操作场景
用户本地数据中心(IDC)通过云专线接入虚拟私有云(VPC),VPC中的ECS需要转换成IDC指定的私网网段进行通信,详情可见下方的组网图。
下列配置指导仅以VPC Peering做示例,实际专线配置以专线指导为准。
方案优势
混合云场景中,需要为VPC内计算实例指定具体的私网地址进行映射与线下互通,可以满足安全合规等要求。
典型拓扑
假设用户IDC(Peering目的VPC)网段为10.0.0.0/24,接入中转VPC区域为“华北-北京四”,中转VPC子网网段为10.1.0.0/24。
实现方式如下:
- 通过云专线(Peering)将用户IDC(Peering目的VPC)与中转VPC连通。
- 搭建私网NAT网关,将业务VPC与目的网段(Peering目的VPC)连通。图1 组网图
前提条件
- IDC的网段与中转VPC中的子网网段不能重叠,否则无法通信。
- 中转VPC中需要自定义好用来为业务VPC中资源做NAT的私网网段。
配置步骤
- 创建业务VPC及中转VPC
具体操作请参见创建虚拟私有云和子网。
- 配置云专线(本示例使用VPC Peering代替云专线)
在IDC和华北-北京四区域创建云专线。具体操作请参见配置云专线。
- 创建并配置私网NAT网关
- 在华北-北京四区域创建私网NAT网关,选定业务VPC。图2 创建私网NAT网关
- 创建外部子网,选择中转VPC中用来做NAT映射的子网。图3 创建外部子网
- 进入创建的外部子网,创建外部子网IP,随机分配一个IP地址。图4 创建外部子网IP
- 回到私网NAT界面,单击实例名,添加SNAT规则,子网选择业务VPC中需要做地址映射的子网,外部子网和外部子网IP选择之前创建好的。图5 添加SNAT规则
- 在业务VPC中添加指向私网NAT实例的路由,目的地址配置为IDC(目的VPC)的私网网段。图6 添加路由
- 在目的VPC中添加入方向安全组规则,用于将发到目的端的流量全部放通。图7 添加入方向安全组规则
- 在华北-北京四区域创建私网NAT网关,选定业务VPC。
配置验证
配置完成,测试连通性。
登录业务VPC中的ECS,ping对端IDC(目的VPC)中的私网IP。