ROS搭建具有NAT Gateway功能的VPC 网络

背景

专有网络环境下,特定ECS往往需要公网访问能力,前面我们介绍了《ROS搭建SNAT网关使专有网络访问Internet》,利用ECS和EIP手动的搭建一个SNAT网关。

目前阿里云官方推出了专门的网络产品——NAT网关,对公网IP和公网带宽进行统一管理。

ROS资源介绍

ROS提供三个插件对NAT Gateway进行支持:

  • ALIYUN::ECS::NatGateway, 创建Nat网关,分配带宽包和公网IP

    • VpcId: 给哪个VPC中创建NatGateway
    • Spec: NAT网关的规格, 可选值:Small|Middle|Large
    • BandwidthPackage: 可以申请多个带宽包,并设置带宽包的带宽值以及公网IP数。同一带宽包下的公网IP共享带宽。
  • ALIYUN::ECS::ForwardEntry, 配置端口转发规则, 提供外部访问vpc内部ip的能力
    • ForwardTableId: 指向 NatGateway 的ForwardTableId
    • IpProtocol: IpProtocol类型,可选TCP|UDP|Any
    • ExternalIp: NatGateway 上的共享带宽包中的 IP
    • ExternalPort: 源端口;取值范围:1~65535|Any
    • InternalIp: 端口转发规则中的目标IP,是一个私网IP地址
    • InternalPort: 目标端口;取值范围为1~65535|Any
  • ALIYUN::ECS::SNatEntry, 在指定的NAT Gateway上添加SNAT规则, 提供vpc访问公网的能力
    • SNatTableId: 要在哪个SNAT表中添加规则
    • SourceVSwitchId: 允许哪个VSwitch下的ECS通过NAT网关的SNAT功能访问互联网. 注意:这里是以VSwitch为基本单位
    • SNatIp: 使用SNAT转换后使用的源地址;必须是当前NAT Gateway上的某个带宽包中的公网IP。注意:SNAT和DNAT不能配置相同的带宽包IP

ROS模板

本例创建VPC类型的ECS, 同时配置公网访问。主要片段如下:

  • 创建NatGateway, 规格为小型,一个带宽包,两个公网IP
"NatGateway": {
      "Type": "ALIYUN::ECS::NatGateway",
      "Properties": {
        "NatGatewayName": "NatGateway",
        "VpcId": {
          "Fn::GetAtt": [
            "Vpc",
            "VpcId"
          ]
        },
        "VSwitchId": {
          "Ref": "PubSubnet"
        },
        "BandwidthPackage": [
          {
            "Bandwidth": 10,
            "IpCount": 2
          }
        ],
        "Spec": "Small"
      }
    }
  • 创建ForwardEntry,开放ECS的22端口,通过带宽包的第一个IP进行转发
"ForwardEntryMaster": {
      "Type": "ALIYUN::ECS::ForwardEntry",
      "Properties": {
        "ExternalIp": {
          "Fn::Select": [
            "0",
            {
              "Fn::GetAtt": [
                "NatGateway",
                "BandwidthPackageIps"
              ]
            }
          ]
        },
        "ExternalPort": "22",
        "ForwardTableId": {
          "Fn::GetAtt": [
            "NatGateway",
            "ForwardTableId"
          ]
        },
        "InternalIp": {
          "Fn::Select": [
            "0",
            {
              "Fn::GetAtt": [
                "Master",
                "PrivateIps"
              ]
            }
          ]
        },
        "IpProtocol": "TCP",
        "InternalPort": "22"
      }
    }
  • 创建SNatEntry,vswitch下的ECS可以通过带宽包的第二个IP访问公网
"SNatEntry": {
      "Type": "ALIYUN::ECS::SNatEntry",
      "Properties": {
        "SNatTableId": {
          "Fn::GetAtt": [
            "NatGateway",
            "SNatTableId"
          ]
        },
        "SNatIp": {
          "Fn::Select": [
            "1",
            {
              "Fn::GetAtt": [
                "NatGateway",
                "BandwidthPackageIps"
              ]
            }
          ]
        },
        "SourceVSwitchId": {
          "Fn::GetAtt": [
            "PubSubnet",
            "VSwitchId"
          ]
        }
      }
    }

到ROS控制台创建 >>

下载完整模版 >>

时间: 2024-08-16 22:55:55

ROS搭建具有NAT Gateway功能的VPC 网络的相关文章

搭建有出入网能力的VPC网络方案及模板实现

VPC是网络隔离的专有网络,优势是与其他租户的网络完全隔离,可自定义网段,也是混合云网络互通的必选方案.对于专有网络出入网是最重要的,出网是指VPC内访问外网(SNAT),多用于抓取类业务:入网是指VPC内的应用对外提供服务(DNAT).本文将详细讲解典型搭建一个有出入网能力的VPC网络的两种方案以及优劣势,并且提供利用Terraform编写模板实现自动化搭建的方法. 一.简单的EIP:这是非常简单也很容易理解的方法,为VPC内的ECS绑定EIP(弹性IP),此时ECS就具备了出入网的能力,限制

ROS搭建SNAT网关使专有网络访问Internet

背景 专有网络环境下,云服务器ECS实例不能直接访问公网,一种方法是给需要访问公网的ECS实例申请弹性IP,但是如果有大量的ECS实例同时需要访问公网,这种方法就不可行.今天将介绍一种SNAT网关访问公网的方式.如下图所示 : 这种方法需要申请一台额外的ECS实例绑定EIP做VPC网络的SNAT网关.首先这台ECS实例要在指定的VPC网络中,要绑定EIP,配置这台ECS实例上的iptables, 最后在指定VPC网络的路由表中添加下一跳是这台ECS的路由项.详细的手动配置过程请参考这里. ROS

VPC 网络 ECS 搭建 L2TP VPN

本文,主要介绍如何在 VPC 网络环境的 ECS 下搭建 L2TP VPN. 环境说明 1.Server 端使用 Centos 6 系统部署 2.客户端使用 Windows 7 拨号 3.环境软件包 openswan ppp xl2tpd Server 端部署 1.安装环境包 [root@l2tp ~]# yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel vim-enhanced policycoreut

阿里云ECS,使用VPC网络统一集群网络出口

今日在家,偶然想起自己还有4张10元ecs代金券,不用白不用,平常这种小额代金券都是用来买临时带宽了,今天打算做点别的用处:研究下阿里云的VPC网络. 关于VPC网络的用处,今天只讲一点,就是统一网络出口(表现为:内网所有对公网的访问,都使用同一个IP). 曾经在工作中,开发测试期间只有一台ECS,什么问题都没有发现. 然而等到项目上线时刻,线上业务要求必须通过SLB提高可用性,这就变成了多台web服务器.由于是新业务,因此这次SLB后端只挂了两台经典网络ECS用作web服务器.此处SLB的使用

阿里云VPC网络之间通过GRE隧道打通

此前介绍了VPC网络下阿里云服务器如何配置Snat让整个VPC网络都通过一个EIP访问公网,今天介绍一下如何通过GRE隧道将两个VPC网络的私网打通. 测试环境如下: 2个VPC(VPC1,VPC2)代表两个完全隔离的物理网络 每个VPC网络交换机,路由器,公网IP各一个,ECS2台,一台作为VPC网络的网关,一台作为局域网内部的服务器. VPC1:   {EIP:112.74.32.191    GW:172.16.1.1    VPC1-Client:   172.16.1.2} VPC2:

端到端构建VPC网络,安全组和ECS资源

序言 在之前的博客中,通过资源编排创建一个ECS实例和利用资源编排创建100台ECS实例并指定自动释放时间,都介绍了怎样快速.方便的创建阿里云 ECS 实例.但是它们都是依赖于您已经在阿里云创建了一些资源,比如,安全组.镜像.VPC,甚至是 ECS实例.本文的重点是,如何通过资源编排服务,来创建ECS实例及其关联资源. 正如通过资源编排创建一个ECS实例文中介绍,创建ECS实例,有几个必选属性: SecurityGroupId: 安全组Id InstanceType: 实例规格, 参考ROS控制

基于VPC网络的六大场景及解决方案

摘要:本文的整理自2017云栖大会-成都峰会上阿里云产品专家福郎的分享讲义,讲义主要介绍了阿里云专有网络VPC基于阿里云构建出一个隔离的网络环境,可以完全掌控自己的虚拟网络.专有网络拥有独享网络地址空间,能自定义网络,支持自定义路由管理,同时支持混合云网络搭建. 在2017云栖大会-成都峰会上,阿里云产品专家福郎做了基于VPC网络的六大场景及解决方案的分享.专有网络 VPC能帮助您基于阿里云构建出一个隔离的网络环境.您可以完全掌控自己的虚拟网络,包括选择自有的 IP 地址范围,划分网段以及配置路

Word弹出“无法访问您试图使用功能所在的网络位置”怎么办

打开Word2003时,你是否遇到过弹出"无法访问您试图使用功能所在的网络位置",这是怎么回事,中毒了吗?别担心,今天小编为大家介绍两种解决方法,下面就一起看看吧. 出现问题:请按确定重试,或在下面框中输入包含安装程序包gaozhi.msi的文件夹的路径. 如图: 解决方法: 方法一.直接覆盖安装或者选择修复安装office即可 方法二. 1.打开注册表(打开方法:开始-运行,输入:regedi) 2.按F3搜索gaozhi.msi,(PS:先备份) 3.你可以在"HKEY_

XP系统提示“无法访问您要使用的功能所在的网络位置”的两种解决方案

XP系统提示"无法访问您要使用的功能所在的网络位置"的两种解决方案   方案一: 直接覆盖安装或者选择修复安装Office即可. 方案二: 1.打开注册表(打开方法:开始-运行,输入:regedi). 2.按f3搜索gaozhi.msi(ps:先备份). 3.你可以在"hkey_current_usersoftwaremicrosoftinstallerproducts762812c5feec1b428f26679f2dfae7c"键值中找到相应的东东. 4.先备份