公網NAT Gateway是一款阿里雲全託管的網路位址轉譯網關,通過轉換和隱藏雲端服務地址,防止地址直接暴露,實現安全訪問互連網提升網路安全性。
背景資訊
為了提升配置體驗,公網NAT Gateway支援組合購買EIP,即在建立公網NAT Gateway時,支援同時購買EIP執行個體或選擇已有的EIP執行個體綁定至該公網NAT Gateway執行個體上。具體操作,請參見VPC全通模式組合購買公網NAT Gateway和Elastic IP Address。
本文以非VPC全通模式介紹建立和管理公網NAT Gateway的方法。
為了提升建立體驗,在VPC內建立第一個公網NAT Gateway時,阿里雲會在VPC的系統路由表中自動添加一條目標網段為0.0.0.0/0,下一跳為公網NAT Gateway的路由條目,用於將流量路由到公網NAT Gateway。若VPC存在自訂路由表或VPC存在多個公網NAT Gateway,請根據需要手動添加路由。具體操作,請參見建立和管理路由表。
若建立公網NAT Gateway前,VPC的系統路由表中已經存在目標網段為0.0.0.0/0的路由條目,系統不會自動添加指向公網NAT Gateway的路由條目。
如果ECS執行個體已經持有了公網IP,例如分配了固定公網IP、綁定Elastic IP Address(Elastic IP Address,簡稱EIP)或設定了DNAT IP映射,當該ECS執行個體發起互連網訪問時,會優先通過ECS執行個體持有的公網IP訪問互連網,而不會使用公網NAT Gateway的SNAT功能訪問互連網。如需統一公網出口IP,請參見為已指派固定公網IP的ECS執行個體統一公網出口IP和為設定了DNAT IP映射的ECS執行個體統一公網出口IP。
當多條SNAT條目的源網段重疊時,系統會根據最長子網路遮罩匹配規則確定優先為哪一條SNAT條目提供互連網代理服務。
使用ECS粒度配置的SNAT條目中源網段的子網路遮罩為
/32,長度最長,優先順序最高,優先匹配。使用其他粒度配置的SNAT條目會根據源網段的子網路遮罩長度進行匹配,長度越長,優先順序越高,越先匹配。
如果您的ECS執行個體已經綁定了Elastic IP Address (EIP),則不支援為該ECS執行個體添加DNAT條目。如需為該ECS執行個體添加DNAT條目,請先將ECS執行個體與EIP解除綁定,再為該ECS執行個體添加DNAT條目。關於如何解除綁定EIP,請參見將EIP與雲資源解除綁定。
前提條件
您已經建立了VPC和交換器。具體操作,請參見搭建IPv4專用網路。
您已經建立了Elastic IP Address執行個體。具體操作,請參見申請EIP。
建立公網NAT Gateway
- 登入NAT Gateway管理主控台。
- 在公網NAT Gateway頁面,單擊建立NAT Gateway。
首次使用NAT Gateway時,在建立公網NAT Gateway頁面關聯角色建立地區,單擊建立關聯角色。角色建立成功後即可建立NAT Gateway。
關於NAT Gateway服務關聯角色的更多資訊,請參見服務關聯角色。在建立公網NAT Gateway頁面,配置以下購買資訊,然後單擊立即購買。
配置
說明
付費模式
預設選擇為隨用隨付,即一種先使用後付費的付費模式。更多資訊,請參見公網NAT Gateway計費。
資源群組
選擇VPC所屬的資源群組。更多資訊,請參見資源群組概述。
標籤
標籤鍵:選擇或輸入完整的標籤鍵。
最多支援輸入20個標籤鍵。一個標籤鍵最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。
標籤值:選擇或輸入完整的標籤值。
最多支援輸入20個標籤值。一個標籤值最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。
所屬地區
選擇需要建立公網NAT Gateway的地區。
所屬專用網路
選擇公網NAT Gateway所屬的VPC。建立後,不能修改公網NAT Gateway所屬的VPC。
關聯交換器
選擇公網NAT Gateway執行個體所屬的交換器。
計費類型
預設選擇為按使用量計費,即按公網NAT Gateway實際使用量收費。更多資訊,請參見公網NAT Gateway計費。
計費周期
預設選擇為按小時,即按使用量計費公網NAT Gateway的計費周期為1小時,不足1小時按1小時計算。
執行個體名稱
設定公網NAT Gateway執行個體的名稱。
執行個體名稱長度為2~128個字元,以英文大小寫字母或中文開頭,可包含數字、底線(_)和短劃線(-)。
訪問模式
選擇公網NAT Gateway的訪問模式。支援以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT Gateway建立成功後當前VPC內所有執行個體即可通過該公網NAT Gateway訪問公網。
選擇VPC全通模式(SNAT)後,您需要配置Elastic IP Address(Elastic IP Address,簡稱EIP)的相關資訊。
稍後配置:如需稍後配置或有更多配置需求,可在購買完成後,前往控制台進行配置。
選擇稍後配置,則只購買公網NAT Gateway執行個體。
本文選擇稍後配置。
在確認訂單頁面確認公網NAT Gateway的配置資訊,選中服務合約並單擊確認訂單。
當出現恭喜,購買成功!的提示後,說明您建立成功。
綁定EIP
從2022年09月19日起,新建立的公網NAT Gateway綁定一個EIP時將佔用NAT Gateway所在交換器的一個私網IP(已有NAT Gateway執行個體不受影響),請確保NAT Gateway所在交換器內私網IP地址充足,如果NAT Gateway所在的交換器沒有可用的空閑私網地址,將無法綁定新的EIP。
公網NAT Gateway需要綁定EIP才能正常工作。一個公網NAT Gateway最多可綁定20個EIP。您可以前往配額管理頁面自助提升配額。綁定EIP前,請確保您已經建立了公網NAT Gateway。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在Elastic IP Address列單擊立即綁定。
在綁定Elastic IP Address對話方塊,配置以下參數,然後單擊確定。
配置
說明
所在資源群組
選擇EIP所在的資源群組。
選擇Elastic IP Address
從以下方式中選擇一種綁定到公網NAT GatewayEIP的方式。
單擊從已有Elastic IP Address中選擇:在下拉式清單中選擇已有的EIP執行個體。
單擊新購Elastic IP Address並綁定:系統只能為您建立1個按使用流量計費的隨用隨付EIP,並綁定到公網NAT Gateway。
綁定成功後,在公網NAT Gateway執行個體的Elastic IP Address地址列將會顯示出綁定的EIP。
建立SNAT條目
您可以使用公網NAT Gateway的SNAT功能,為VPC中無公網IP的ECS執行個體提供訪問互連網的代理服務,實現無公網IP的ECS執行個體訪問互連網。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT。
在SNAT管理頁簽,單擊建立SNAT條目。
在建立SNAT條目頁面,配置以下參數,然後單擊確定建立。
VPC粒度:公網NAT Gateway所屬VPC下的所有ECS執行個體可以通過配置的SNAT規則訪問互連網。
交換器粒度:指定交換器下的ECS執行個體通過配置的公網IP訪問互連網。
選擇交換器:在下拉式清單中選擇交換器。您可以在下拉式清單選擇已建立的交換器;也可以單擊建立交換器跳轉到VPC控制台建立交換器後選擇。
如果您選擇多個交換器,將會為您建立多條SNAT條目,使用相同的公網IP地址。
交換器網段:顯示交換器的網段。
ECS/彈性網卡粒度:指定的ECS/ENI通過配置的公網IP訪問互連網。
通過ECS或彈性網卡進行選擇:在下拉式清單中選擇ECS或ENI。該ECS或ENI將通過配置的公網IP訪問互連網。您可以在下拉式清單選擇已建立的ECS執行個體;也可以單擊建立ECS跳轉到ECS控制台建立ECS執行個體後選擇。如您選擇多個ECS,將會為您建立多條SNAT條目,使用相同的公網IP地址。
請確保所選擇的ECS執行個體滿足以下條件:
ECS執行個體的狀態處於運行中。
ECS執行個體不具備固定公網IP且未綁定其他Elastic IP Address。
ECS/彈性網卡網段:顯示ECS或彈性網卡的網段。
自訂網段粒度:輸入任意網段後,該網段的下ECS執行個體都可以通過配置的SNAT規則訪問互連網。
使用單IP:在下拉式清單中選擇Elastic IP Address。如果下拉式清單中沒有可選的Elastic IP Address,可在下拉式清單單擊新購Elastic IP Address並綁定,在彈出的對話方塊中完成Elastic IP Address的購買操作。
使用多IP:從公網IP列表中,選擇多個Elastic IP Address。
指定多個Elastic IP Address配置至SNAT IP位址集區時,Business Connectivity會通過雜湊演算法分配到多個Elastic IP Address,由於每個串連的流量不同,可能會出現多Elastic IP Address業務流量不均勻的情況,建議您將每個Elastic IP Address加入到同一個共用頻寬中以避免單Elastic IP Address頻寬達到上限導致業務受損。
關閉EIP親和效能力,同一個私網IP訪問單一目的IP,可能使用不同的Elastic IP Address。
開啟EIP親和效能力,同一個私網IP訪問單一目的IP,只會使用相同的Elastic IP Address。
若會話數量較高,可能會導致連接埠分配失敗的監控計數上漲。
配置 | 說明 |
SNAT條目粒度 | 選擇SNAT條目的粒度。 |
選擇公網IP地址 | 選擇用來提供互連網訪問的公網IP。 |
EIP親和性 | 當您選擇多個Elastic IP Address時,您可以選擇是否開啟EIP親和效能力。 |
條目名稱 | SNAT條目的名稱。 |
建立DNAT條目
您可以使用公網NAT GatewayDNAT功能,將公網NAT Gateway上的公網IP通過連接埠映射或IP映射兩種方式映射給Elastic Compute Service (ECS)執行個體使用,使ECS執行個體能夠對外提供公網訪問服務。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定DNAT。
在DNAT管理頁簽,單擊建立DNAT條目。
在建立DNAT條目頁面,配置以下參數,然後單擊確定建立。
配置
說明
選擇公網IP地址
選擇要提供互連網通訊的Elastic IP Address。
說明公網NAT Gateway支援將一個公網IP同時用於DNAT條目和SNAT條目。
選擇私網IP地址
選擇要通過DNAT規則進行公網通訊的執行個體的IP。您可以通過以下兩種方式指定目標私網IP地址:
通過ECS或彈性網卡進行選擇:從ECS執行個體或彈性網卡列表中選擇私網IP地址。
通過手動輸入:輸入目標私網IP地址。
連接埠設定
選擇DNAT映射的方式:
任意連接埠:該方式屬於IP映射,任何訪問該公網IP的請求都將轉寄到目標ECS執行個體上,目標ECS執行個體也可以使用該公網IP主動訪問公網。
說明DNAT條目中配置了IP映射方式的EIP不能再被其他DNAT條目或SNAT條目使用。
如果公網NAT Gateway既配置了DNAT IP映射方式,又配置了SNAT條目,則ECS執行個體會優先通過DNAT IP映射方式的公網IP訪問公網。
具體連接埠:該方式屬於連接埠映射,公網NAT Gateway會將以指定協議和連接埠訪問該公網IP的請求轉寄到目標ECS執行個體的指定連接埠上。
選擇具體連接埠後,請根據業務需求設定以下參數:
公網連接埠:進行連接埠轉寄的外部連接埠或連接埠段。
輸入的連接埠範圍需要在1~65535之間。
如果需要在連接埠段內轉寄,請在輸入時以正斜線(/)隔開開始端點口,例如10/20。
如果公網連接埠設定為連接埠段,則私網連接埠也需要設定為連接埠段,且連接埠段的連接埠個數相同,例如公網連接埠設定為10/20,私網連接埠設定為80/90。
當選擇的公網IP已建立了SNAT條目,且需要設定的公網連接埠號碼大於
1024,因SNAT預設分配連接埠範圍在1025~65535之間,請單擊開啟連接埠突破並在彈出的對話方塊單擊確定。警告開啟連接埠突破操作會導致部分存量SNAT的串連閃斷,重連即可恢複,請您謹慎操作。
私網連接埠:進行連接埠轉寄的內部連接埠或連接埠段。
協議類型:轉送連接埠的協議類型。
條目名稱
輸入DNAT條目的名稱。
名稱長度為2~128個字元,以大小寫字母或中文開頭, 可包含數字、底線(_)和短劃線(-)。
說明在建立DNAT條目後,需在與ECS執行個體關聯的安全性群組中添加相應的安全性群組規則。具體操作,請參見添加安全性群組規則。
標記公網NAT Gateway
隨著公網NAT Gateway執行個體數量的增多,會加大您對公網NAT Gateway執行個體的管理難度。通過標籤將公網NAT Gateway執行個體進行分組管理,有助於您搜尋和篩選執行個體。
標籤是您為執行個體分配的標記,每個標籤都由一對索引值對(Key-Value)組成。標籤的使用說明如下:
一個公網NAT Gateway執行個體的每列標籤的標籤鍵(Key)必須唯一。
不支援未綁定公網NAT Gateway執行個體的空標籤存在,標籤必須綁定在執行個體上。
不同地區中的標籤資訊不互連。
例如,在華東1(杭州)地區建立的標籤在華東2(上海)地區不可見。
您可以修改標籤的鍵和值,也可以刪除公網NAT Gateway執行個體的標籤。如果刪除公網NAT Gateway執行個體,綁定在執行個體上的標籤也會被刪除。
一個公網NAT Gateway執行個體最多可以綁定20列標籤,暫不支援提升配額。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,將滑鼠移至上方在標籤列的
表徵圖上,然後在氣泡框單擊添加或編輯。在編輯標籤對話方塊,根據以下資訊配置標籤,然後單擊確定。
配置
說明
標籤鍵
標籤的標籤鍵,支援選擇已有標籤鍵或輸入新的標籤鍵。
標籤鍵最多支援128個字元,不能以
aliyun或acs:開頭,不能包含http://或https://。標籤值
標籤的標籤值,支援選擇已有標籤值或輸入新的標籤值。
標籤值最多支援128個字元,不能以
aliyun或acs:開頭,不能包含http://或https://。返回公網NAT Gateway頁面,單擊標籤篩選,在標籤篩選對話方塊根據標籤鍵和標籤值來篩選公網NAT Gateway執行個體。
編輯公網NAT Gateway
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊管理。
在基本資料頁簽的基本資料地區,您可以通過以下操作編輯公網NAT Gateway。
編輯公網NAT Gateway的名稱
在執行個體名稱右側單擊編輯,在彈出的對話方塊中輸入公網NAT Gateway的名稱,然後單擊確定。
編輯公網NAT Gateway的描述資訊
在描述右側單擊編輯,在彈出的對話方塊中輸入描述資訊,然後單擊確定。
開啟或關閉刪除保護
在刪除保護右側單擊開啟刪除保護或關閉刪除保護。
開啟或關閉ICMP代回能力
在ICMP代回右側單擊開關開啟或關閉。
說明NAT Gateway預設開啟ICMP代回功能,NAT Gateway將代回ICMP報文。如通過Ping命令進行探測時,通過NAT Gateway將會收到正常的回複報文,但這並不能保證後端伺服器正常,所以可能會影響您營運監控系統的探測準確性。如果您關閉了ICMP代回能力,NAT Gateway將不代回ICMP報文,但僅在DNAT配置任意連接埠映射情境下,NAT Gateway會將ICMP報文轉寄至後端伺服器。
更多操作
操作 | 說明 |
編輯SNAT條目 |
|
刪除SNAT條目 |
|
編輯DNAT條目 |
|
刪除DNAT條目 |
|
解除綁定EIP | 請確保要解除綁定的EIP沒有被任何SNAT條目或DNAT條目佔用。如有佔用,請先刪除SNAT條目和DNAT條目。
|
刪除公網NAT Gateway |
|
> 刪除相關文檔
CreateNatGateway:建立公網NAT Gateway執行個體。
AssociateEipAddress:綁定EIP。
CreateSnatEntry:建立SNAT條目。
CreateForwardEntry:建立DNAT條目。
DeleteSnatEntry:刪除SNAT條目。
DeleteForwardEntry:刪除DNAT條目。
UnassociateEipAddress:解除綁定EIP。
TagResources:為公網NAT Gateway添加標籤。
ModifyNatGatewayAttribute:編輯公網NAT Gateway的基本資料。
DeleteNatGateway:刪除公網NAT Gateway。