全部產品
Search
文件中心

NAT Gateway:為設定了DNAT IP映射的ECS執行個體統一公網出口IP

更新時間:Jul 18, 2024

通過統一ECS執行個體的公網出口IP,有利於您更高效的管理互連網業務。本文為您介紹如何為設定了DNAT IP映射的ECS執行個體統一公網出口IP。

前提條件

設定了DNAT IP映射的ECS執行個體所在的VPC已經配置了SNAT功能。詳細資料,請參見建立和管理SNAT條目

背景資訊

NAT Gateway提供SNAT功能,為VPC內無公網IP的ECS執行個體提供訪問互連網的代理服務。如果VPC內某些ECS執行個體已經設定了DNAT IP映射(IP映射即所有連接埠映射),這些ECS執行個體會優先通過DNAT條目中的公網IP訪問互連網,而VPC內的其他ECS執行個體通過NAT Gateway的SNAT功能代理訪問互連網,造成VPC內ECS執行個體的公網出口IP不一致,不利於統一管理業務。

您可以通過為ECS執行個體綁定彈性網卡來解決ECS執行個體公網出口IP不統一的問題。

如下圖,您可以為ECS執行個體單獨分配一塊彈性網卡,然後移除NAT Gateway中的DNAT IP映射條目並建立新的DNAT條目,建立NAT Gateway上的公網IP與彈性網卡的映射關係,這樣來自互連網的訪問流量會經過彈性網卡到達ECS執行個體,當ECS執行個體需要訪問互連網時會通過NAT Gateway進行轉寄。

步驟一:建立彈性網卡

  1. 登入ECS管理主控台

  2. 在左側導覽列,選擇網路與安全 > 彈性網卡

  3. 選擇彈性網卡的地區。

    說明

    彈性網卡的地區必須與ECS執行個體的地區相同。

  4. 彈性網卡頁面,單擊建立彈性網卡

  5. 建立彈性網卡頁面,根據以下資訊配置彈性網卡,然後單擊建立網卡

    以下為您列舉強相關參數,更多資訊,請參見建立輔助彈性網卡

    配置

    說明

    彈性網卡名稱

    輸入彈性網卡的名稱。

    專用網路

    選擇ECS執行個體所在的專用網路。

    交換器

    選擇ECS執行個體所在可用性區域的交換器。

    安全性群組

    選擇當前專用網路的一個安全性群組。

    主私網IP(可選)

    輸入彈性網卡的主私網IPv4地址。此IPv4地址必須屬於交換器的CIDR網段中的空閑地址。如果您沒有指定,建立彈性網卡時將自動為您分配一個閒置私網IPv4地址。本文不指定主私網IP。

    輔助私網IPv4(可選)

    單擊相應選項進行設定。本文選擇暫不分配

步驟二:將彈性網卡綁定到ECS執行個體

  1. 登入Elastic Compute Service管理主控台

  2. 在左側導覽列中,選擇網路與安全 > 彈性網卡

  3. 在頂部狀態列處,選擇彈性網卡的地區。

  4. 彈性網卡頁面,找到目標彈性網卡,然後在操作列單擊綁定執行個體

  5. 在彈出的對話方塊中,選擇要綁定的ECS執行個體,然後單擊確定

步驟三:刪除DNAT IP映射

  1. 登入NAT Gateway管理主控台

  2. 選擇NAT Gateway的地區。

  3. NAT Gateway頁面,找到目標NAT Gateway執行個體,單擊操作列下的設定DNAT

  4. DNAT管理頁簽,找到目標DNAT條目,單擊操作列下的刪除

  5. 在彈出的對話方塊中,單擊確定

步驟四:建立DNAT條目

完成以下操作,建立DNAT條目,建立NAT Gateway上的公網IP與彈性網卡的映射關係。

  1. 登入NAT Gateway管理主控台

  2. NAT Gateway頁面,找到目標NAT Gateway執行個體,單擊操作列下的設定DNAT

  3. DNAT管理頁簽,單擊建立DNAT條目

  4. 建立DNAT條目頁面,根據以下資訊配置DNAT條目,然後單擊確定建立

    配置

    說明

    選擇公網IP地址

    選擇要提供互連網通訊的Elastic IP Address。

    選擇私網IP地址

    選擇要通過DNAT規則進行公網通訊的執行個體的IP。本文選擇通過ECS或彈性網卡進行選擇的方式。

    連接埠設定

    選擇DNAT映射方式。本文選擇任意連接埠

    條目名稱

    輸入DNAT條目的名稱。

步驟五:測試網路連通性

完成以下操作,測試互連網是否可以通過彈性網卡綁定的EIP訪問ECS執行個體。本文以本地Linux裝置遠端連線ECS執行個體為例。

說明

遠端連線ECS執行個體,請確認ECS執行個體的安全性群組已允許存取SSH(22)連接埠。更多資訊,請參見添加安全性群組規則

  1. 登入本地Linux裝置。

  2. 執行ssh <your username>@公網IP命令,然後輸入ECS執行個體的登入密碼,查看是否可以遠端連線到執行個體。若介面上出現以下回顯資訊,表示您已經成功串連到執行個體。

    Welcome to Alibaba Cloud Elastic Compute Service!

    執行個體1

完成以下操作,測試ECS執行個體是否可以通過NAT Gateway的SNAT功能主動訪問互連網。本操作以在ECS執行個體上查看公網出口IP為例。

  1. 登入ECS執行個體。

  2. 執行curl https://myip.ipip.net查看公網出口IP。若公網出口IP與NAT GatewaySNAT條目中的IP一致,即ECS執行個體優先通過NAT Gateway的SNAT功能主動訪問互連網。執行個體2