操作场景
本最佳实践模拟IDC中两个子网重叠的部门,不修改网段直接迁移上云,并且迁移上云 后两个部门能够继续互相访问。
方案优势
IDC网段免修改直接上云,极大降低用户上云难度。
典型拓扑
此最佳实践描述的网络拓扑如下:
● IDC的两个子公司的部门A和部门B均使用192.168.0.0/24网段。网段免修改,直接 在云上创建相同网段的VPC。
● 分别为两个子公司的VPC创建私网NAT网关,为部门A的主机(192.168.0.3)和部 门B的主机(192.168.0.3)分别映射10.1.0.11和10.2.0.22两个中转IP地址,通过中 转IP实现两个主机相互访问。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
图5-3 最佳实践逻辑拓扑
说明
请注意手动配置如下几条路由信息,避免漏配置导致流量不通。
1. VPC(部门A)到私网NATA 2. 中转VPC1到VPC-Peering 3. 中转VPC2到VPC-Peering 4. VPC(部门B)到私网NATB
表5-1 资源规划
资源 名称 规划网
段/IP 子网名称 说明
VPC(华北-北京四)
vpc-部
门A 192.168.0
.0/24
subnet-A 部门A迁移到云上的VPC vpc-部
门B 192.168.0
.0/24 subnet-B 部门B迁移到云上的VPC vpc-中
转1 10.1.0.0/2
4
subnet-T1 私网NAT网关服务所需的中转 VPC
vpc-中
转2 10.2.0.0/2
4
subnet-T2 私网NAT网关服务所需的中转 VPC
弹性云服务 器(华北-北 京四)
ecs-部
门A 192.168.0
.3 -- 部门A的主机,可以和部门B互相 访问
ecs-部
门B 192.168.0
.3 -- 部门B的主机,可以和部门A互相 访问
中转IP(vpc-中转) 部门A
的中转IP
10.1.0.11 -- 部门A对外提供服务的IP地址,部 门B通过此IP地址可以访问部门A 的主机。
部门B 的中转IP
10.2.0.22 -- 部门B对外提供服务的IP地址,部 门A通过此IP地址可以访问部门B 的主机。
前提条件
● 已拥有华为云帐号,并且华为云帐号已实名认证。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
● 华为云帐号未欠费,并且有足够的金额可以购买本最佳实践所涉及的资源。
● 已完成私网NAT网关公测申请。
说明
私网NAT网关目前正在“华北-北京四”、“华北-乌兰察布一”、“华东-上海一”、“华 东-上海二”、“华南-广州”、“西南-贵阳一”、“中国-香港”、“亚太-曼谷”、“亚 太-新加坡”、“拉美-圣保罗一”公测中。
创建 VPC
步骤1 登录华为云管理控制台,并选择“华北-北京四”区域。
步骤2 选择“网络 > 虚拟私有云”,单击“创建虚拟私有云”。
步骤3 根据表5-1配置部门A的VPC,完成后单击“立即创建”。
● 区域:选择华北-北京四
● 名称:vpc-部门A
● IPv4网段:192.168.0.0/24
● 可用区:可用区1
● 名称:subnet-A
● 子网IPv4网段:保持默认
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤4 重复步骤2~步骤3,参考表5-1规划,创建所有需要的VPC。
图5-4 创建所需 VPC
----结束
创建弹性云服务器
步骤1 选择“计算 > 弹性云服务器”,单击“购买弹性云服务器”。
步骤2 根据表5-1配置部门A的弹性云服务器的基础信息,完成后单击“下一步:网络配 置”。
● 计费模式:按需计费 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
● 区域:选择华北-北京四
● 规格:用户自定义。本实践以c6.large.2举例。
● 镜像:公共镜像。具体镜像用户自定义,本实践以CentOS 8.0举例。
● 未提及参数,保持默认或根据界面引导配置
步骤3 配置部门A的ECS的网络信息,完成后单击“下一步:高级配置”。
● 网络:选择部门A的VPC“vpc-部门A”,并选择“手动分配IP地址”,指定IP地址 为表5-1规划的ecs-部门A的IP地址“192.168.0.3”。
● 安全组:Sys-FullAccess。本实践选择一个全部放通的安全组作为测试安全组,后 期可以根据业务情况重新绑定业务所需的安全组,提升业务安全性。
● 弹性公网IP:暂不购买
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤4 设置云服务器名称和密码等信息,完成后单击“下一步:确认配置”。
● 云服务器名称:ecs-部门A
● 登录凭证:密码;并输入密码。
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤5 确认ECS信息无误后,勾选“协议”并单击“立即购买”,完成部门A的ECS创建。
步骤6 单击弹性云服务器总览页面所在行的“远程登录”,选择VNC方式登录。
步骤7 使用root帐号登录ECS,并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。
ifconfig NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤8 重复步骤1~步骤7,完成其他已规划的ECS的创建。
----结束
创建私网 NAT 网关
创建中转子网
步骤1 选择“网络 > NAT网关”,选择“私网NAT网关”,切换至“中转子网”页签。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤2 单击“创建中转子网”,选择“vpc-中转1 > subnet-T1”作为中转子网,完成后单击
“确定”。
● 名称:ext_sub_T1
● 虚拟私有云:选择vpc-中转1
● 子网:系统自动关联
创建中转IP
步骤3 单击ext_sub_T1的名称,在详情页面单击“创建中转IP”,为部门A创建中转IP
(10.1.0.11),完成后单击“确定”。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤4 重复步骤2~步骤3,选择“vpc-中转2 > subnet-T2”作为中转子网,然后为部门B创建 中转IP(10.2.0.22)。
创建私网NAT网关并配置转换规则
步骤5 返回私网NAT网关页面,并单击“购买私网NAT网关”。
步骤6 配置参数,为部门A创建私网NAT网关,完成后单击“立即购买”。
● 区域:华北-北京四
● 名称:private-nat-A
● 虚拟私有云:选择vpc-部门A
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤7 创建完成后,单击弹窗的“添加规则”,切换至“DNAT规则”页签并单击“添加 DNAT规则”。
步骤8 配置DNAT规则参数,添加部门A的主机、中转子网、部门A的中转IP至DNAT规则中,
完成后单击“确定”。
● 端口类型:所有端口
● 中转子网:ext_sub_T1
● 中转IP:10.1.0.11
● 实例类型:选择服务器,并选择部门A的ECS。
步骤9 返回私网NAT网关页面,并单击“购买私网NAT网关”。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤10 配置参数,为部门B创建私网NAT网关,完成后单击“立即购买”。
● 区域:华北-北京四
● 名称:private-nat-B
● 虚拟私有云:选择vpc-部门B
● 未提及参数,保持默认或根据界面引导配置
步骤11 创建完成后,单击弹窗的“添加规则”,切换至“DNAT规则”页签并单击“添加 DNAT规则”。
步骤12 配置DNAT规则参数,添加部门B的主机、中转子网、部门B的中转IP至DNAT规则中,
完成后单击“确定”。
● 端口类型:所有端口
● 中转子网:ext_sub_T2
● 中转IP:10.2.0.22
● 实例类型:选择服务器,并选择部门B的ECS。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
----结束
配置路由和对等连接
配置主机到私网NAT网关路由信息
步骤1 选择“网络 > NAT网关”,在左侧导航栏选择“路由表”。
步骤2 单击“rtb-vpc-部门A”的名称,在基本信息页面单击“添加路由”。
步骤3 配置路由相关信息,配置部门A的主机访问部门A的私网NAT网关的路由,单击“确 认”。
● 目的地址:设置为0.0.0.0/0(实际操作时也可根据业务需要设置指定目的地 址。)
● 下一跳类型:NAT网关
● 下一跳:系统自动关联出部门A的私网NAT网关
步骤4 配置完成后返回路由表的概览页,单击“rtb-vpc-部门B”,单击“添加路由”。
步骤5 配置路由相关信息,配置部门B的主机访问部门B的私网NAT网关的路由,单击“确 认”。
NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
● 目的地址:设置为0.0.0.0/0
● 下一跳类型:NAT网关
● 下一跳:系统自动关联出部门B的私网NAT网关
配置中转VPC1到中转VPC2的对等连接
步骤6 单击网络控制台左侧导航栏的“对等连接”,并单击“创建对等连接”。
步骤7 配置中转VPC1和中转VPC2分别作为本端VPC和对端VPC,完成后单击“确定”。
● 名称:peering-TtoT
● 本端VPC:选择vpc-中转1
● 对端VPC:选择vpc-中转2
● 未提及参数,保持默认或根据界面引导配置 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤8 返回到网络控制台,并单击左侧导航栏的“路由表”。
步骤9 单击“rtb-vpc-中转1”的名称,在基本信息页面单击“添加路由”。
步骤10 配置路由相关信息,配置中转VPC1到VPC-Peering的路由,单击“确认”。
● 目的地址:设置为0.0.0.0/0
● 下一跳类型:对等连接
● 下一跳:系统自动关联对等连接实例 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤11 重复步骤9~步骤10,选择“rtb-vpc-中转2”并配置中转VPC2到VPC-Peering的路由,
单击“确认”。
----结束
验证部门 A 和部门 B 内的主机相互访问
步骤1 选择“计算 > 弹性云服务器”,并使用VNC方式登录“ecs-部门A”和“ecs-部门B”2 台主机。
步骤2 在“ecs-部门A”主机上,执行如下命令,验证主机可以访问部门B的主机。
ping 10.2.0.22 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云
步骤3 在“ecs-部门B”主机上,执行如下命令,验证主机可以访问部门A的主机。
ping 10.1.0.11
至此重叠子网内的主机通过私网NAT网关服务实现相互访问的最佳实践配置完成。
----结束 NAT 网关
最佳实践 5 使用私网 NAT 网关服务实现 IDC 网段免修改上云