本文指導您配置公網NAT Gateway的SNAT條目,實現無公網IP的Elastic Compute Service (ECS)執行個體通過公網NAT Gateway訪問互連網。
情境樣本
本文以下圖情境為例。某公司在阿里雲建立了Virtual Private Cloud(Virtual Private Cloud)和交換器,交換器中建立了多個ECS執行個體。ECS執行個體均未分配固定公網IP,也未綁定Elastic IP Address(Elastic IP Address,簡稱EIP)。現因公司業務發展,每台ECS執行個體都需要訪問互連網。
您可以通過公網NAT Gateway的SNAT功能,配置SNAT條目,使得VPC內無公網IP的ECS執行個體可以通過公網NAT Gateway綁定的EIP訪問互連網。
前提條件
您已經建立了VPC和2個交換器,且交換器中已經建立了ECS執行個體。具體操作,請參見搭建IPv4專用網路。
請確保已建立的VPC滿足以下條件:
VPC中不存在目標網段為0.0.0.0/0的自訂路由。如果存在,請刪除該路由條目。
如果您使用的是RAM使用者(子帳號),請確保其具備訪問VPC的許可權。否則,請聯絡阿里雲帳號(主帳號)進行授權。
使用限制
一個公網NAT Gateway預設支援建立40條SNAT條目。
關於SNAT功能的更多相關問題,請參見SNAT功能FAQ。
配置步驟
步驟一:建立公網NAT Gateway
- 登入NAT Gateway管理主控台。
- 在公網NAT Gateway頁面,單擊建立NAT Gateway。
首次使用NAT Gateway時,在建立公網NAT Gateway頁面關聯角色建立地區,單擊建立關聯角色。角色建立成功後即可建立NAT Gateway。
關於NAT Gateway服務關聯角色的更多資訊,請參見服務關聯角色。
在建立公網NAT Gateway頁面,配置以下購買資訊,然後單擊立即購買。
配置
說明
付費模式
預設選擇為隨用隨付,即一種先使用後付費的付費模式。更多資訊,請參見公網NAT Gateway計費。
資源群組
選擇VPC所屬的資源群組。更多資訊,請參見資源群組概述。
標籤
標籤鍵:選擇或輸入完整的標籤鍵。
最多支援輸入20個標籤鍵。一個標籤鍵最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。
標籤值:選擇或輸入完整的標籤值。
最多支援輸入20個標籤值。一個標籤值最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。
所屬地區
選擇需要建立公網NAT Gateway的地區。
所屬專用網路
選擇公網NAT Gateway所屬的VPC。建立後,不能修改公網NAT Gateway所屬的VPC。
關聯交換器
選擇公網NAT Gateway執行個體所屬的交換器。
計費類型
預設選擇為按使用量計費,即按公網NAT Gateway實際使用量收費。更多資訊,請參見公網NAT Gateway計費。
計費周期
預設選擇為按小時,即按使用量計費公網NAT Gateway的計費周期為1小時,不足1小時按1小時計算。
執行個體名稱
設定公網NAT Gateway執行個體的名稱。
執行個體名稱長度為2~128個字元,以英文大小寫字母或中文開頭,可包含數字、底線(_)和短劃線(-)。
訪問模式
選擇公網NAT Gateway的訪問模式。支援以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT Gateway建立成功後當前VPC內所有執行個體即可通過該公網NAT Gateway訪問公網。
選擇VPC全通模式(SNAT)後,您需要配置Elastic IP Address(Elastic IP Address,簡稱EIP)的相關資訊。
稍後配置:如需稍後配置或有更多配置需求,可在購買完成後,前往控制台進行配置。
選擇稍後配置,則只購買公網NAT Gateway執行個體。
本文選擇稍後配置。
在確認訂單頁面確認公網NAT Gateway的配置資訊,選中服務合約並單擊確認訂單。
當出現恭喜,購買成功!的提示後,說明您建立成功。
建立成功後,您可以在公網NAT Gateway頁面查看已建立的公網NAT Gateway執行個體。
步驟二:綁定EIP
公網NAT Gateway作為一個網關裝置,需要綁定EIP才能正常工作。建立公網NAT Gateway後,您可以為其綁定EIP。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在Elastic IP Address列單擊立即綁定。
在綁定Elastic IP Address對話方塊,配置以下參數,然後單擊確定。
配置
說明
所在資源群組
選擇EIP所在的資源群組。
選擇Elastic IP Address
要綁定到公網NAT Gateway的EIP。
本文以選擇新購Elastic IP Address並綁定為例。系統會為您建立1個按使用流量計費的隨用隨付EIP,並綁定到公網NAT Gateway。
綁定成功後,在公網NAT Gateway執行個體的Elastic IP Address列將會顯示出綁定的EIP。
步驟三:建立SNAT條目
您可以通過公網NAT Gateway的SNAT功能,建立SNAT條目,使得VPC內無公網IP的ECS執行個體可以通過公網NAT Gateway的EIP訪問公網。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT。
在SNAT管理頁簽,單擊建立SNAT條目。
在建立SNAT條目頁面,配置以下參數,然後單擊確定建立。
配置
說明
SNAT條目粒度
選擇SNAT條目的粒度。本文以選擇交換器粒度為例:指定交換器下的ECS執行個體通過配置的公網IP訪問公網。
選擇交換器:在下拉式清單中選擇交換器。
說明如您選擇多個交換器,將會為您建立多條SNAT條目,使用相同的公網IP地址。
交換器網段:選擇後顯示交換器的網段。
選擇公網IP地址
選擇用來提供公網訪問的公網IP。本文以選擇使用單IP為例,在下拉式清單中選擇步驟二中綁定至公網NAT Gateway的EIP。
條目名稱
輸入SNAT條目的名稱。
建立成功後,在SNAT條目列表地區查看配置的SNAT條目。
步驟四:添加路由條目
為VPC路由表添加指向公網NAT Gateway的自訂路由條目。
當ECS執行個體所屬交換器綁定自訂路由表時:您需手動設定指向公網NAT Gateway的路由條目。
當ECS執行個體所屬交換器綁定系統路由表時:
若系統路由表中不存在0.0.0.0/0的路由條目,在建立公網NAT Gateway後,系統將自動設定指向該公網NAT Gateway的路由條目。因此,您可以跳過本步驟。
若系統路由表中存在0.0.0.0/0的路由條目,在建立公網NAT Gateway後,需首先刪除現有的路由條目,隨後再添加指向公網NAT Gateway的路由條目。
登入專用網路管理主控台。
在左側導覽列,單擊路由表。
在頂部功能表列,選擇路由表所屬的地區。
在路由表頁面,找到目標路由表,單擊路由表的ID。
在路由表詳情頁面,選擇
,然後單擊添加路由條目。在添加路由條目面板,根據以下資訊配置路由條目,然後單擊確定。
配置
說明
名稱
輸入自訂路由條目的名稱。
資源群組
選擇下一跳所屬的資源群組。
目標網段
輸入要轉寄到的目標網段。
本教程選擇IPv4網段,然後輸入0.0.0.0/0。
下一跳類型
在下拉式清單中選擇NAT Gateway。
NAT Gateway
選擇建立的公網NAT Gateway執行個體。
描述
輸入自訂路由條目的描述資訊。
步驟五:測試連通性
SNAT條目配置成功後,您可以測試ECS執行個體的網路連通性。本文以Linux系統為例,測試ECS執行個體的連通性。
請確保ECS執行個體的安全性群組規則允許ECS執行個體訪問公網,安全性群組的配置規則請參見安全性群組概述。
登入交換器下的任意一台ECS執行個體。具體操作,請參見ECS串連方式概述。
執行
ping
命令,ping www.aliyun.com
測試網路連通性。如果能接收到類似以下回複報文,表示串連成功。
經測試,ECS執行個體可以訪問公網。