操作场景
根据业务部门监管的要求,业务上云之后仍需要定期以指定的IP地址访问监管部门的 主机,上传必要的监管数据。
方案优势
灵活指定IP地址,VPC内所有主机可以共用此IP访问VPC外主机。
典型拓扑
此最佳实践描述的网络拓扑如下:
● 监管部门限定只有特定的IP地址(10.1.0.55)的主机可以访问。
● 部门A内的主机(192.168.0.3)通过私网NAT服务,将私有IP地址转换为规定的IP 地址(10.1.0.55),定期访问行业监管部门的主机(10.10.0.5)
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
图5-5 最佳实践逻辑拓扑 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
表5-2 资源规划
资源 名称 规划网
段/IP 子网名称 说明
VPC(华北-北京四) vpc-部
门A 192.168.0
.0/24
subnet-A 部门A迁移到云上的VPC vpc-中
转1 10.1.0.0/2
4
subnet-T1 私网NAT网关服务所需的中转 VPC
vpc-监
管 10.10.0.0/
24
subnet-W 模拟监管部门的VPC 弹性云服务
器(华北-北 京四)
ecs-部
门A 192.168.0
.3 -- 部门A的主机,可以和部门B互相 访问
ecs-监
管 10.10.0.5 -- 模拟监管部门的主机
中转IP(vpc-中转) 部门A
私网NAT网关目前正在“华北-北京四”、“华北-乌兰察布一”、“华东-上海一”、“华 东-上海二”、“华南-广州”、“西南-贵阳一”、“中国-香港”、“亚太-曼谷”、“亚
步骤3 根据表5-2配置监管部门的VPC,单击“立即创建”。
● 区域:选择华北-北京四
● 名称:vpc-监管
● IPv4网段:10.10.0.0/24
● 可用区:可用区1
● 名称:subnet-W
● 子网IPv4网段:保持默认
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
----结束
创建安全组
步骤1 选择“网络 > 虚拟私有云”,选择“访问控制 > 安全组”,单击“创建安全组”。
步骤2 配置安全组信息,完成后单击“确定”。
● 名称:sg-监管
● 模板:通用Web服务器
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤3 在安全组列表页,单击操作列的“配置规则”,切换至“入方向规则”页签,删除当 前的所有规则。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤4 单击“添加规则”,设定只有10.1.0.55的IP才能访问监管部门的主机,配置完成后单
● 源地址:10.1.0.55
----结束
● 规格:用户自定义。本实践以c6.large.2举例。
● 镜像:公共镜像,具体镜像用户自定义。本实践以CentOS 8.0举例。
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤3 配置监管部门ECS的网络信息,完成后单击“下一步:高级配置”。
● 网络:选择“vpc-监管”,并选择“手动分配IP地址”,指定IP地址为表5-2规划 的ecs-监管的IP地址“10.10.0.5”。
● 安全组:sg-监管。
● 弹性公网IP:暂不购买
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤4 设置云服务器名称和密码等信息,完成后单击“下一步:确认配置”。
● 云服务器名称:ecs-监管
● 登录凭证:密码,并输入密码。
● 未提及参数,保持默认或根据界面引导配置
步骤5 确认ECS信息无误后,勾选“协议”并单击“立即购买”,完成ECS创建。
步骤6 单击弹性云服务器总览页面所在行的“远程登录”,选择VNC方式登录。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤7 使用root帐号登录ECS,并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。
ifconfig
----结束
配置私网 NAT 网关
创建中转IP
步骤1 选择“网络 > NAT网关”,选择“私网NAT网关”,切换至“中转子网”页签。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤2 单击“ext_sub_T1”,并单击“创建中转IP”。
● 分类方式:手动分配
● IP地址:10.1.0.55
步骤3 返回私网NAT网关页面,切换至“私网NAT网关”页签,并单击“private-nat-A”。
步骤4 单击“添加SNAT规则”,删除之前创建的SNAT规则。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤5 添加SNAT规则,完成后单击“确定”。
● 子网:使用已有,系统会自动关联部门A的子网。
● 中转子网:选择ext_sub_T1
● 中转IP:选择10.1.0.55
步骤6 返回网络控制台,在左侧导航栏选择“路由表”,单击“rtb-vpc-部门A”。确认已添 加部门A到私网NAT网关的路由信息。
----结束
配置 VPC 对等连接
步骤1 选择“网络 > 虚拟私有云”,在左侧导航栏选择“对等连接”。
步骤2 配置对等连接,完成后单击“确定”。
● 名称:peering-TtoW NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
● 本端VPC:选择vpc-中转1
● 对端VPC:选择vpc-监管
● 未提及参数,保持默认或根据界面引导配置
----结束
配置路由
步骤1 选择“网络 > 虚拟私有云”,在左侧导航栏选择“路由表”。
步骤2 单击“rtb-vpc-中转1”,删除已有的“0.0.0.0/0”路由规则。
步骤3 单击“添加路由”,配置路由相关信息,单击“确认”。
● 目的地址:设置为0.0.0.0/0
● 下一跳类型:对等连接
● 下一跳:系统自动关联对等连接实例 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤4 返回至“路由表”控制台,单击“rtb-vpc-监管”,单击“添加路由”。
步骤5 配置路由相关信息,单击“确认”。
● 目的地址:设置为0.0.0.0/0
● 下一跳类型:对等连接
● 下一跳:系统自动关联对等连接实例
----结束
验证部门 A 访问监管部门
步骤1 选择“计算 > 弹性云服务器”,并使用VNC方式登录“ecs-部门A”的主机。
步骤2 在“ecs-部门A”主机上,执行如下命令,验证主机可以访问监管部门的主机。
ping 10.10.0.5 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
----结束 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云