基于私网NAT网关和云专线的混合云SNAT_NAT网关 NAT_最佳实践

操作场景

用户本地数据中心（IDC）通过云专线接入虚拟私有云（VPC），VPC中的ECS需要转换成IDC指定的私网网段进行通信，详情可见下方的组网图。

下列配置指导仅以VPC Peering做示例，实际专线配置以专线指导为准。

方案优势

混合云场景中，需要为VPC内计算实例指定具体的私网地址进行映射与线下互通，可以满足安全合规等要求。

典型拓扑

假设用户IDC（Peering目的VPC）网段为10.0.0.0/24，接入中转VPC区域为“华北-北京四”，中转VPC子网网段为10.1.0.0/24。

实现方式如下：

1. 通过云专线（Peering）将用户IDC（Peering目的VPC）与中转VPC连通。
2. 搭建私网NAT网关，将业务VPC与目的网段（Peering目的VPC）连通。
   图1 组网图
   

前提条件

• IDC的网段与中转VPC中的子网网段不能重叠，否则无法通信。
• 中转VPC中需要自定义好用来为业务VPC中资源做NAT的私网网段。

配置步骤

1. 创建业务VPC及中转VPC

   具体操作请参见创建虚拟私有云和子网。

2. 配置云专线（本示例使用VPC Peering代替云专线）

   在IDC和华北-北京四区域创建云专线。具体操作请参见配置云专线。

3. 创建并配置私网NAT网关
   1. 在华北-北京四区域创建私网NAT网关，选定业务VPC。
      图2 创建私网NAT网关
      
   2. 创建外部子网，选择中转VPC中用来做NAT映射的子网。
      图3 创建外部子网
      
   3. 进入创建的外部子网，创建外部子网IP，随机分配一个IP地址。
      图4 创建外部子网IP
      
   4. 回到私网NAT界面，单击实例名，添加SNAT规则，子网选择业务VPC中需要做地址映射的子网，外部子网和外部子网IP选择之前创建好的。
      图5 添加SNAT规则
      
   5. 在业务VPC中添加指向私网NAT实例的路由，目的地址配置为IDC（目的VPC）的私网网段。
      图6 添加路由
      
   6. 在目的VPC中添加入方向安全组规则，用于将发到目的端的流量全部放通。
      图7 添加入方向安全组规则
      

配置验证

配置完成，测试连通性。

登录业务VPC中的ECS，ping对端IDC（目的VPC）中的私网IP。