公網NAT Gateway是一款阿里雲全託管的網路位址轉譯網關,通過轉換和隱藏雲端服務地址,防止地址直接暴露,實現安全訪問互連網提升網路安全性。
背景資訊
為了提升配置體驗,公網NAT Gateway支援組合購買EIP,即在建立公網NAT Gateway時,支援同時購買EIP執行個體或選擇已有的EIP執行個體綁定至該公網NAT Gateway執行個體上。具體操作,請參見VPC全通模式組合購買公網NAT Gateway和Elastic IP Address。
本文以非VPC全通模式介紹建立和管理公網NAT Gateway的方法。
為了提升建立體驗,在VPC內建立第一個公網NAT Gateway時,阿里雲會在VPC的系統路由表中自動添加一條目標網段為0.0.0.0/0,下一跳為公網NAT Gateway的路由條目,用於將流量路由到公網NAT Gateway。若VPC存在自訂路由表或VPC存在多個公網NAT Gateway,請根據需要手動添加路由。具體操作,請參見建立和管理路由表。
若建立公網NAT Gateway前,VPC的系統路由表中已經存在目標網段為0.0.0.0/0的路由條目,系統不會自動添加指向公網NAT Gateway的路由條目。
如果ECS執行個體已經持有了公網IP,例如分配了固定公網IP、綁定Elastic IP Address(Elastic IP Address,簡稱EIP)或設定了DNAT IP映射,當該ECS執行個體發起互連網訪問時,會優先通過ECS執行個體持有的公網IP訪問互連網,而不會使用公網NAT Gateway的SNAT功能訪問互連網。如需統一公網出口IP,請參見為已指派固定公網IP的ECS執行個體統一公網出口IP和為設定了DNAT IP映射的ECS執行個體統一公網出口IP。
當多條SNAT條目的源網段重疊時,系統會根據最長子網路遮罩匹配規則確定優先為哪一條SNAT條目提供互連網代理服務。
使用ECS粒度配置的SNAT條目中源網段的子網路遮罩為
/32,長度最長,優先順序最高,優先匹配。使用其他粒度配置的SNAT條目會根據源網段的子網路遮罩長度進行匹配,長度越長,優先順序越高,越先匹配。
如果您的ECS執行個體已經綁定了Elastic IP Address (EIP),則不支援為該ECS執行個體添加DNAT條目。如需為該ECS執行個體添加DNAT條目,請先將ECS執行個體與EIP解除綁定,再為該ECS執行個體添加DNAT條目。關於如何解除綁定EIP,請參見將EIP與雲資源解除綁定。
前提條件
您已經建立了VPC和交換器。具體操作,請參見搭建IPv4專用網路。
您已經建立了Elastic IP Address執行個體。具體操作,請參見申請EIP。
建立公網NAT Gateway
- 登入NAT Gateway管理主控台。
- 在公網NAT Gateway頁面,單擊建立NAT Gateway。
首次使用NAT Gateway時,在建立公網NAT Gateway頁面關聯角色建立地區,單擊建立關聯角色。角色建立成功後即可建立NAT Gateway。
關於NAT Gateway服務關聯角色的更多資訊,請參見服務關聯角色。在建立公網NAT Gateway頁面,配置以下購買資訊,然後單擊立即購買。
配置
說明
付費模式
預設選擇為隨用隨付,即一種先使用後付費的付費模式。更多資訊,請參見公網NAT Gateway計費。
資源群組
選擇VPC所屬的資源群組。更多資訊,請參見資源群組概述。
標籤
標籤鍵:選擇或輸入完整的標籤鍵。
最多支援輸入20個標籤鍵。一個標籤鍵最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。
標籤值:選擇或輸入完整的標籤值。
最多支援輸入20個標籤值。一個標籤值最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。
所屬地區
選擇需要建立公網NAT Gateway的地區。
所屬專用網路
選擇公網NAT Gateway所屬的VPC。建立後,不能修改公網NAT Gateway所屬的VPC。
關聯交換器
選擇公網NAT Gateway執行個體所屬的交換器。
計費類型
預設選擇為按使用量計費,即按公網NAT Gateway實際使用量收費。更多資訊,請參見公網NAT Gateway計費。
計費周期
預設選擇為按小時,即按使用量計費公網NAT Gateway的計費周期為1小時,不足1小時按1小時計算。
執行個體名稱
設定公網NAT Gateway執行個體的名稱。
執行個體名稱長度為2~128個字元,以英文大小寫字母或中文開頭,可包含數字、底線(_)和短劃線(-)。
訪問模式
選擇公網NAT Gateway的訪問模式。支援以下兩種模式:
VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT Gateway建立成功後當前VPC內所有執行個體即可通過該公網NAT Gateway訪問公網。
選擇VPC全通模式(SNAT)後,您需要配置Elastic IP Address(Elastic IP Address,簡稱EIP)的相關資訊。
稍後配置:如需稍後配置或有更多配置需求,可在購買完成後,前往控制台進行配置。
選擇稍後配置,則只購買公網NAT Gateway執行個體。
本文選擇稍後配置。
在確認訂單頁面確認公網NAT Gateway的配置資訊,選中服務合約並單擊確認訂單。
當出現恭喜,購買成功!的提示後,說明您建立成功。
綁定EIP
從2022年09月19日起,新建立的公網NAT Gateway綁定一個EIP時將佔用NAT Gateway所在交換器的一個私網IP(已有NAT Gateway執行個體不受影響),請確保NAT Gateway所在交換器內私網IP地址充足,如果NAT Gateway所在的交換器沒有可用的空閑私網地址時,將無法綁定新的EIP。
公網NAT Gateway需要綁定EIP才能正常工作。一個公網NAT Gateway最多可綁定20個EIP。您可以前往配額管理頁面自助提升配額。綁定EIP前,請確保您已經建立了公網NAT Gateway。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在Elastic IP Address列單擊立即綁定。
在綁定Elastic IP Address對話方塊,配置以下參數,然後單擊確定。
配置
說明
所在資源群組
選擇EIP所在的資源群組。
選擇Elastic IP Address
從以下方式中選擇一種綁定到公網NAT GatewayEIP的方式。
單擊從已有Elastic IP Address中選擇:在下拉式清單中選擇已有的EIP執行個體。
單擊新購Elastic IP Address並綁定:系統只能為您建立1個按使用流量計費的隨用隨付EIP,並綁定到公網NAT Gateway。
綁定成功後,在公網NAT Gateway執行個體的Elastic IP Address地址列將會顯示出綁定的EIP。
建立SNAT條目
您可以使用公網NAT Gateway的SNAT功能,為VPC中無公網IP的ECS執行個體提供訪問互連網的代理服務,實現無公網IP的ECS執行個體訪問互連網。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT。
在SNAT管理頁簽,單擊建立SNAT條目。
在建立SNAT條目頁面,配置以下參數,然後單擊確定建立。
配置
說明
SNAT條目粒度
選擇SNAT條目的粒度。
VPC粒度:公網NAT Gateway所屬VPC下的所有ECS執行個體可以通過配置的SNAT規則訪問互連網。
交換器粒度:指定交換器下的ECS執行個體通過配置的公網IP訪問互連網。
選擇交換器:在下拉式清單中選擇交換器。您可以在下拉式清單選擇已建立的交換器;也可以單擊建立交換器跳轉到VPC控制台建立交換器後選擇。
如果您選擇多個交換器,將會為您建立多條SNAT條目,使用相同的公網IP地址。
交換器網段:顯示交換器的網段。
ECS/彈性網卡粒度:指定的ECS/ENI通過配置的公網IP訪問互連網。
通過ECS或彈性網卡進行選擇:在下拉式清單中選擇ECS或ENI。該ECS或ENI將通過配置的公網IP訪問互連網。您可以在下拉式清單選擇已建立的ECS執行個體;也可以單擊建立ECS跳轉到ECS控制台建立ECS執行個體後選擇。如您選擇多個ECS,將會為您建立多條SNAT條目,使用相同的公網IP地址。
請確保所選擇的ECS執行個體滿足以下條件:
ECS執行個體的狀態處於運行中。
ECS執行個體不具備固定公網IP且未綁定其他Elastic IP Address。
ECS/彈性網卡網段:顯示ECS或彈性網卡的網段。
自訂網段粒度:輸入任意網段後,該網段的下ECS執行個體都可以通過配置的SNAT規則訪問互連網。
選擇公網IP地址
選擇用來提供互連網訪問的公網IP。
使用單IP:在下拉式清單中選擇Elastic IP Address。如果下拉式清單中沒有可選的Elastic IP Address,可在下拉式清單單擊新購Elastic IP Address並綁定,在彈出的對話方塊中完成Elastic IP Address的購買操作。
使用多IP:從公網IP列表中,選擇多個Elastic IP Address。
指定多個Elastic IP Address配置至SNAT IP位址集區時,Business Connectivity會通過雜湊演算法分配到多個Elastic IP Address,由於每個串連的流量不同,可能會出現多Elastic IP Address業務流量不均勻的情況,建議您將每個Elastic IP Address加入到同一個共用頻寬中以避免單Elastic IP Address頻寬達到上限導致業務受損。
EIP親和性
當您選擇多個Elastic IP Address時,您可以選擇是否開啟EIP親和效能力。
預設情況下同一個私網IP訪問單一目的IP可能使用不同的Elastic IP Address。但當您開啟親和效能力後,同一個私網IP訪問單一目的IP時只會使用相同的Elastic IP Address。
條目名稱
SNAT條目的名稱。
建立DNAT條目
您可以使用公網NAT GatewayDNAT功能,將公網NAT Gateway上的公網IP通過連接埠映射或IP映射兩種方式映射給Elastic Compute Service (ECS)執行個體使用,使ECS執行個體能夠對外提供公網訪問服務。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定DNAT。
在DNAT管理頁簽,單擊建立DNAT條目。
在建立DNAT條目頁面,配置以下參數,然後單擊確定建立。
配置
說明
選擇公網IP地址
選擇要提供互連網通訊的Elastic IP Address。
說明公網NAT Gateway支援將一個公網IP同時用於DNAT條目和SNAT條目。
選擇私網IP地址
選擇要通過DNAT規則進行公網通訊的執行個體的IP。您可以通過以下兩種方式指定目標私網IP地址:
通過ECS或彈性網卡進行選擇:從ECS執行個體或彈性網卡列表中選擇私網IP地址。
通過手動輸入:輸入目標私網IP地址。
連接埠設定
選擇DNAT映射的方式:
任意連接埠:該方式屬於IP映射,任何訪問該公網IP的請求都將轉寄到目標ECS執行個體上,目標ECS執行個體也可以使用該公網IP主動訪問公網。
說明DNAT條目中配置了IP映射方式的EIP不能再被其他DNAT條目或SNAT條目使用。
如果公網NAT Gateway既配置了DNAT IP映射方式,又配置了SNAT條目,則ECS執行個體會優先通過DNAT IP映射方式的公網IP訪問公網。
具體連接埠:該方式屬於連接埠映射,公網NAT Gateway會將以指定協議和連接埠訪問該公網IP的請求轉寄到目標ECS執行個體的指定連接埠上。
選擇具體連接埠後,請根據業務需求設定以下參數:
公網連接埠:進行連接埠轉寄的外部連接埠或連接埠段。
輸入的連接埠範圍需要在1~65535之間。
如果需要在連接埠段內轉寄,請在輸入時以正斜線(/)隔開開始端點口,例如10/20。
如果公網連接埠設定為連接埠段,則私網連接埠也需要設定為連接埠段,且連接埠段的連接埠個數相同,例如公網連接埠設定為10/20,私網連接埠設定為80/90。
當選擇的公網IP已建立了SNAT條目,且需要設定的公網連接埠號碼大於
1024,因SNAT預設分配連接埠範圍在1025~65535之間,請單擊開啟連接埠突破並在彈出的對話方塊單擊確定。警告開啟連接埠突破操作會導致部分存量SNAT的串連閃斷,重連即可恢複,請您謹慎操作。
私網連接埠:進行連接埠轉寄的內部連接埠或連接埠段。
協議類型:轉送連接埠的協議類型。
條目名稱
輸入DNAT條目的名稱。
名稱長度為2~128個字元,以大小寫字母或中文開頭, 可包含數字、底線(_)和短劃線(-)。
標記公網NAT Gateway
隨著公網NAT Gateway執行個體數量的增多,會加大您對公網NAT Gateway執行個體的管理難度。通過標籤將公網NAT Gateway執行個體進行分組管理,有助於您搜尋和篩選執行個體。
標籤是您為執行個體分配的標記,每個標籤都由一對索引值對(Key-Value)組成。標籤的使用說明如下:
一個公網NAT Gateway執行個體的每列標籤的標籤鍵(Key)必須唯一。
不支援未綁定公網NAT Gateway執行個體的空標籤存在,標籤必須綁定在執行個體上。
不同地區中的標籤資訊不互連。
例如,在華東1(杭州)地區建立的標籤在華東2(上海)地區不可見。
您可以修改標籤的鍵和值,也可以刪除公網NAT Gateway執行個體的標籤。如果刪除公網NAT Gateway執行個體,綁定在執行個體上的標籤也會被刪除。
一個公網NAT Gateway執行個體最多可以綁定20列標籤,暫不支援提升配額。
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,將滑鼠移至上方在標籤列的
表徵圖上,然後在氣泡框單擊添加或編輯。在編輯標籤對話方塊,根據以下資訊配置標籤,然後單擊確定。
配置
說明
標籤鍵
標籤的標籤鍵,支援選擇已有標籤鍵或輸入新的標籤鍵。
標籤鍵最多支援128個字元,不能以
aliyun或acs:開頭,不能包含http://或https://。標籤值
標籤的標籤值,支援選擇已有標籤值或輸入新的標籤值。
標籤值最多支援128個字元,不能以
aliyun或acs:開頭,不能包含http://或https://。返回公網NAT Gateway頁面,單擊標籤篩選,在標籤篩選對話方塊根據標籤鍵和標籤值來篩選公網NAT Gateway執行個體。
編輯公網NAT Gateway
- 登入NAT Gateway管理主控台。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
- 在公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊管理。
在基本資料頁簽的基本資料地區,您可以通過以下操作編輯公網NAT Gateway。
編輯公網NAT Gateway的名稱
在執行個體名稱右側單擊編輯,在彈出的對話方塊中輸入公網NAT Gateway的名稱,然後單擊確定。
編輯公網NAT Gateway的描述資訊
在描述右側單擊編輯,在彈出的對話方塊中輸入描述資訊,然後單擊確定。
開啟或關閉刪除保護
在刪除保護右側單擊開啟刪除保護或關閉刪除保護。
開啟或關閉ICMP代回能力
在ICMP代回右側單擊開關開啟或關閉。
說明NAT Gateway預設開啟ICMP代回功能,NAT Gateway將代回ICMP報文。如通過Ping命令進行探測時,通過NAT Gateway將會收到正常的回複報文,並不能保證後端伺服器正常,所以可能會影響您營運監控系統的探測準確性。如果您關閉了ICMP代回能力,NAT Gateway將不代回ICMP報文,但僅在DNAT配置任意連接埠映射情境下,NAT Gateway會將ICMP報文轉寄至後端伺服器。
更多操作
操作 | 說明 |
編輯SNAT條目 |
|
刪除SNAT條目 |
|
編輯DNAT條目 |
|
刪除DNAT條目 |
|
解除綁定EIP | 請確保要解除綁定的EIP沒有被任何SNAT條目或DNAT條目佔用。如有佔用,請先刪除SNAT條目和DNAT條目。
|
刪除公網NAT Gateway |
|
> 刪除相關文檔
CreateNatGateway:建立公網NAT Gateway執行個體。
AssociateEipAddress:綁定EIP。
CreateSnatEntry:建立SNAT條目。
CreateForwardEntry:建立DNAT條目。
DeleteSnatEntry:刪除SNAT條目。
DeleteForwardEntry:刪除DNAT條目。
UnassociateEipAddress:解除綁定EIP。
TagResources:為公網NAT Gateway添加標籤。
ModifyNatGatewayAttribute:編輯公網NAT Gateway的基本資料。
DeleteNatGateway:刪除公網NAT Gateway。