检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过企业路由器和NAT网关实现多个VPC共享SNAT访问公网 方案概述 规划组网和资源 创建资源 配置网络 验证网络互通情况
许和拒绝的访问操作,以此实现云资源权限访问控制。 管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予ER所需的权限,组内用户自动继承用户组的所有权限。 IAM的详细介绍,请参见IAM功能介绍。 ER所需的权限,请参见权限管理。 父主题: 安全
查看企业路由器 操作场景 本章节指导用户查看企业路由器的基本信息,包括可用区、默认路由表关联和传播、创建时间等。 如果您还需要查看企业路由器的其他信息,请参考以下说明: 企业路由器中的连接,包括连接名称、连接类型、连接资源等,如需查看,请参见查看企业路由器中的连接。 企业路由器中
创建VPC和ECS 操作场景 本章节指导用户创建虚拟私有云VPC和弹性云服务器ECS。 操作步骤 在区域A内,创建4个VPC和3个ECS。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 创建ECS,具体方法请参见自定义购买ECS。 本示例中的VPC和子网资源规划详情请参见表8。
验证网络互通情况 登录弹性云服务器。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 在弹性云服务器的远程登录窗口,执行以下步骤,验证网络情况。 执行以下命令,验证VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ecs-
查看路由表的标签 操作场景 本章节指导用户查看路由表的标签。 查看路由表的标签 进入企业路由器列表页面。 通过名称过滤,快速找到待查看路由表标签的企业路由器。 单击企业路由器名称,并选择“路由表”页签。 进入路由表列表页面。 在标签列表中,查看路由表的标签信息,包括“标签键”和“标签值”。
创建企业路由器 操作场景 本章节指导用户创建企业路由器。 操作步骤 在区域A内,创建1个企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 企业路由器资源规划详情请参见表6。 父主题: 创建资源
在NAT网关中配置SNAT规则 操作场景 本章节指导用户在公网NAT网关中添加SNAT规则,实现访问公网。 操作步骤 在公网NAT网关中,配置SNAT规则。 配置SNAT规则,具体方法请参见添加SNAT规则。 本示例中SNAT规划详情请参见表7。 父主题: 配置网络
查看流日志信息 操作场景 本章节指导用户查看ER流日志详情,包括连接ID、源/目的地址、源/目的端口以及数据包大小、数量等信息。 约束与限制 流日志的捕获窗口周期默认为10分钟,即每10分钟输出一次流日志记录。所以流日志创建完成后,您需要等待大约10分钟,才能看到流日志记录详情。
查看连接的标签 操作场景 本章节指导用户查看连接的标签。 操作步骤 进入企业路由器列表页面。 通过名称过滤,快速找到待查看连接标签的企业路由器。 单击企业路由器名称,并选择“连接”页签。 进入连接列表页面。 单击待查看标签的连接名称。 进入连接详情页面。 在标签列表中,查看连接的标签信息,包括“标签键”和“标签值”。
创建EIP和公网NAT网关 操作场景 本章节指导用户创建弹性公网IP和公网NAT网关。 操作步骤 在区域A内,创建EIP。 创建EIP,具体方法请参见申请弹性公网IP。 在区域A内,创建公网NAT网关。 创建公网NAT网关,具体方法请参见购买公网NAT网关。 本示例中公网NAT网关资源规划详情请参见表7。
在默认路由表中创建传播,并自动学习VPC网段路由信息。 在ER路由表中创建下一跳为VPC4连接的静态路由,网段为0.0.0.0/0,表示将访问公网的流量路由至VPC4。 创建静态路由,具体方法请参见创建静态路由。 创建VPC4的静态路由后,可以删除VPC4的传播路由,具体方法请参见删除传播。
配置网络 在企业路由器中配置VPC连接 在NAT网关中配置SNAT规则 父主题: 通过企业路由器和NAT网关实现多个VPC共享SNAT访问公网
在默认路由表中创建“虚拟私有云(VPC)”连接的传播,路由自动学习VPC网段,路由信息如表5所示。 在ER路由表中,添加静态路由,网段为0.0.0.0/0,表示将访问公网的流量路由至VPC4。 ECS 3个ECS分别位于3个不同的VPC内,VPC中的ECS如果位于不同的安全组,需要在安全组中添加规则放通对端安全组的网络。
式的路由策略节点后,需要创建一个路由策略节点来允许所有其他路由通过。 允许 策略节点 > 匹配条件 必选参数。 设置路由的过滤条件,匹配上的路由,根据匹配原则,被允许通过或拒绝。当前路由策略支持以下匹配条件: 路由类型 静态路由:用户手动配置的路由。 在ER场景下,位于ER路由表
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝对指定资源在特定条件下进行某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自
修改路由表名称 √ x √ x 查看路由表 √ √ √ √ 删除路由表 √ x √ x 创建关联将连接关联至路由表中 √ x √ x 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ x √ x 在路由表中创建连接的传播 √ x √ x 查看路由表中连接的传播 √ √ √ √
方案概述 背景信息 XX企业在华为云区域A内部署了4个虚拟私有云VPC,VPC1、VPC2、VPC3需要互相访问,并且可以共享VPC4的SNAT访问公网。 图1 VPC共享SNAT 您可以使用企业路由器的共享功能,将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 操作流程
通过名称过滤,快速找到待删除连接的企业路由器。 您可以通过以下两种操作入口,进入企业路由器的“连接”页签。 在企业路由器右上角区域,单击“管理连接”。 单击企业路由器名称,并选择“连接”页签。 您可以在企业路由器连接页签下,查看“全域接入网关(DGW)”连接的名称。 在企业路由器的连接页面无法直接删除“全域接入网关(DGW)”连接。
用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中创建资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下,您可以查看项目ID。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
