云小课 | 华为云KYON之私网NAT网关

摘要：本文介绍KYON独创的私网NAT网关服务，支持云上重叠组网，支持云上重叠组网，助您的业务敏捷上云。

本文分享自华为云社区《云小课 | 华为云KYON之私网NAT网关》，原文作者：云小萌。

华为云KYON（Keep Your Own Network）企业级云网络解决方案，打造极简敏捷的上云之路，助力企业极简规划，敏捷迁移，无缝融合，是企业上云的不二之选。当前企业在迁移上云的过程中，存在本地数据中心组网规划复杂、网段重叠的问题，阻碍着企业的上云之路。针对这一痛点，华为云KYON之私网NAT网关帮您解决。

华为云KYON独创私网NAT网关服务，支持云上重叠组网，可保留原有组网上云，无需重新规划，极大简化了业务迁移上云过程。

NAT网关是什么？

私网NAT网关（Private NAT Gateway），能够为虚拟私有云内的云主机（弹性云服务器、裸金属服务器、云桌面）提供私网地址转换服务。自定义配置SNAT、DNAT规则，可将源、目的网段地址转换为私网IP，通过使用私网IP实现处于不同虚拟私有云中具有重叠IP地址的云主机互访或实现指定IP接入远端私网中的数据中心或VPC。

私网NAT网关提供SNAT和DNAT两个功能：

1. SNAT功能通过绑定中转IP，可实现VPC内跨可用区的多个云主机共享中转IP，访问外部数据中心或其他VPC。
2. DNAT功能绑定中转IP，可通过IP映射或端口映射两种方式，实现VPC内跨可用区的多个云主机共享中转IP，为外部私网提供服务。

私网NAT网关支持大小网段灵活组网，IP网段可重叠，业务零改造，可降低企业上云的成本和风险。

如上图所示，两个本端VPC网段重叠，使用两个私网NAT网关，配置SNAT、DNAT规则，将本端VPC私网地址转换为中转IP地址，实现两个本端VPC中云主机利用中转IP互访，解决了VPC间网段重叠互访的问题；访问远端私网中的用户数据中心（IDC）和VPC被要求指定IP地址接入，远端私网中的IDC和VPC分别通过云专线/VPN和对等连接接入公共VPC，本端VPC使用私网NAT网关，配置SNAT规则，将本端VPC私网地址转换为指定IP地址，实现本端VPC中的云主机以指定IP地址接入远端私网。

中转子网——私网NAT网关服务中的中转网络。您可以在中转子网中创建私网IP，即中转IP，使本端VPC中的云主机可以共享该私网IP访问用户IDC或同Region远端VPC。

公共VPC——中转子网所在VPC。

​​​​​​​NAT网关的优势

华为云独创的私网NAT网关服务，支持大小网段灵活组网，具有简规划、易管理、零冲突和更安全的优势。

简规划

当前企业本地数据中心（IDC）组网规划复杂，有重叠网段映射等诉求，企业上云之后需要保留原有组网不变。华为云私网NAT网关助力简化网络规划流程，实现IDC组网零修改迁移上云。

易管理

企业内部网络分层分域，多个部门之间会存在网段重叠的情况。使用私网NAT网关，企业迁移上云后组网不调整，企业网络依旧分层分域管理。

零冲突

私网NAT支持私网地址映射，对网段重叠的VPC间进行私网地址转换，上云过程中IP地址无需修改，即使网段重叠也能互通和互访。

更安全

企业往往需要对IP地址统一管理，私网NAT网关可将企业不同部门各自的网段地址映射为符合企业安全规范的统一地址段进行互通。同时支持根据企业安全要求开放特定的IP地址和端口。

​​​​​​​NAT网关如何配置？

三步玩转私网NAT网关，如下图所示。

第一步：购买私网NAT网关

访问IDC或其他VPC，或对外提供服务，需先购买私网NAT网关。

第二步：创建中转子网和中转IP

VPC内多个云主机需共享中转IP地址。

第三步：创建SNAT/DNAT规则

创建SNAT规则，用于VPC内云主机访问用户IDC或其他远端VPC；

创建DNAT规则，用于VPC内云主机对外部私网提供服务。

获取更多私网NAT网关信息，请戳这里。

点击关注，第一时间了解华为云新鲜技术~