本站以分享各种运维经验和运维所需要的技能为主
《python零基础入门》:python零基础入门学习
《python运维脚本》: python运维脚本实践
《shell》:shell学习
《terraform》持续更新中:terraform_Aws学习零基础入门到最佳实战
《k8》暂未更新
《docker学习》暂未更新
《ceph学习》ceph日常问题解决分享
《日志收集》ELK+各种中间件
《运维日常》运维日常
《linux》运维面试100问
配置过程:
操作场景
用户本地数据中心(IDC)通过云专线接入虚拟私有云(VPC),若有大量的服务器需要安全、可靠,高速的访问互联网,或者为互联网提供服务,可通过公网NAT网关服务的SNAT功能或DNAT功能来实现。例如各类互联网、游戏、电商、金融等企业的跨云场景。
方案优势
通过云专线接入华为云上VPC,用户可享受高性能、低延迟、安全专用的数据网络。同时华为云专线单线路最大支持10Gbps带宽连接,可满足各类用户带宽需求。
搭配公网NAT网关的SNAT功能与DNAT功能,实现多个服务器共享使用弹性公网IP(EIP),可有效降低成本。公网NAT网关的规格与绑定的EIP均可随时调整,配置简单,即开即用。
典型拓扑
假设用户IDC网段为172.26.0.0/16,接入VPC区域为“华南-广州”,VPC子网网段为10.80.0.0/24。
实现方式如下:
-
通过云专线将用户IDC与VPC连通。
-
在VPC中搭建公网NAT网关,连通Internet。
-
图1 组网图
前提条件
-
配置云专线时,需要占用IDC的默认路由,请确保未被使用。
-
IDC的网段与云上VPC中的子网网段不能重叠,否则无法通信。
配置步骤
-
创建VPC及VPC网段
-
具体操作请参见创建虚拟私有云和子网。
-
配置云专线
-
在IDC和“华南-广州”区域创建云专线。具体操作请参见配置云专线。
-
说明:
-
专线开通后,配置本地路由时,需要在云上的本端子网添加0.0.0.0/0网段,可以参照以下两种方式:
-
静态路由模式:需要在IDC侧添加0.0.0.0/0的默认路由指向专线。
-
BGP模式:用户本地可通过BGP自动学习到默认路由。
-
idc侧的交换机,我这里是华为交换机:配置路由单个公网ip,局部测试idc的机器是否可以访问到223.5.5.5的ip
ip route-static 223.5.5.5 255.255.255.255 10.70.0.6
10.70.0.6就是云专线的网关ip
关键步骤:具体操作是:专线虚拟网关---点击修改---添加0.0.0.0/0 让专线路由转发到达vpc
-
购买EIP并配置公网NAT网关
-
--- 相当于提供一个出口给外部访问,之后在dnat做类似ng的方向代理,转发到idc内某台机器。
-
在“华南-广州”区域购买EIP,具体申请操作请参见申请弹性公网IP。
-
购买公网NAT网关。具体操作请参见购买公网NAT网关。
-
添加SNAT规则,将云专线网段添加到规则中。更多配置SNAT规则信息,请参见添加SNAT规则。
-
添加云专线网段:172.26.0.0/24,绑定1中购买的EIP。
-
图2 添加SNAT规则
-
添加DNAT规则。更多配置DNAT规则信息,请参见添加DNAT规则。
-
配置协议及端口信息,此处以“所有端口”为例。添加私网IP:172.26.2.200,绑定EIP。
-
图3 添加DNAT规则--- 注意私网ip 没有被idc的机器所占用
-
说明:
-
SNAT规则和DNAT规则一般面向不同的业务,如果使用相同的EIP,会面临业务相互抢占问题,请尽量避免。SNAT规则不能和全端口的DNAT规则共用EIP。
- 配置验证
配置完成,测试连通性。
从IDC的服务器ping外网地址如:233.5.5.5
最佳实践参考文档:
https://support.huaweicloud.com/bestpractice-natgateway/nat_bestpractice_0002.html
