全部產品
Search
文件中心

Virtual Private Cloud:使用公網NAT GatewaySNAT功能訪問互連網

更新時間:Sep 28, 2024

本文指導您配置公網NAT Gateway的SNAT條目,實現無公網IP的Elastic Compute Service (ECS)執行個體通過公網NAT Gateway訪問互連網。

情境樣本

本文以下圖情境為例。某公司在阿里雲建立了Virtual Private Cloud(Virtual Private Cloud)和交換器,交換器中建立了多個ECS執行個體。ECS執行個體均未分配固定公網IP,也未綁定Elastic IP Address(Elastic IP Address,簡稱EIP)。現因公司業務發展,每台ECS執行個體都需要訪問互連網。

您可以通過公網NAT Gateway的SNAT功能,配置SNAT條目,使得VPC內無公網IP的ECS執行個體可以通過公網NAT Gateway綁定的EIP訪問互連網。

前提條件

  • 您已經建立了VPC和2個交換器,且交換器中已經建立了ECS執行個體。具體操作,請參見搭建IPv4專用網路

  • 請確保已建立的VPC滿足以下條件:

    • VPC中不存在目標網段為0.0.0.0/0的自訂路由。如果存在,請刪除該路由條目。

    • 如果您使用的是RAM使用者(子帳號),請確保其具備訪問VPC的許可權。否則,請聯絡阿里雲帳號(主帳號)進行授權。

使用限制

一個公網NAT Gateway預設支援建立40條SNAT條目。

關於SNAT功能的更多相關問題,請參見SNAT功能FAQ

配置步驟

步驟一:建立公網NAT Gateway

  1. 登入NAT Gateway管理主控台
  2. 公網NAT Gateway頁面,單擊建立NAT Gateway
  3. 首次使用NAT Gateway時,在建立公網NAT Gateway頁面關聯角色建立地區,單擊建立關聯角色。角色建立成功後即可建立NAT Gateway。

    建立角色 關於NAT Gateway服務關聯角色的更多資訊,請參見服務關聯角色

  4. 在建立公網NAT Gateway頁面,配置以下購買資訊,然後單擊立即購買

    配置

    說明

    付費模式

    預設選擇為隨用隨付,即一種先使用後付費的付費模式。更多資訊,請參見公網NAT Gateway計費

    資源群組

    選擇VPC所屬的資源群組。更多資訊,請參見資源群組概述

    標籤

    • 標籤鍵:選擇或輸入完整的標籤鍵。

      最多支援輸入20個標籤鍵。一個標籤鍵最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。

    • 標籤值:選擇或輸入完整的標籤值。

      最多支援輸入20個標籤值。一個標籤值最多支援128個字元,不能以aliyun和acs:開頭,不能包含http://或者https://。

    所屬地區

    選擇需要建立公網NAT Gateway的地區。

    所屬專用網路

    選擇公網NAT Gateway所屬的VPC。建立後,不能修改公網NAT Gateway所屬的VPC。

    關聯交換器

    選擇公網NAT Gateway執行個體所屬的交換器。

    計費類型

    預設選擇為按使用量計費,即按公網NAT Gateway實際使用量收費。更多資訊,請參見公網NAT Gateway計費

    計費周期

    預設選擇為按小時,即按使用量計費公網NAT Gateway的計費周期為1小時,不足1小時按1小時計算。

    執行個體名稱

    設定公網NAT Gateway執行個體的名稱。

    執行個體名稱長度為2~128個字元,以英文大小寫字母或中文開頭,可包含數字、底線(_)和短劃線(-)。

    訪問模式

    選擇公網NAT Gateway的訪問模式。支援以下兩種模式:

    • VPC全通模式(SNAT):選擇了VPC全通模式,在公網NAT Gateway建立成功後當前VPC內所有執行個體即可通過該公網NAT Gateway訪問公網。

      選擇VPC全通模式(SNAT)後,您需要配置Elastic IP Address(Elastic IP Address,簡稱EIP)的相關資訊。

    • 稍後配置:如需稍後配置或有更多配置需求,可在購買完成後,前往控制台進行配置。

      選擇稍後配置,則只購買公網NAT Gateway執行個體。

    本文選擇稍後配置

  5. 確認訂單頁面確認公網NAT Gateway的配置資訊,選中服務合約並單擊確認訂單

    當出現恭喜,購買成功!的提示後,說明您建立成功。

建立成功後,您可以在公網NAT Gateway頁面查看已建立的公網NAT Gateway執行個體。建立NAT Gateway

步驟二:綁定EIP

公網NAT Gateway作為一個網關裝置,需要綁定EIP才能正常工作。建立公網NAT Gateway後,您可以為其綁定EIP。

  1. 登入NAT Gateway管理主控台
  2. 在頂部功能表列,選擇公網NAT Gateway的地區。
  3. 公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在Elastic IP Address列單擊立即綁定
  4. 綁定Elastic IP Address對話方塊,配置以下參數,然後單擊確定

    配置

    說明

    所在資源群組

    選擇EIP所在的資源群組。

    選擇Elastic IP Address

    要綁定到公網NAT Gateway的EIP。

    本文以選擇新購Elastic IP Address並綁定為例。系統會為您建立1個按使用流量計費的隨用隨付EIP,並綁定到公網NAT Gateway。

綁定成功後,在公網NAT Gateway執行個體的Elastic IP Address列將會顯示出綁定的EIP。綁定EIP

步驟三:建立SNAT條目

您可以通過公網NAT Gateway的SNAT功能,建立SNAT條目,使得VPC內無公網IP的ECS執行個體可以通過公網NAT Gateway的EIP訪問公網。

  1. 登入NAT Gateway管理主控台
  2. 在頂部功能表列,選擇公網NAT Gateway的地區。
  3. 公網NAT Gateway頁面,找到目標公網NAT Gateway執行個體,然後在操作列單擊設定SNAT
  4. SNAT管理頁簽,單擊建立SNAT條目

  5. 建立SNAT條目頁面,配置以下參數,然後單擊確定建立

    配置

    說明

    SNAT條目粒度

    選擇SNAT條目的粒度。本文以選擇交換器粒度為例:指定交換器下的ECS執行個體通過配置的公網IP訪問公網。

    • 選擇交換器:在下拉式清單中選擇交換器。

      說明

      如您選擇多個交換器,將會為您建立多條SNAT條目,使用相同的公網IP地址。

    • 交換器網段:選擇後顯示交換器的網段。

    選擇公網IP地址

    選擇用來提供公網訪問的公網IP。本文以選擇使用單IP為例,在下拉式清單中選擇步驟二中綁定至公網NAT Gateway的EIP。

    條目名稱

    輸入SNAT條目的名稱。

建立成功後,在SNAT條目列表地區查看配置的SNAT條目。snat

步驟四:添加路由條目

為VPC路由表添加指向公網NAT Gateway的自訂路由條目。

  • 當ECS執行個體所屬交換器綁定自訂路由表時:您需手動設定指向公網NAT Gateway的路由條目。

  • 當ECS執行個體所屬交換器綁定系統路由表

    • 若系統路由表中不存在0.0.0.0/0的路由條目,在建立公網NAT Gateway後,系統將自動設定指向該公網NAT Gateway的路由條目。因此,您可以跳過本步驟

    • 若系統路由表中存在0.0.0.0/0的路由條目,在建立公網NAT Gateway後,需首先刪除現有的路由條目,隨後再添加指向公網NAT Gateway的路由條目。

  1. 登入專用網路管理主控台

  2. 在左側導覽列,單擊路由表

  3. 在頂部功能表列,選擇路由表所屬的地區。

  4. 路由表頁面,找到目標路由表,單擊路由表的ID。

  5. 在路由表詳情頁面,選擇路由條目列表 > 自訂路由條目,然後單擊添加路由條目

  6. 添加路由條目面板,根據以下資訊配置路由條目,然後單擊確定

    配置

    說明

    名稱

    輸入自訂路由條目的名稱。

    資源群組

    選擇下一跳所屬的資源群組。

    目標網段

    輸入要轉寄到的目標網段。

    本教程選擇IPv4網段,然後輸入0.0.0.0/0。

    下一跳類型

    在下拉式清單中選擇NAT Gateway

    NAT Gateway

    選擇建立的公網NAT Gateway執行個體。

    描述

    輸入自訂路由條目的描述資訊。

步驟五:測試連通性

SNAT條目配置成功後,您可以測試ECS執行個體的網路連通性。本文以Linux系統為例,測試ECS執行個體的連通性。

說明

請確保ECS執行個體的安全性群組規則允許ECS執行個體訪問公網,安全性群組的配置規則請參見安全性群組概述

  1. 登入交換器下的任意一台ECS執行個體。具體操作,請參見ECS串連方式概述

  2. 執行ping命令,ping www.aliyun.com測試網路連通性。

    如果能接收到類似以下回複報文,表示串連成功。

    經測試,ECS執行個體可以訪問公網。

    測試連通性