私网NAT网关
更新时间:2024-10-25
概述
私网NAT通过转换云服务地址,解决地址冲突网络互访和指定地址访问诉求。
应用场景:
- IDC与云端VPC的实例互访地址冲突。
- 云上跨VPC(同region或跨region)地址冲突。
- 使用特定IP访问需求。
私网NAT网关为 VPC 内的云服务器提供访问外部私有网络的能力,也支持云服务器实例对外提供私网访问服务。
说明:
- 在配置SNAT条目前,请确保私网NAT网关所在的VPC中已经添加了私网NAT路由。
- 私网NAT网关,必须配置SNAT规则,才能实现通过私网NAT网关访问外部私有网络。
私网NAT网关支持SNAT和DNAT功能:
- SNAT:源网络地址转换,为VPC内的云服务器提供访问外部私有网络代理服务。
- DNAT:目的网络地址转换,将私网NAT IP地址映射给云服务实例使用,使云服务实例能够对外提供私网访问服务,支持IP映射和端口映射。
配额与限制
增强型私网NAT网关按容量单位CU衡量私网NAT网关的性能,一个CU的性能参数:
- 新建连接数(cps):1000个/秒
- 并发连接数(conns):10000个
- 转发能力(bps):1Gbps
配置前您需要了解:
- 同一个NAT IP可以同时既用于SNAT又用于DNAT。
-
新建SNAT和DNAT规则时需要注意:
- 新建SNAT规则的时候,源网段不能与NAT IP冲突,不能与其他SNAT已有的源网段冲突。
- 新建DNAT时,内网IP地址只支持IP,不支持网段;内网IP不能与NAT IP相同;内网IP不能与其他DNAT已有的内网IP冲突。
- DNAT的全端口模式不能和具体端口模式共用同一个NAT IP。
配置项 | 默认配额大小 |
---|---|
一个用户最多可创建私网NAT数量 | 50个 |
一个VPC能创建私网NAT | 3个 |
一个私网NAT网关支持NAT IP 地址段条目的数量 | 50个,可调整 |
一个NAT IP地址段中支持的NAT IP地址数量 | 50个,可调整 |
一个私网NAT实例可创建DNAT规则数量 | 50个 |
一个私网NAT实例可创建SNAT规则数量 | 50个 |
一个SNAT条目支持关联的NAT IP地址数量 | 50个,可调整 |
操作流程
步骤一:创建私网NAT网关
步骤二:配置私网NAT网关(创建NAT IP地址段、创建NAT IP地址、创建SNAT规则、创建DNAT规则)
步骤三:配置VPC路由
步骤四:查看监控
创建私网NAT网关
- 在VPC实例列表页,选择已创建的VPC实例,点击进入详情页面。如果您需要在非默认VPC中创建NAT网关,首先需要在该VPC中创建一个子网。
- 导航栏选择“网络连接->NAT网关->私网NAT”,点击“创建 NAT网关”按键。
- 填写下列配置信息:
配置项 | 说明 |
---|---|
付费方式 | 选择预付费或后付费 |
当前地域 | 支持北京、南京、苏州,通过左上角区域进行切换 |
所在网络 | 选择所在网络和子网 |
NAT网关名称 | 用户自定义NAT网关名称 |
性能容量 | 选择NAT网关性能容量 |
描述 | 编辑NAT网关相关描述信息 |
资源分组 | 选择资源分组 |
购买时长 | 选择购买时长 |
自动续费 | 选择是否自动续费 |
创建NAT IP地址段
- 点击NAT实例名称进入NAT实例详情页,在左侧导航栏选择【NAT IP】,进入NAT IP地址段创建页
- NAT IP地址段列表,创建私网NAT实例时会绑定一个默认NAT IP地址段,同时也可以新建NAT IP地址段。
- 点击地址段列表旁边的添加键,填写下列配置信息:
配置项 | 说明 |
---|---|
名称 | 用户自定义条目名称,1-65个字符 |
地址段 | 即选择一个子网,且该子网为私网NAT关联VPC的子网或VPC的辅助网段。 |
创建NAT IP地址
- 击NAT实例名称进入NAT实例详情页,在左侧导航栏选择【NAT IP】进入NAT IP创建页。
- 默认地址段中会自动创建一个默认NAT IP,同时也可以新建NAT IP。
- 点击【创建NAT IP】支持输入NAT IP个数随机分配NAT IP或者手动分配NAT IP。
- 填写下列配置信息:
配置项 | 说明 |
---|---|
地址段 | 选择默认地址段或者新建的地址段。 |
分配方式 | 随机分配或者手动分配。手动分配需要用户手动输入NAT IP,可输入IP的个数最大10个,每行仅支持输入一个IP,如需输入多个IP,请换行输入。 |
NAT IP | 输入需要随机分配的NAT IP的个数。 |
- 默认NAT IP不支持删除;自定义创建的NAT IP若关联了SNAT或DNAT规则,则NAT IP不可删除,如需删除请解除关联。
配置SNAT表
- 点击NAT实例名称或点击操作中的“设置SNAT“进入SNAT表页面。
- 点击SNAT列表上方的“添加SNAT条目“,出现添加SNAT条目弹框。
- 填写下列配置信息:
配置项 | 说明 |
---|---|
规则名称 | 用户自定义条目名称,1-65个字符 |
源网段 | 该网段下的云服务资源实例将通过SNAT功能进行目标网段的访问。说明:与NAT IP网段不能重叠,如冲突建议用辅助网段 |
NAT IP | 输入需要随机分配的NAT IP的个数。 |
- 点击“确认”,完成SNAT条目的添加。
配置DNAT表
- 点击NAT实例名称或点击操作中的“设置DNAT“进入DNAT表页面。
- 点击DNAT列表上方的“添加DNAT条目“,出现添加DNAT条目弹框。
- 填写下列配置信息:
配置项 | 说明 |
---|---|
名称 | 用户自定义条目名称, 0-32个字符 |
私网IP地址 | 支持用户自定义输入一个IP。但是该网段需跟NAT IP网段不重叠。 |
NAT IP | 下拉框选择已创建的NAT IP,单选。 |
协议 | 全部协议、TCP、UDP。 |
私网IP端口 | 取值:全部协议(前端显示为ALL)、TCP或UDP(前端显示为输入框,取值范围:1-65535,并支持端口区间)。 |
NAT IP端口 | 取值:全部协议(前端显示为ALL)、TCP或UDP(前端显示为输入框,取值范围:1-65535,并支持端口区间)。 |
配置NAT路由
- 导航栏选择“路由表”,点击路由表名称进入详情页。
- 点击“添加路由”。
- 源网段 :NAT规则转前的地址或网段
- 输入目标网段:访问目的的IDC或者VPC的网段。说明:不支持0.0.0.0/0。
- 路由类型:选择“NAT网关”
- 下一跳实例:选择已创建的NAT网关ID。源网段中访问目标网段的流量的下一跳将全部指向该NAT网关实例。
- 点击“确定”,完成路由器配置。
性能容量变配
- 进入私网NAT实例列表页,点击目标私网NAT实例的操作选栏的【更多】选项,点击【性能容量变配】。
- 在【变更配置】部分输入需要提升至多少CU。
- 点击确认订单完成性能容量变配。
查看监控
- 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏中选择NAT网关,进入NAT网关实例列表。
- 选择实例后面的"监控",页面右侧出现监控浮窗。
- 点击"查看更多",进入实例详情页面的监控。
- 可以查看NAT网关监控信息和后端服务器监控信息。
-
在监控页面点击“报警详情”进入报警策略配置页面,可以管理NAT网关的报警策略,详细操作步骤请见BCM管理报警。
说明:
- 后端服务器数量少于10个时,默认展示所有后端服务器监控信息。用户可自定义选择需要展示的后端服务器监控信息,最多可选10个。
NAT网关支持TOPN统计
TOPN: 您可在选择时间范围、统计方式、监控项后,开启显示TOP功能并点击最左侧的刷新按钮,此时系统根据您的选择,自动展示流量占比排名前10的后端服务器实例ID及IP。统计方式: 平均值、最大值、最小值、和值。监控项:入流量、出流量、入带宽、出带宽、入包速率、出包速率、连接数。登录百度智能云【管理控制台】,选择【产品服务】--【网络】--【私有网络VPC】,在左侧导航栏中选择NAT网关,点击NAT网关实例名称,左侧导航栏选择监控,并查看“后端服务器监控信息”。
说明:
- NAT网关状态为“运行中”,并且SNAT或DNAT状态为“可用”;
- 必须有网络流量经过NAT网关转换;
- 点刷新按钮后,流量图有延时,需等待大概3分钟左右后显示。
- 3天之内必须有数据,最大可以查询时间范围为30天。
- 系统支持以下三种时间选择方式: - 查询时间范围小于1小时(1-59分钟),例如:20:00发起一个查询任务,只能查18:56-19:55数据。 - 查询范围大于1小时,需要按1h整数倍数查,查询范围为1-12h。例如:20:00发起一个查询任务,查时间范围为1-12小时,只能查19:00前的数据。 - 查询范围大于1小时,且非整数倍的,可以结合查询时间范围小于1小时(1-59分钟)来解决查询1小时内的数据。