本機資料中心訪問阿里雲NAS（通過NAT Gateway） - Apsara File Storage NAS

一般情況下，NAS檔案系統需要在同帳號、同地區、同VPC下的計算節點中掛載訪問。如果您想在本機資料中心或個人用戶端中掛載NAS，則必須連通NAS所在地區VPC的網路。您可以通過配置NAT Gateway，連通與NAS VPC之間的網路。本文主要介紹如何通過NAT Gateway的設定，實現本機資料中心訪問阿里雲NAS。

背景資訊

對於一個地區（例如華東1杭州）內建立的檔案系統（NFS或者SMB），只支援掛載到同一地區內的ECS上。您在其他地區（例如華北1青島）內的ECS或者本機資料中心的伺服器，無法直接掛載。只有通過建立不同VPC間或者本機資料中心和VPC間的Express Connect才能實現跨地區或者在本機資料中心掛載檔案系統，而部署Express Connect存在高成本問題。

如果已經在本機資料中心部署了VPN網關，推薦使用阿里雲VPN網關來實現本機資料中心與阿里雲NAS之間的網路互連。更多資訊，請參見通過VPN網關實現本機資料中心訪問阿里雲NAS。

如果您只是將少量的本機資料上傳到阿里雲NAS，推薦使用NAT Gateway實現本機資料中心與阿里雲NAS之間的網路互連。

使用NAT Gateway從本機資料中心訪問阿里雲NAS的網路架構如下圖所示。架構圖

優勢：配置簡單
缺點：
- 安全性方面，由於EIP和VPC網路互連，因此任何人都可通過EIP掛載到EIP對應的掛載點。
- 每個EIP+PORT只能映射到一個掛載點。
- 當建立DNAT條目時，如果將連接埠設定為任意連接埠，同時訪問多個掛載點時，需要為每個掛載點建立一個EIP。

（可選）設定白名單

在Apsara File Storage NAS中，許可權組是一個白名單機制。為了確保您的資料訪問安全，您可以通過配置自訂許可權組，為不同的IP地址或網段授予不同的存取權限，以滿足不同的訪問情境。

登入NAS控制台。
建立許可權組。
1. 在左側導覽列，單擊檔案系統 > 許可權組。
2. 在頁面上方，選擇地區。
3. 在許可權組頁面，選擇通用型NAS或者極速型NAS頁簽，單擊建立許可權組。
4. 在建立許可權組對話方塊中，配置相關資訊。
  更多參數說明，請參見重要參數說明。
為許可權組添加規則。
1. 找到剛建立的許可權組，單擊操作列的管理規則，然後單擊添加規則，配置相關規則資訊。
  更多參數說明，請參見管理規則參數說明。
2. 單擊確定。

建立檔案系統和掛載點

登入NAS控制台。
建立檔案系統。具體操作，請參見通過控制台建立通用型NAS檔案系統。
添加專用網路類型掛載點。具體操作，請參見添加掛載點。

配置NAT Gateway

通過以下配置，可在任何一台串連公網的PC上（Windows或Linux系統）掛載NAS，實現檔案的上傳和下載。

登入專用網路控制台。
建立NAT Gateway。具體操作，請參見建立和管理公網NAT Gateway執行個體。
說明
必須與NAS選擇同一VPC。
為NAT Gateway綁定Elastic IP Address。具體操作，請參見申請EIP。

建立DNAT條目。具體操作，請參見建立和管理DNAT條目。

重要參數說明，如下所示。

配置	說明
公網IP地址	建立EIP時產生的公網IP地址。
私網IP地址	檔案系統掛載點的IP地址。您可以在ECS中`ping`檔案系統的掛載點地址擷取IP地址。樣本如下： `ping 0dc404**-**.cn-hangzhou.nas.aliyuncs.com` 有關掛載點地址的資訊，請參見查看掛載點列表。
連接埠設定	具體連接埠：（推薦） NFS檔案系統：公網連接埠：111，2049連接埠。私網連接埠：111，2049連接埠。協議類型：TCP協議。 SMB檔案系統：公網連接埠：4456連接埠。私網連接埠：445連接埠。協議類型：TCP協議。任意連接埠：（不推薦）任何訪問EIP的請求都會轉寄到目標NAS上，建議指定具體連接埠。

掛載檔案系統

NFS協議檔案系統

安裝NFS用戶端。具體操作，請參見安裝NFS用戶端。
如果已安裝，請跳過此步驟，執行掛載NFS檔案系統。
掛載NFS檔案系統。更多掛載命令參數，請參見參數說明。
```
mount -t nfs4 100.10.xx.xx:/ /mnt
```
- 100.10.xx.xx為建立EIP時產生的公網IP地址，請根據實際情況替換。
- /mnt為掛載的目標地址，請根據實際情況替換。

SMB協議檔案系統

啟動Workstation服務和TCP/IP NetBIOS Helper服務。具體操作，請參見開啟Workstation和TCP/IP NetBIOS Helper服務。
檢查本地445連接埠是否被佔用。
- 執行命令
```
netstat -ano | findstr ":445"
```
- 如果返回如下類似資訊，則表示本地445連接埠被佔用。
```
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    [::]:445               [::]:0                 LISTENING       4
```
  其中，4為佔用445連接埠的程式的PID。
如果本地445連接埠被佔用，請在命令提示字元中執行以下命令，或使用快速鍵Win+R，輸入services.msc進入本地服務，查看Server服務的狀態。
```
sc query LanmanServer
```
- 如果Server服務狀態為運行中（RUNNING），請在命令提示字元中執行以下命令，或使用快速鍵Win+R，輸入services.msc進入本地服務，停止並禁用Server服務。然後重啟伺服器，並確認445連接埠不再被佔用。
```
net stop LanmanServer && sc config LanmanServer start= disabled
```
- 如果Server服務狀態為停止（STOPPED），或重啟伺服器後445連接埠依然被佔用，您可以執行以下命令，查看佔用445連接埠的程式。在確認該程式可以停止後，終止該程式，然後重啟伺服器。
```
tasklist /FI "PID eq 4"
```
  其中，4為執行netstat -ano | findstr ":445"返回資訊中的PID，請根據實際值替換。
配置本地連接埠轉寄
SMB協議預設的445連接埠為高危連接埠，網路電訊廠商（ISP）預設會關閉。如果本機資料中心通過NAT公網訪問NAS，則需要在本地做連接埠轉寄。
本地通過netsh（Windows用戶端）將本地445連接埠轉寄至非445連接埠（4456）。
```
netsh interface portproxy add v4tov4 listenaddress=192.168.xx.xx listenport=445 connectaddress=100.10.xx.xx connectport=4456
```
其中，192.168.xx.xx為本機伺服器IP地址，100.10.xx.xx為建立EIP時產生的公網IP地址，請根據實際值替換。本機伺服器IP地址也可以使用127.0.0.1。
說明
如果DNAT條目公網連接埠為445連接埠或連接埠為任意連接埠時，無需配置本地連接埠轉寄，直接使用EIP公網地址掛載即可。
掛載SMB協議檔案系統。具體操作，請參見掛載SMB協議檔案系統。
```
net use D: \\192.168.xx.xx\myshare
```
- D為當前Windows系統上要掛載的目標盤符，請根據實際值替換。
- 192.168.xx.xx為本機伺服器IP地址，也可以使用127.0.0.1，請根據實際情況替換。
- myshare為SMB的共用名稱，不允許變更。

驗證掛載結果

NFS協議檔案系統

執行mount -l命令，顯示如下內容，則表示掛載成功。掛載成功後，您可以進行讀寫操作。

SMB協議檔案系統

在檔案管理工具中，可以訪問SMB檔案系統，則表示掛載成功。掛載成功後，您可以進行讀寫操作。

說明

如果未發現掛載的盤符，您可以在檔案管理工具中，輸入\\192.168.xx.xx\myshare進行訪問。其中192.168.xx.xx為本機伺服器IP地址，請根據實際值替換。

掛載結果

NAT Gateway方案和VPN網關方案的對比

使用NAT與使用VPN的優缺點對比如下所示。

對比項	NAT Gateway方案	VPN網關方案
配置	簡單，完全在阿里雲控制台完成	複雜，需要在阿里雲控制台配置VPN網關，還需要在本機資料中心配置使用者側VPN網關
安全性	差	好
靈活性	受限，一個EIP只能映射到一個NAS掛載點	好，可以同時訪問所有的NAS掛載點
適合情境	臨時，少量資料上傳下載	使用者線下環境和阿里雲NAS長期的連通