不同类型的私网 NAT 网关实例对应的 SNAT 规则不同,本文详细介绍不同关联实例对应的 SNAT 规则。
前提条件
创建 SNAT 规则前,请确保子网所在的路由表需指向对应的 NAT 网关,详细操作请参见 配置指向私网 NAT 网关的路由。
针对专线网关类型的私网 NAT 网关,需与专线网关实例进行绑定,详细操作请参见 创建专线网关。
针对云联网类型的私网 NAT 网关,在通过云联网打通的多网络场景下,配置 SNAT 规则前,请先规划本端网络和对端网络。
新建 SNAT 规则
专线网关
专线网关型的私网 NAT 网关主要解决同地域内 VPC 与本地 IDC 的地址转换,用于 VPC 和专线资源的互访。此类型私网 NAT 网关新建 SNAT 规则时可以按照以下步骤操作。
说明:
SNAT 规则不能重复。
SNAT 规则不支持对端四层。
三层规则优先级大于四层规则。
同 ACL 优先级靠前的四层规则优先匹配,后面的不再匹配。
1. 登录 私网 NAT 网关控制台,在列表页找到目标私网 NAT 网关实例,单击右侧操作列的管理规则。
2. 在 SNAT 规则页签,单击新建,填入以下配置信息完成 SNAT 规则的新建。
参数 | 说明 |
映射方向 | 本端:本端指腾讯云 VPC 侧,映射方向选择本端指对 VPC 的内网 IP 地址进行转换。本文以映射方向为本端为例。 对端:对端指本地 IDC 侧,映射方向选择对端指对本地 IDC 内的 IP 地址进行转换。 |
映射类型 | 三层:仅转换 IP 地址。本文以映射类型为三层为例。 四层:将 IP 和端口映射为指定 IP 池内随机端口。 |
映射前 IP | 需要转换的 IP 地址。 当映射方向为本端时,为 VPC 中的 IP 地址。本文以映射前 IP 为 VPC 的内网 IP 地址 172.21.0.100为例。当映射方向为对端时,为本地 IDC 内的 IP 地址。 |
映射后 IP/映射后 IP 池 | 配置转换后的 IP 或 IP 池。映射前 IP 是通过该映射后 IP/映射后 IP 池访问外部私网。本文以映射后 IP/映射后 IP 池为本地 IDC 的 IP 地址 10.0.0.100为例。 |
备注 | 输入 SNAT 规则的备注信息。 |
操作 | 可选择删除当前添加的 SNAT 规则。 |
3. (可选)新建 SNAT 规则后,针对本端映射支持添加或编辑 ACL 规则,对端映射不支持添加或编辑 ACL 规则。每条 SNAT 规则下面默认拥有一个 ACL 规则,默认全放通。如需指定某些数据流可以匹配 NAT 规则,则可设置 ACL 规则;如需所有报文都匹配 NAT 规则,则无需处理。
云联网
云联网型的私网 NAT 网关主要解决跨地域 VPC 与 VPC 间、VPC 与专线 IDC 间的地址转换(如北京到上海),用于 VPC 跨地域通过云联网访问其他外部资源。
说明:
创建私网 NAT 网关实例时,关联实例选择云联网后,该实例创建后会自动生成两个 VPC ,用于地址转换时的路由配置。
这两个 VPC 不能单独删除,生命周期同 NAT 网关实例,名称分别为:本端 VPC,对端 VPC,均为 NAT 网关的所属 VPC。
如果转换的是 VPC 和 IDC 两个网络的内网地址,则 VPC 为本端网络,IDC 为对端网络,IDC 只能进行三层 SNAT 转换。
规划完成本端及对端网络之后,您可按照以下步骤新建 SNAT 规则:
1. 登录 私网 NAT 网关控制台,在列表页找到目标私网 NAT 网关实例,单击右侧操作列的管理规则。
2. 在 SNAT 规则页签,单击新建,填入以下配置信息完成 SNAT 规则的新建。
参数 | 说明 |
映射方向 | 本端:对本端网络中 VPC 的内网 IP 地址进行转换,支持进行三层 SNAT、四层 SNAT。本文以映射方向为本端为例。 对端:对对端网络中的内网 IP 地址进行转换,仅支持三层 SNAT、不支持四层 SNAT。 |
映射类型 | 三层:仅转换 IP 地址。本文以映射类型为三层为例。 四层:将 IP 和端口映射为指定 IP 池内随机端口。 |
映射前 IP | 需要转换的 IP 地址。 当映射方向为本端时,为 VPC 中的内网 IP 地址。本文以映射前 IP 为 VPC 的内网 IP 地址 172.21.0.10为例。当映射方向为对端时,为对端 VPC 或者 IDC 内的 IP 地址。 |
映射后 IP/映射后 IP 池 | 配置转换后的 IP 或 IP 池,映射前 IP 是通过该映射后 IP/映射后 IP 池访问外部私网。本文以映射后 IP/映射后 IP 池为 IDC 的 IP 地址 10.0.0.100为例。 |
备注 | 输入 SNAT 规则的备注信息。 |
操作 | 可选择删除当前添加的 SNAT 规则。 |
3. (可选)新建 SNAT 规则后,针对本端映射支持添加或编辑 ACL 规则,对端映射不支持添加或编辑 ACL 规则。每条 SNAT 规则下面默认拥有一个 ACL 规则,默认全放通。如需指定某些数据流可以匹配 NAT 规则,则可设置 ACL 规则;如需所有报文都匹配 NAT 规则,则无需处理。
4. 在配置 SNAT 规则之后,需要进一步配置私网 NAT 网关的本端 VPC 和对端 VPC 的路由策略,才可实现云联网类型私网 NAT 实例的正常运行。流程如下:
4.1 在云联网中新建两个自定义路由表,分别绑定私网 NAT 网关的本端 VPC 和对端 VPC。
4.2 配置私网 NAT 网关的本端 VPC 和对端 VPC 的路由策略并发布至云联网。
4.3 本端网络加入云联网,并绑定云联网路由表1,对端网络加入云联网,并绑定云联网路由表2。
配置完成后,数据流为:本端网络 -> 云联网 -> 私网 NAT 网关 -> 云联网 -> 对端网络。
私有网络
私有网络类型的私网 NAT 网关主要解决 VPC 内指定子网的地址转换,用于 VPC 内指定子网的内网 IP 经过 NAT 转换为新的 IP 后,再与其他网络通信。此类型私网 NAT 网关新建 SNAT 规则时可以按照以下步骤操作。
1. 登录 私网 NAT 网关控制台,在列表页找到目标私网 NAT 网关实例,单击右侧操作列的管理规则。
2. 在 SNAT 规则页签,单击新建,填入以下配置信息完成 SNAT 规则的新建。
参数 | 说明 |
映射类型 | 三层:仅转换 IP 地址。本文以映射类型为三层为例。 四层:将 IP 和端口映射为指定 IP 池内随机端口。 |
映射前 IP | 填写需要转换的 IP 地址,例如某子网的内网 IP 地址。仅映射类型为三层时需要填写具体的映射前 IP,映射类型为四层时不需要填写,默认指向 NAT 网关的子网的所有 IP。本文以映射前 IP 为 VPC 的内网 IP 地址 192.168.0.10为例。 |
映射后 IP/映射后 IP 池 | 配置转换后的 IP 或 IP 池。 三层 IP 转换则填写 IP 地址。本文以映射后 IP/映射后 IP 池为 IP 地址 10.0.0.10为例。四层 IP 端口转换则填写 IP 地址或 IP 地址段。 |
备注 | 输入 SNAT 规则的备注信息。 |
操作 | 可选择删除当前添加的 SNAT 规则。 |
3. (可选)新建 SNAT 规则后,支持新建或编辑 ACL 规则。每条 SNAT 规则下面默认拥有一个 ACL 规则,默认全放通。如需指定某些数据流可以匹配 NAT 规则,则可设置 ACL 规则;如需所有报文都匹配 NAT 规则,则无需处理。
编辑 SNAT 规则
1. 登录 私网 NAT 网关控制台,在列表页找到目标私网 NAT 网关实例,单击右侧操作列的管理规则。
2. 在 SNAT 规则页签,找到目标 SNAT 规则,单击右侧操作列的修改。
3. 在弹出的修改 SNAT 规则对话框中,修改 SNAT 规则中的映射前 IP、映射后 IP/映射后 IP 池或备注,然后单击确定完成修改。
删除 SNAT 规则
单条删除
1. 登录 私网 NAT 网关控制台,在列表页找到目标私网 NAT 网关实例,单击右侧操作列的管理规则。
2. 在 SNAT 规则页签,找到目标 SNAT 规则,单击右侧操作列的删除。
3. 在弹出的删除对话框中,单击确定删除该条 SNAT 规则。
批量删除
1. 登录 私网 NAT 网关控制台,在列表页找到目标私网 NAT 网关实例,单击右侧操作列的管理规则。
2. 在 SNAT 规则页签,勾选目标 SNAT 规则,单击列表上方的删除。
3. 在弹出的删除对话框中,单击确定完成批量删除。
