,完成迁移。

    至此,可以进入云服务器ping公网地址测试连通性。

    说明:用户可以修改迁移实例的内网IP。

    场景四

    用户业务复杂,受条件限制无法迁移云服务器,在同一个子网中部分云服务器通过绑定 EIP 访问公网,其他云服务器通过 NAT 网关访问公网。其配置复杂灵活,用户需要格外细心。

    示例场景

    如下图所示,在通用型子网 A 中,将通过 NAT 网关访问公网的 BCC 与绑定 EIP 直接访问公网的 BCC 混合在一起。

    操作步骤

    1. 用户提交工单,申请在通用型子网中使用 NAT 网关。
    2. 创建 NAT 网关并绑定EIP。
    3. 通过绑定 EIP 访问公网的云服务器配置路由表,源网段选择自定义配置,可填写该云服务器的内网 IP,目地网段为0.0.0.0/0,路由类型选择本地网关,下一跳选择默认网关。

    4. 配置路由表,首先源网段选择该通用型子网,目地网段为0.0.0.0/0,路由类型选择 NAT 网关,下一跳选择创建的 NAT 网关实例。

    注意:此场景下如果跳过第3步直接进行第4步配置NAT网关路由,该子网中所有访问公网的流量都会被牵引至NAT网关,该子网中通过EIP访问公网的流量将会中断。

    至此,可以进入云服务器 ping 公网地址测试连通性。

    上一篇
    安全组配置实践(进阶篇)
    下一篇
    对等连接最佳实践