本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
公網NAT網關是一款阿里云全托管的網絡地址轉換網關,通過轉換和隱藏云服務地址,防止地址直接暴露,實現安全訪問互聯網提升網絡安全性。
背景信息
為了提升配置體驗,公網NAT網關支持組合購買EIP,即在創建公網NAT網關時,支持同時購買EIP實例或選擇已有的EIP實例綁定至該公網NAT網關實例上。具體操作,請參見VPC全通模式組合購買公網NAT網關和彈性公網IP。
本文以非VPC全通模式介紹創建和管理公網NAT網關的方法。
為了提升創建體驗,在VPC內創建第一個公網NAT網關時,阿里云會在VPC的系統路由表中自動添加一條目標網段為0.0.0.0/0,下一跳為公網NAT網關的路由條目,用于將流量路由到公網NAT網關。若VPC存在自定義路由表或VPC存在多個公網NAT網關,請根據需要手動添加路由。具體操作,請參見創建和管理路由表。
若創建公網NAT網關前,VPC的系統路由表中已經存在目標網段為0.0.0.0/0的路由條目,系統不會自動添加指向公網NAT網關的路由條目。
如果ECS實例已經持有了公網IP,例如分配了固定公網IP、綁定彈性公網IP(Elastic IP Address,簡稱EIP)或設置了DNAT IP映射,當該ECS實例發起互聯網訪問時,會優先通過ECS實例持有的公網IP訪問互聯網,而不會使用公網NAT網關的SNAT功能訪問互聯網。如需統一公網出口IP,請參見為已分配固定公網IP的ECS實例統一公網出口IP和為設置了DNAT IP映射的ECS實例統一公網出口IP。
當多條SNAT條目的源網段重疊時,系統會根據最長子網掩碼匹配規則確定優先為哪一條SNAT條目提供互聯網代理服務。
使用ECS粒度配置的SNAT條目中源網段的子網掩碼為
/32,長度最長,優先級最高,優先匹配。使用其他粒度配置的SNAT條目會根據源網段的子網掩碼長度進行匹配,長度越長,優先級越高,越先匹配。
如果您的ECS實例已經綁定了彈性公網 IP EIP(Elastic IP Address),則不支持為該ECS實例添加DNAT條目。如需為該ECS實例添加DNAT條目,請先將ECS實例與EIP解綁,再為該ECS實例添加DNAT條目。關于如何解綁EIP,請參見將EIP與云資源解綁。
前提條件
您已經創建了VPC和交換機。具體操作,請參見搭建IPv4專有網絡。
您已經創建了彈性公網IP實例。具體操作,請參見申請EIP。
創建公網NAT網關
登錄NAT網關管理控制臺。
在公網NAT網關頁面,單擊創建公網NAT網關。
首次使用NAT網關時,在創建公網NAT網關頁面關聯角色創建區域,單擊創建關聯角色。角色創建成功后即可創建NAT網關。
關于NAT網關服務關聯角色的更多信息,請參見服務關聯角色。在創建公網NAT網關頁面,配置以下購買信息,然后單擊立即購買。
配置
說明
付費模式
默認選擇為按量付費,即一種先使用后付費的付費模式。更多信息,請參見公網NAT網關計費。
資源組
選擇VPC所屬的資源組。更多信息,請參見什么是資源組。
標簽
標簽鍵:選擇或輸入完整的標簽鍵。
最多支持輸入20個標簽鍵。一個標簽鍵最多支持128個字符,不能以aliyun和acs:開頭,不能包含http://或者https://。
標簽值:選擇或輸入完整的標簽值。
最多支持輸入20個標簽值。一個標簽值最多支持128個字符,不能以aliyun和acs:開頭,不能包含http://或者https://。
所屬地域
選擇需要創建公網NAT網關的地域。
所屬專有網絡
選擇公網NAT網關所屬的VPC。創建后,不能修改公網NAT網關所屬的VPC。
關聯交換機
選擇公網NAT網關實例所屬的交換機。
計費類型
默認選擇為按使用量計費,即按公網NAT網關實際使用量收費。更多信息,請參見公網NAT網關計費。
計費周期
默認選擇為按小時,即按使用量計費公網NAT網關的計費周期為1小時,不足1小時按1小時計算。
實例名稱
設置公網NAT網關實例的名稱。
實例名稱長度為2~128個字符,以英文大小寫字母或中文開頭,可包含數字、下劃線(_)和短劃線(-)。
訪問模式
選擇公網NAT網關的訪問模式。支持以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT網關創建成功后當前VPC內所有實例即可通過該公網NAT網關訪問公網。
選擇VPC全通模式(SNAT)后,您需要配置彈性公網IP(Elastic IP Address,簡稱EIP)的相關信息。
稍后配置:如需稍后配置或有更多配置需求,可在購買完成后,前往控制臺進行配置。
選擇稍后配置,則只購買公網NAT網關實例。
本文選擇稍后配置。
在確認訂單頁面確認公網NAT網關的配置信息,選中服務協議并單擊確認訂單。
當出現恭喜,購買成功!的提示后,說明您創建成功。
綁定EIP
從2022年09月19日起,新創建的公網NAT網關綁定一個EIP時將占用NAT網關所在交換機的一個私網IP(已有NAT網關實例不受影響),請確保NAT網關所在交換機內私網IP地址充足,如果NAT網關所在的交換機沒有可用的空閑私網地址,將無法綁定新的EIP。
公網NAT網關需要綁定EIP才能正常工作。一個公網NAT網關最多可綁定20個EIP。您可以前往配額管理頁面自助提升配額。綁定EIP前,請確保您已經創建了公網NAT網關。
登錄NAT網關管理控制臺。
在頂部菜單欄,選擇公網NAT網關的地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,然后在彈性公網IP列單擊立即綁定。
在綁定彈性公網IP對話框,配置以下參數,然后單擊確定。
配置
說明
所在資源組
選擇EIP所在的資源組。
選擇彈性公網IP
從以下方式中選擇一種綁定到公網NAT網關EIP的方式。
單擊從已有彈性公網IP中選擇:在下拉列表中選擇已有的EIP實例。
單擊新購彈性公網IP并綁定:系統只能為您創建1個按使用流量計費的按量付費EIP,并綁定到公網NAT網關。
綁定成功后,在公網NAT網關實例的彈性公網IP地址列將會顯示出綁定的EIP。
創建SNAT條目
您可以使用公網NAT網關的SNAT功能,為VPC中無公網IP的ECS實例提供訪問互聯網的代理服務,實現無公網IP的ECS實例訪問互聯網。
登錄NAT網關管理控制臺。
在頂部菜單欄,選擇公網NAT網關的地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,然后在操作列單擊設置SNAT。
在SNAT管理頁簽,單擊創建SNAT條目。
在創建SNAT條目頁面,配置以下參數,然后單擊確定創建。
專有網絡粒度:公網NAT網關所屬VPC下的所有ECS實例可以通過配置的SNAT規則訪問互聯網。
交換機粒度:指定交換機下的ECS實例通過配置的公網IP訪問互聯網。
選擇交換機:在下拉列表中選擇交換機。您可以在下拉列表選擇已創建的交換機;也可以單擊創建交換機跳轉到VPC控制臺創建交換機后選擇。
如果您選擇多個交換機,將會為您創建多條SNAT條目,使用相同的公網IP地址。
交換機網段:顯示交換機的網段。
ECS/彈性網卡粒度:指定的ECS/ENI通過配置的公網IP訪問互聯網。
通過ECS或彈性網卡進行選擇:在下拉列表中選擇ECS或ENI。該ECS或ENI將通過配置的公網IP訪問互聯網。您可以在下拉列表選擇已創建的ECS實例;也可以單擊創建ECS跳轉到ECS控制臺創建ECS實例后選擇。如您選擇多個ECS,將會為您創建多條SNAT條目,使用相同的公網IP地址。
請確保所選擇的ECS實例滿足以下條件:
ECS實例的狀態處于運行中。
ECS實例不具備固定公網IP且未綁定其他彈性公網IP。
ECS/彈性網卡網段:顯示ECS或彈性網卡的網段。
自定義網段粒度:輸入任意網段后,該網段的下ECS實例都可以通過配置的SNAT規則訪問互聯網。
使用單IP:在下拉列表中選擇彈性公網IP。如果下拉列表中沒有可選的彈性公網IP,可在下拉列表單擊新購彈性公網IP并綁定,在彈出的對話框中完成彈性公網IP的購買操作。
使用多IP:從公網IP列表中,選擇多個彈性公網IP。
指定多個彈性公網IP配置至SNAT IP地址池時,業務連接會通過哈希算法分配到多個彈性公網IP,由于每個連接的流量不同,可能會出現多彈性公網IP業務流量不均勻的情況,建議您將每個彈性公網IP加入到同一個共享帶寬中以避免單彈性公網IP帶寬達到上限導致業務受損。
關閉EIP親和性能力,同一個私網IP訪問單一目的IP,可能使用不同的彈性公網IP。
開啟EIP親和性能力,同一個私網IP訪問單一目的IP,只會使用相同的彈性公網IP。
若會話數量較高,可能會導致端口分配失敗的監控計數上漲。
配置 | 說明 |
SNAT條目粒度 | 選擇SNAT條目的粒度。 |
選擇公網IP地址 | 選擇用來提供互聯網訪問的公網IP。 |
EIP親和性 | 當您選擇多個彈性公網IP時,您可以選擇是否開啟EIP親和性能力。 |
條目名稱 | SNAT條目的名稱。 |
創建DNAT條目
您可以使用公網NAT網關DNAT功能,將公網NAT網關上的公網IP通過端口映射或IP映射兩種方式映射給云服務器 ECS(Elastic Compute Service)實例使用,使ECS實例能夠對外提供公網訪問服務。
登錄NAT網關管理控制臺。
在頂部菜單欄,選擇公網NAT網關的地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,然后在操作列單擊設置DNAT。
在DNAT管理頁簽,單擊創建DNAT條目。
在創建DNAT條目頁面,配置以下參數,然后單擊確定創建。
配置
說明
選擇公網IP地址
選擇要提供互聯網通信的彈性公網IP。
說明公網NAT網關支持將一個公網IP同時用于DNAT條目和SNAT條目。
選擇私網IP地址
選擇要通過DNAT規則進行公網通信的實例的IP。您可以通過以下兩種方式指定目標私網IP地址:
通過ECS或彈性網卡進行選擇:從ECS實例或彈性網卡列表中選擇私網IP地址。
通過手動輸入:輸入目標私網IP地址。
端口設置
選擇DNAT映射的方式:
任意端口:該方式屬于IP映射,任何訪問該公網IP的請求都將轉發到目標ECS實例上,目標ECS實例也可以使用該公網IP主動訪問公網。
說明DNAT條目中配置了IP映射方式的EIP不能再被其他DNAT條目或SNAT條目使用。
如果公網NAT網關既配置了DNAT IP映射方式,又配置了SNAT條目,則ECS實例會優先通過DNAT IP映射方式的公網IP訪問公網。
具體端口:該方式屬于端口映射,公網NAT網關會將以指定協議和端口訪問該公網IP的請求轉發到目標ECS實例的指定端口上。
選擇具體端口后,請根據業務需求設置以下參數:
公網端口:進行端口轉發的外部端口或端口段。
輸入的端口范圍需要在1~65535之間。
如果需要在端口段內轉發,請在輸入時以正斜線(/)隔開起始端口,例如10/20。
如果公網端口設置為端口段,則私網端口也需要設置為端口段,且端口段的端口個數相同,例如公網端口設置為10/20,私網端口設置為80/90。
當選擇的公網IP已創建了SNAT條目,且需要設置的公網端口號大于
1024,因SNAT默認分配端口范圍在1025~65535之間,請單擊開啟端口突破并在彈出的對話框單擊確定。警告開啟端口突破操作會導致部分存量SNAT的連接閃斷,重連即可恢復,請您謹慎操作。
私網端口:進行端口轉發的內部端口或端口段。
協議類型:轉發端口的協議類型。
條目名稱
輸入DNAT條目的名稱。
名稱長度為2~128個字符,以大小寫字母或中文開頭, 可包含數字、下劃線(_)和短劃線(-)。
說明在創建DNAT條目后,需在與ECS實例關聯的安全組中添加相應的安全組規則。具體操作,請參見添加安全組規則。
標記公網NAT網關
隨著公網NAT網關實例數量的增多,會加大您對公網NAT網關實例的管理難度。通過標簽將公網NAT網關實例進行分組管理,有助于您搜索和篩選實例。
標簽是您為實例分配的標記,每個標簽都由一對鍵值對(Key-Value)組成。標簽的使用說明如下:
一個公網NAT網關實例的每條標簽的標簽鍵(Key)必須唯一。
不支持未綁定公網NAT網關實例的空標簽存在,標簽必須綁定在實例上。
不同地域中的標簽信息不互通。
例如,在華東1(杭州)地域創建的標簽在華東2(上海)地域不可見。
您可以修改標簽的鍵和值,也可以刪除公網NAT網關實例的標簽。如果刪除公網NAT網關實例,綁定在實例上的標簽也會被刪除。
一個公網NAT網關實例最多可以綁定20條標簽,暫不支持提升配額。
登錄NAT網關管理控制臺。
在頂部菜單欄,選擇公網NAT網關的地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,將鼠標懸停在標簽列的
圖標上,然后在氣泡框單擊添加或編輯。在編輯標簽對話框,根據以下信息配置標簽,然后單擊確定。
配置
說明
標簽鍵
標簽的標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。
標簽鍵最多支持128個字符,不能以
aliyun或acs:開頭,不能包含http://或https://。標簽值
標簽的標簽值,支持選擇已有標簽值或輸入新的標簽值。
標簽值最多支持128個字符,不能以
aliyun或acs:開頭,不能包含http://或https://。返回公網NAT網關頁面,單擊標簽篩選,在標簽篩選對話框根據標簽鍵和標簽值來篩選公網NAT網關實例。
編輯公網NAT網關
登錄NAT網關管理控制臺。
在頂部菜單欄,選擇公網NAT網關的地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,然后在操作列單擊管理。
在基本信息頁簽的基本信息區域,您可以通過以下操作編輯公網NAT網關。
編輯公網NAT網關的名稱
在實例名稱右側單擊編輯,在彈出的對話框中輸入公網NAT網關的名稱,然后單擊確定。
編輯公網NAT網關的描述信息
在描述右側單擊編輯,在彈出的對話框中輸入描述信息,然后單擊確定。
開啟或關閉刪除保護
在刪除保護右側單擊開啟刪除保護或關閉刪除保護。
開啟或關閉ICMP代回能力
在ICMP代回右側單擊開關開啟或關閉。
說明NAT網關默認開啟ICMP代回功能,NAT網關將代回ICMP報文。如通過Ping命令進行探測時,通過NAT網關將會收到正常的回復報文,但這并不能保證后端服務器正常,所以可能會影響您運維監控系統的探測準確性。如果您關閉了ICMP代回能力,NAT網關將不代回ICMP報文,但僅在DNAT配置任意端口映射場景下,NAT網關會將ICMP報文轉發至后端服務器。
切換公網NAT網關模式
當您創建的公網NAT網關不兼容IPv4網關時,您可以通過切換公網NAT網關的模式,將其升級為兼容IPv4網關的公網NAT網關。
將不兼容IPv4網關的公網NAT網關升級為兼容IPv4網關的公網NAT網關功能默認不開放,如需使用,請提交工單申請。
升級過程中網絡連接會出現秒級閃斷。
只支持將不兼容IPv4網關的公網NAT網關升級為兼容IPv4網關的公網NAT網關。
登錄NAT網關管理控制臺。
在頂部菜單欄,選擇公網NAT網關的地域。
在公網NAT網關頁面,找到目標公網NAT網關實例,在操作列選擇
> 兼容IPv4網關。在模式切換向導對話框中,單擊確定。
更多操作
操作 | 說明 |
編輯SNAT條目 |
|
刪除SNAT條目 |
|
編輯DNAT條目 |
|
刪除DNAT條目 |
|
解綁EIP | 請確保要解綁的EIP沒有被任何SNAT條目或DNAT條目占用。如有占用,請先刪除SNAT條目和DNAT條目。
|
刪除公網NAT網關 |
|
相關文檔
CreateNatGateway:創建公網NAT網關實例。
AssociateEipAddress:綁定EIP。
CreateSnatEntry:創建SNAT條目。
CreateForwardEntry:創建DNAT條目。
DeleteSnatEntry:刪除SNAT條目。
DeleteForwardEntry:刪除DNAT條目。
UnassociateEipAddress:解綁EIP。
TagResources:為公網NAT網關添加標簽。
ModifyNatGatewayAttribute:編輯公網NAT網關的基本信息。
DeleteNatGateway:刪除公網NAT網關。