不同类型的私网 NAT 网关实例对应的 SNAT 规则不同,本文详细介绍不同关联实例对应的 SNAT 规则。
前提条件
新建 SNAT 规则
专线网关
专线网关型的私网 NAT 网关主要解决同地域内 VPC 与专线 IDC 的地址转换(例如北京地域内),用于 VPC 和专线资源的互访。此类型私网 NAT 网关,新建 SNAT 规则,可以按照以下步骤操作。
1. 登录 NAT 网关控制台,单击需要新建 SNAT 规则的私网 NAT 网关实例,进入详情页。
2. 在私网 NAT 网关实例详情页中,单击 SNAT 规则页签 > 新建,填入对应映射方向、映射类型、原 IP、映射 IP、备注等信息,完成 SNAT 规则的新建,其中各标签信息如下。
映射方向:
本端:对 VPC 内网 IP 地址转换。
对端:对 VPC 对端网络的内网 IP 地址进行转换,如对端为 IDC 网络,则可转换 IDC 内的 IP 地址。
映射类型:
三层:仅转换 IP 地址。
四层:将 IP 和端口映射为指定 IP 池内随机端口。
原 IP:需要转换的 IP 地址。当映射方向为“本端”时,为私有网络中的 IP 地址;当映射方向为“对端”时,为 IDC 内机器的 IP 地址。
映射 IP/映射 IP 池:配置转换后的 IP/IP 池,原 IP 是通过该映射后的 IP/IP 池对外提供服务能力的。
3. 新建 SNAT 规则后,针对“本端”映射支持编辑 ACL 规则,“对端”映射不支持编辑 ACL 规则。
说明:
SNAT 规则不能重复。
SNAT 规则不支持对端四层。
三层规则优先级大于四层规则。
同 ACL 优先级靠前的四层规则优先匹配,后面的不再匹配。
每条规则下可折叠展示 ACL 规则,ACL 规则支持分页展示。
云联网
云联网型的私网 NAT 网关主要解决跨地域 VPC 与 VPC 间,VPC 与专线 IDC 间的地址转换(如北京到上海),用于 VPC 跨地域通过云联网对其他外部资源访问。
说明:
创建私网 NAT 网关实例时,关联实例选择云联网后,该实例创建后会自动生成两个 VPC ,用于地址转换时的路由配置。
这两个 VPC 不能单独删除,生命周期同 NAT 网关实例,名称分别为:本端 VPC,对端 VPC,均为 NAT 网关的所属 VPC。
云联网型的私网 NAT 网关支持 fullnat 内网地址,在通过云联网打通的多网络场景下,配置 SNAT 规则前,请先规划本端网络和对端网络。
本端网络:支持对该网络的内网 IP 进行三层 SNAT、四层 SNAT,四层 DNAT 规则。
对端网络:仅支持对该网络的内网 IP 进行三层 SNAT。
注意:
如转换的是 VPC 和 IDC 两个网络的内网地址,则 IDC 为对端网络,VPC 为本端网络,因为 IDC 只能进行三层 SNAT 转换。
规划完成本端及对端网络之后,您可按照以下步骤新建 SNAT 规则:
1. 登录 NAT 网关控制台,在左侧导航栏单击私网 NAT 网关。
2. 在私网 NAT 网关实例列表页面,单击需要新建 SNAT 规则的私网 NAT 网关实例,进入详情页。
3. 在私网 NAT 网关实例详情页中,单击 SNAT 规则页签 > 新建,填入对应映射方向、映射类型、原 IP、映射 IP、备注等信息后,单击确定,完成 SNAT 规则的新建,其中各标签信息如下:
映射方向:
本端:对 VPC 内网IP地址转换。
对端:对 VPC 对端网络的内网 IP 地址进行转换,如对端为 IDC 网络,则可转换 IDC 内的 IP 地址。
映射类型:
三层:仅转换 IP 地址。
四层:将 IP 和端口映射为指定 IP 池内随机端口。
原 IP:私有网络中的 local 子网的 IP 地址,即需要转换的 IP 地址。
映射 IP/映射 IP 池:配置转换后的 IP/IP 池,原 IP 是通过该映射后的 IP/IP 池对外提供服务能力的。
4. 新建 SNAT 规则后,针对“本端”映射支持编辑 ACL 规则,“对端”映射不支持编辑 ACL 规则。
在配置 SNAT 规则之后,需要进一步配置 NAT 网关的两个中转 VPC 的路由策略,才可实现云联网类型的 NAT 实例的正常运行。具体流程如下所述:
1. 配置 NAT 两个中转 VPC 的路由策略。
2. 在云联网中新建两个自定义路由表,分别绑定 NAT 的两个中转 VPC,关联后,中转 VPC 的路由会发布到云联网中自定义路由表中。
3. 边界网络1加入云联网,并绑定云联网路由表1,边界网络2加入到云联网,并绑定云联网路由表2。
配置完成后,数据流为:边界网络1 > 云联网 > NAT 本端中转 VPC > NAT 对端中转 VPC 端点 > 云联网 > 边界网络2。
私有网络
私有网络类型的私网 NAT 网关主要解决 VPC 内指定子网的地址转换,用于 VPC 内制定子网的内网 IP 经过 NAT 后,转换为新的 IP 后,再与其他网络通信。此类型私网 NAT 网关,新建 SNAT 规则,可以按照以下步骤操作。
1. 登录 NAT 网关控制台,单击需要新建 SNAT 规则的 NAT 网关实例。
2. 在 SNAT 规则页签,单击新建,填入对应映射类型、原 IP、映射 IP、备注等信息,完成 SNAT 规则的新建,其中各标签信息如下。
映射类型:
三层:仅转换 IP 地址。
四层:将 IP 和端口映射为指定 IP 池内随机端口。
原 IP:填写需要转换的原 IP,例如某客户 local 子网的 IP,仅三层时需要填写具体的原 IP,四层不需要填写,默认指向 NAT 的 local 子网的所有 IP。
映射IP/映射 IP 池:填写转换后的 IP 或 IP 段,三层 IP 转换则填写 IP 地址,四层 IP 端口转换则填写 IP 段或 IP 地址。
3. 新建 SNAT 规则后,支持编辑 ACL 规则。
每条 SNAT 规则下面有一个 ACL 规则,默认全放通,如需要指定某些数据流可以匹配 NAT 规则,可以设置 ACL 规则,如需要所有报文都按照匹配 NAT 规则,则无需处理。
每条规则下可折叠展示 ACL 规则,ACL 规则支持分页。
编辑 SNAT 规则
1. 登录 NAT 网关控制台,单击需要编辑 SNAT 规则的私网 NAT 网关实例。
2. 在私网 NAT 网关实例详情页中,单击 SNAT 规则页签,在 SNAT 规则条目右侧,单击修改,进入编辑对话框。
3. 修改 SNAT 规则中的原 IP 地址、映射 IP/IP 需求池或描述,然后单击确定完成修改。
查询 SNAT 规则
1. 登录 NAT 网关控制台,单击需要查询 SNAT 规则的私网 NAT 网关实例。
2. 在私网 NAT 网关实例详情页中,单击 SNAT 规则页签 > SNAT 列表 > 右上方的搜索框,单击选择筛选条件,支持按照原 IP 和映射 IP 进行查询。
3. 单击
删除 SNAT 规则
单条删除
1. 登录 NAT 网关控制台,单击需要编辑 SNAT 规则的私网 NAT 网关实例。
2. 在私网 NAT 网关实例详情页中,单击 SNAT 规则页签,单击 SNAT 规则条目右侧的删除。
3. 单击确认,删除该条 SNAT 规则。
批量删除
1. 登录 NAT 网关控制台,单击需要删除 SNAT 规则的私网 NAT 网关实例。
2. 在私网 NAT 网关实例详情页中,单击 SNAT 规则标签页,勾选多条 SNAT 规则,单击上方的删除。
3. 在弹出的提示框中,单击删除,完成批量删除。
