🌐 问题回顾(已做脱敏)
💡 关键点:两者在同一 VPC ,内网互通正常,但裸金属默认无法访问外网。
问题根因
✅ 云虚拟机为什么能直接上网?
云虚拟机未接入企业网,其网络流量仅受VPC自身路由策略和出网配置管控:
公有云普通云虚拟机实例若处于已配置NAT网关+SNAT规则的VPC子网中,会自动通过NAT网关完成SNAT转换实现出网;若云虚拟机绑定了公网IP/EIP,则可直接通过公网接口出网。
由于云虚拟机不涉及企业网链路,VPC内默认的出网路由(指向NAT网关或公网出口)可直接生效,无需额外的路由发布操作。
❌ 线下裸金属服务器为什么默认(路由未发布)不能上网?
线下裸金属服务器作为线下节点接入了企业网,其网络流量会同时受企业网路由和VPC专有网络路由的管控:
公有云企业网架构下,VPC内的自定义路由(如指向NAT网关的0.0.0.0/0路由)需发布至企业网,才能被接入企业网的线下裸金属服务器实例感知和使用。未发布时,该路由仅对VPC内未接入企业网的实例(如云虚拟机)生效,裸金属无法识别此出网路由。
🧩 路由发布后的流量流向解析
在VPC路由表中配置了目标网段0.0.0.0/0、下一跳为NAT网关的路由,发布该路由至企业网后,线下裸金属服务器的外网访问链路才被打通,具体流向如下:
线下裸金属服务器 (10.0.0.1)
→ 匹配已发布至企业网的VPC路由(0.0.0.0/0→NAT网关)
→ 流量优先进入VPC的NAT网关(NAT网关实例)
→ NAT网关执行SNAT转换(将10.0.X.X替换为网关公网EIP)
→ 转发至公网目标(如公网域名服务器)
→ 回包经NAT网关DNAT转换后,沿原链路返回至裸金属实例补充说明:若未发布该路由,线下裸金属服务器的外网流量会被企业网路由引导至线下IDC链路,因线下IDC无对应公网出口,最终导致访问失败。
❓ 为什么云虚拟机不需要发布路由?
云虚拟机未接入企业网,其流量无需经过企业网路由体系的管控:
云虚拟机的流量仅在VPC内部流转,VPC路由表中指向NAT网关的0.0.0.0/0路由属于VPC内网路由,无需发布至企业网即可直接被云虚拟机识别并使用。
云虚拟机所在子网已被NAT网关的SNAT规则覆盖,可直接通过NAT网关完成出网,无跨企业网的路由感知和发布需求。
解决方法
