VPC虚拟私有云是公有云上逻辑隔离、可自定义的私有网络空间是云上资源部署和通信的基础核心资源均需部署其中不同VPC默认隔离以保障安全。用户可自主划分子网、配置路由而网关是VPC内外及跨VPC通信的关键其中NAT网关承担着私网IP转换、实现网络互通的核心作用其性能与配置效率直接影响业务运维成本。一. 背景VPC NAT网关可以将 VPC 内的私网 IPv4 地址转换为 NAT IP用来解决云上地址冲突网络的互访或者满足通过指定地址访问的需求。目前线上运行的v1.0版本网络打通的粒度为子网到子网。当用户网段扩容新增子网时需要多次调用 NAT 打通接口新增并维护多条规则。这不仅增加了配置复杂度也提高了运维和出错成本。VPC内扩容子网是常规操作为了简化用户使用复杂度同时避免因新增网段而重复配置 NAT 规则VPC NATv2.0需要对现有能力进行扩展使其支持源 VPC → 目标 VPC 的一次性打通。二. 方案设计1. 控制面逻辑调整1snat_rules 表新增4个字段用于记录目标vpc详情便于奥创系统查询与关联。字段名含义src_vpc_uuid源vpc uuiddst_vpc_uuid目标vpc uuidcidr源 VPC 下的子网 CIDR支持逗号分割172.16.2.0/24,172.16.3.0/24vpc_cidr目标 VPC 下的子网集合按 VNI 维度组织KeyVNIVPC 内部网络标识Value该 VNI 下的多个子网 CIDR逗号分割{100:172.16.0.0/24,172.16.1.0/24,200: 172.16.2.0/24}2生成vpc nat规则调整NAT IP的VNI从单个值改为逗号分割字符串规则匹配的VNI为NAT IP所属VNI规则包含所有子网2. 转发面逻辑调整新增vpc_vni参数支持VPC粒度转发。数据包达到网关后匹配转发规则选择到正确的NAT IP后根据VNI信息查找目标虚机的全部信息进行VXLAN封装将数据包送至正确的节点。三. 整体转发流程如图所示vpc1内资源如虚拟机或者容器访问目标vpc2中的不同资源数据包转发的路径会有不同。1.访问虚机/容器虚机发出的数据包经由计算节点封装后发送至VPC NAT网关网关查找snat_rule策略命中策略后使用来自目标VPC的NAT IP作为源IP将新的数据包封装后发送至目标vpc2的计算节点。目的虚机收到数据包后回包会发送至CCN网关CCN网关查找内存中存储的NAT IP信息后将数据包转发至VPC NAT网关最终由VPC NAT网关转回给源虚机/容器。2.访问负载均衡VIP与访问虚机不同访问VIP时VPC NAT网关会将数据包封装后发送至FNAT网关经负载均衡转发至目标VPC内的真实RS回包路径与来时一致。四. 总结通过 VPC NAT网关 v2.0 的改造我们显著提升了 VPC 间网络打通的灵活性和效率支持VPC → VPC粒度的一次性打通减少规则数量降低配置与运维成本兼容历史子网级调用方式控制面逻辑更清晰适配复杂跨 VPC 场景目前NAT网关已支持多种转发场景包括隔离 VPC 出公网、VPC间打通、隔离 VPC 访问 IDC等常见需求。后续VNAT 网关将逐步支持 DNAT 功能增加安全策略防控模块进一步提升网关的安全性和管理能力为云上大规模、复杂的跨 VPC 网络通信提供更加高效和灵活的解决方案。