全部產品
Search
文件中心

NAT Gateway:建立和管理VPC NAT Gateway執行個體

更新時間:Aug 03, 2024

VPC NAT Gateway可以實現私網IP地址轉換功能。通過使用VPC NAT Gateway,可以滿足地址衝突時網路互訪和指定IP地址訪問的訴求。

前提條件

建立VPC NAT Gateway

  1. 登入NAT Gateway管理主控台
  2. 在左側導覽列,選擇NAT Gateway > VPC NAT Gateway
  3. VPC NAT Gateway頁面,單擊建立VPC NAT Gateway
  4. VPC NAT Gateway(隨用隨付)頁面,配置以下參數資訊,然後單擊立即購買

    參數

    說明

    地區

    選擇需要建立VPC NAT Gateway執行個體的地區。

    VPC ID

    選擇VPC NAT Gateway執行個體所屬的VPC。建立VPC NAT Gateway執行個體後,不能修改其所屬的VPC。

    可用性區域

    選擇VPC NAT Gateway執行個體所屬的可用性區域。

    交換器ID

    選擇VPC NAT Gateway執行個體所屬的交換器,建議選擇獨立的交換器。

    執行個體名稱

    設定VPC NAT Gateway執行個體的名稱。

    服務關聯角色

    顯示是否已有VPC NAT Gateway的服務關聯角色。

    首次使用NAT Gateway(包含公網NAT Gateway和VPC NAT Gateway),需要單擊建立服務關聯角色完成建立。

  5. 確認訂單頁面,確認參數配置資訊並選中服務合約,然後單擊立即開通

    當出現恭喜,開通成功!的提示後,說明您建立成功。

  6. 返回VPC NAT Gateway頁面,查看已建立的VPC NAT Gateway。

    • 單擊VPC NAT Gateway的執行個體ID,在基本資料頁簽,查看VPC NAT Gateway的VPC、交換器等資訊。

    • 單擊NAT IP頁簽,查看預設NAT IP位址區段和預設NAT IP地址。

      說明

      預設NAT IP位址區段為該VPC NAT Gateway所屬交換器的網段,預設NAT IP地址為系統在交換器網段中隨機分配的一個IP地址。預設NAT IP位址區段和預設NAT IP地址均不能刪除。

建立NAT IP位址區段

成功建立VPC NAT Gateway後,系統會使用VPC NAT Gateway所屬交換器的網段作為預設NAT IP位址區段供您使用。您也可以為VPC NAT Gateway建立NAT IP位址區段,滿足更多需求。

  1. 登入NAT Gateway管理主控台
  2. 在左側導覽列,選擇NAT Gateway > VPC NAT Gateway
  3. 在頂部功能表列,選擇VPC NAT Gateway的地區。
  4. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體,單擊VPC NAT Gateway的執行個體ID。
  5. 單擊NAT IP頁簽,再單擊建立位址區段

  6. 建立位址區段對話方塊,輸入位址區段名稱位址區段,然後單擊確定

    建立的位址區段必須滿足以下條件:

    • 屬於10.0.0.0/8、172.16.0.0/12或192.168.0.0/16網段及其子網。

    • 支援的子網路遮罩位元範圍為16至32位。

    • 不能與VPC NAT Gateway所屬VPC的私網網段重疊。如果您需要將私網地址轉換為VPC私網網段內的其他地址,請在對應的VPC私網網段內建立交換器,然後在該交換器中建立新的VPC NAT Gateway提供私網地址轉換服務。

    • 支援使用VPC NAT Gateway所屬VPC的使用者網段作為NAT IP位址區段。關於使用者網段的更多資訊,請參見什麼是使用者網段?

    當出現位址區段添加成功!提示後,說明位址區段建立成功。

添加NAT IP地址

NAT IP地址可以用來建立SNAT條目或DNAT條目。為了滿足更多的需求,您可以在NAT IP位址區段中添加NAT IP地址,增加VPC NAT Gateway用於地址轉換的私網IP地址。

  1. 登入NAT Gateway管理主控台
  2. 在左側導覽列,選擇NAT Gateway > VPC NAT Gateway
  3. 在頂部功能表列,選擇VPC NAT Gateway的地區。
  4. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體,單擊VPC NAT Gateway的執行個體ID。
  5. 單擊NAT IP頁簽,單擊添加NAT IP

  6. 添加NAT IP對話方塊,配置以下參數資訊,然後單擊確定添加

    參數

    說明

    選擇位址區段

    選擇需要添加NAT IP地址的位址區段。

    您可以選擇VPC NAT Gateway下任意的NAT IP位址區段或者建立NAT IP位址區段。

    分配方式

    選擇NAT IP地址的分配方式。

    • 隨機分配IP:系統會在所選位址區段中隨機分配一個IP地址。

    • 手動分配IP:您可以在所選位址區段中指定一個IP地址。

    IP地址

    輸入所選位址區段中的一個IP地址。當分配方式選擇為手動分配IP時,需要配置該參數。

    NAT IP名稱

    輸入NAT IP的名稱。

建立SNAT條目

通過建立SNAT條目,使VPC中的資源通過NAT IP地址訪問其他VPC或IDC網路。

  1. 登入NAT Gateway管理主控台
  2. 在左側導覽列,選擇NAT Gateway > VPC NAT Gateway
  3. 在頂部功能表列,選擇VPC NAT Gateway的地區。
  4. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體,然後在操作列單擊SNAT管理
  5. SNAT管理頁簽,單擊建立SNAT條目
  6. 建立SNAT條目頁面,配置以下參數資訊,然後單擊確定建立

    參數

    說明

    SNAT條目粒度

    選擇SNAT條目的粒度。

    • VPC粒度:VPC NAT Gateway所屬VPC下的所有位址區段可以通過配置的SNAT規則訪問外部私網。

    • 交換器粒度:指定交換器下的ECS執行個體通過配置的SNAT規則訪問外部私網。

      • 選擇交換器:在下拉式清單中選擇交換器。您可以在下拉式清單選擇已建立的交換器;也可以單擊建立交換器跳轉到VPC控制台建立交換器後選擇。

        如果您選擇多個交換器,將會為您建立多條SNAT條目,使用相同的NAT IP地址。

      • 交換器網段:顯示所選交換器的網段。

    • ECS粒度:指定的ECS執行個體通過配置的SNAT規則訪問外部私網。

      • 選擇ECS:在下拉式清單中選擇ECS。該ECS執行個體將通過配置的SNAT規則訪問外部私網。請確保ECS執行個體處於正常運行中。您可以在下拉式清單選擇已建立的ECS執行個體;也可以單擊建立ECS跳轉到ECS控制台建立ECS執行個體後選擇。如果您選擇多個ECS執行個體,將會為您建立多條SNAT條目,使用相同的NAT IP地址。

      • ECS網段:顯示所選ECS執行個體的網段。

    • 自訂網段粒度:您可以在自訂網段配置任意網段。任意網段內的ECS執行個體都可以通過配置的SNAT規則訪問外部私網。

    選擇NAT IP地址

    在下拉式清單中選擇一個或多個用來訪問外部私網的NAT IP地址。

    說明

    您也可以在下拉式清單單擊建立NAT IP,在添加NAT IP對話方塊中完成操作。

    NAT IP親和性

    當您選擇多個NAT IP地址時,您可以選擇是否開啟EIP親和效能力。

    預設情況下同一個私網IP訪問單一目的IP可能使用不同的NAT IP。但當您開啟親和效能力後,同一個私網IP訪問單一目的IP時只會使用相同的NAT IP。

    條目名稱

    SNAT條目的名稱。

    名稱長度為2~128個字元,以大小寫字母或中文開頭, 可包含數字、底線(_)和短劃線(-)。

建立DNAT條目

通過建立DNAT條目,將VPC NAT Gateway上的NAT IP地址映射給VPC內的ECS執行個體使用,使ECS執行個體可以對外部私網提供服務。

  1. 登入NAT Gateway管理主控台
  2. 在左側導覽列,選擇NAT Gateway > VPC NAT Gateway
  3. 在頂部功能表列,選擇VPC NAT Gateway的地區。
  4. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體,然後在操作列單擊DNAT管理
  5. DNAT管理頁簽,單擊建立DNAT條目
  6. 建立DNAT條目頁面,配置以下參數,然後單擊確定建立

    配置

    說明

    選擇NAT IP地址

    選擇供外部私網訪問的NAT IP地址。

    說明

    VPC NAT Gateway支援將一個NAT IP地址同時用於DNAT條目(連接埠映射方式)和SNAT條目。

    選擇私網IP地址

    選擇要通過DNAT規則進行通訊的私網IP地址。您可以通過以下兩種方式指定私網IP地址。

    • 通過ECS或彈性網卡進行選擇:從ECS執行個體或彈性網卡列表中選擇私網IP地址。

    • 通過手動輸入:輸入目標私網IP地址。

    連接埠設定

    選擇DNAT映射的方式,DNAT支援連接埠映射和IP映射兩種方式。

    • 任意連接埠:該方式屬於IP映射,任何訪問該NAT IP地址的請求都將轉寄到目標ECS執行個體上,目標ECS執行個體也可以使用該NAT IP地址主動訪問外部私網。

      說明
      • DNAT條目中配置了IP映射方式的NAT IP地址不能再被其他DNAT條目或SNAT條目使用。

      • 如果NAT Gateway既配置了DNAT IP映射方式,又配置了SNAT條目,則ECS執行個體會優先通過DNAT IP映射方式的NAT IP地址訪問外部私網。

    • 具體連接埠:該方式屬於連接埠映射,VPC NAT Gateway會將以指定協議和連接埠訪問該NAT IP地址的請求轉寄到目標ECS執行個體的指定連接埠上。

      選擇具體連接埠後,請根據業務需求設定以下參數。

      • 前端連接埠:NAT IP地址被外部私網訪問的連接埠。

        當選擇的NAT IP已建立了SNAT條目,且需要設定的連接埠號碼大於1024,因SNAT預設分配連接埠範圍在1025~65535之間,請單擊開啟連接埠突破並在彈出的對話方塊單擊確定

        警告

        開啟連接埠突破操作會導致部分存量SNAT的串連閃斷,重連即可恢複,請您謹慎操作。

      • 後端連接埠:映射的目標ECS執行個體連接埠。輸入的連接埠範圍需要在1~65535之間。

      • 協議類型:轉送連接埠的協議類型。

    條目名稱

    輸入DNAT條目的名稱。

    名稱長度為2~128個字元,以大小寫字母或中文開頭, 可包含數字、底線(_)和短劃線(-),不能以http://或https://開頭。

配置路由

您需要參考以下操作配置路由來管理網路流量。

  • 使用預設NAT IP位址區段作為VPC NAT Gateway的私網轉換位址區段。

    • 在VPC NAT Gateway所在VPC的系統路由表中添加目標網段為對端網段,下一跳指向VPC NAT Gateway的自訂路由條目。具體操作,請參見建立和管理路由表

    • 為VPC NAT Gateway所在交換器自訂一張路由表,然後在自訂路由表中查看是否學習到對端網段的動態路由條目(例如,從CEN學習到的動態路由)。

      • 如果已經學習到對端網段的動態路由條目,則不需要手動添加指向對端網路的自訂路由條目。

      • 如果沒有學習到對端網段的動態路由條目,則需要手動添加目標網段為對端網段,下一跳指向對端裝置(例如VBR、CEN等)的自訂路由條目。具體操作,請參見子網路由

  • 使用自訂NAT IP位址區段作為VPC NAT Gateway的私網轉換位址區段。

    • 在VPC NAT Gateway所在VPC的系統路由表中添加目標網段為自訂NAT IP位址區段,下一跳指向VPC NAT Gateway的自訂路由條目。

    • 在VPC NAT Gateway所在VPC的系統路由表中添加目標網段為對端網段,下一跳指向VPC NAT Gateway的自訂路由條目。

    • 為VPC NAT Gateway所在交換器自訂一張路由表,並添加目標網段為對端網段,下一跳指向對端裝置(例如,路由器介面、轉寄路由器)的自訂路由條目。

    • 使用自訂NAT IP位址區段與雲下資源或雲上其他VPC資源互訪時,需要使用企業版轉寄路由器組網。關於企業版轉寄路由器的更多資訊,請參見轉寄路由器工作原理建立轉寄路由器

更多操作

操作

說明

編輯SNAT條目

  1. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體。

  2. 操作列單擊SNAT管理

  3. SNAT條目列表地區,找到目標SNAT條目,然後在操作列單擊編輯

  4. 編輯SNAT條目頁面,修改SNAT條目的NAT IP地址、NAT IP親和效能力或名稱,然後單擊確定修改

刪除SNAT條目

  1. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體。

  2. 操作列單擊SNAT管理

  3. SNAT條目列表地區,找到目標SNAT條目,然後在操作列單擊刪除

  4. 刪除SNAT條目對話方塊,單擊確定

編輯DNAT條目

  1. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體。

  2. 操作列單擊DNAT管理

  3. DNAT條目列表地區,找到目標DNAT條目,然後在操作列單擊編輯

  4. 編輯DNAT條目頁面,修改DNAT條目的NAT IP地址、私網IP地址、連接埠或名稱,然後單擊確定修改

刪除DNAT條目

  1. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體。

  2. 操作列單擊DNAT管理

  3. DNAT條目列表地區,找到目標DNAT條目,然後在操作列單擊刪除

  4. 刪除DNAT條目對話方塊,單擊確定

編輯VPC NAT Gateway

  1. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體。

  2. 單擊VPC NAT Gateway的執行個體ID。

  3. 基本資料頁簽,單擊執行個體名稱右側的編輯,在彈出的對話方塊中輸入要修改的名稱,然後單擊確定

  4. 單擊描述右側的編輯,在彈出的對話方塊中輸入要修改的描述資訊,然後單擊確定

刪除NAT IP和位址區段

您可以刪除不再使用的自訂位址區段和其中的NAT IP地址。刪除自訂位址區段前需要先刪除該位址區段中的NAT IP地址。預設位址區段中自訂的NAT IP地址可以刪除,預設NAT IP地址和位址區段無法刪除。

  1. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體。

  2. 單擊VPC NAT Gateway的執行個體ID。

  3. 單擊NAT IP頁簽,在頁面左側位址區段列表處單擊需要刪除的NAT IP地址的位址區段,然後在NAT IP列表地區,執行刪除操作。

    • 選中一個NAT IP地址,然後在操作列單擊刪除

    • 選中多個NAT IP地址,然後在頁面下方單擊刪除

  4. 刪除NAT IP對話方塊,單擊確定

  5. 單擊需要刪除的位址區段右側刪除表徵圖。

  6. 刪除位址區段對話方塊,單擊確定

刪除VPC NAT Gateway

  1. VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體。

  2. 操作列選擇更多操作 > 刪除

  3. 刪除網關對話方塊,單擊確定

    說明

    VPC NAT Gateway支援強制移除功能。選擇強制移除時,系統會同時刪除VPC NAT Gateway執行個體及其資源,您無需提前刪除該VPC NAT Gateway下的SNAT條目、DNAT條目、自訂NAT IP地址和自訂NAT IP位址區段。

相關文檔