NAT 网关：统一公网出口IP

场景示例

某企业云端存在大量ECS实例。逐一为每个ECS实例配置公网IP将降低管理和运营效率，这种做法不仅复杂，还增加了ECS实例面临恶意扫描和攻击的风险。因此，企业决定采用公网NAT网关，并通过配置SNAT条目，使得VPC-A内所有ECS实例能够通过指定的公网IP访问互联网。然而，由于部分早期创建的ECS实例已具备公网访问能力，企业计划采取以下措施：

• 统一出口：在确保原有资源正常运行的前提下，通过EIP（39.XX.XX.35）为VPC-A内的所有ECS实例统一提供公网访问能力。

• 平稳过渡：将ECS-A实例的固定公网IP转换为EIP后，需将其从主网卡上解绑，并绑定至弹性网卡，从而确保终端用户访问ECS-A实例的方式保持不变。

通过上述调整，该企业利用公网NAT网关的集中管理和安全特性，有效降低了内网资源暴露的风险，同时提升了运维团队的管理效率。

配置步骤

步骤一：固定公网IP转EIP

登录云服务器管理控制台，找到目标ECS实例。将ECS-A实例的固定公网IP转换为EIP。

步骤二：配置弹性网卡

1. 在左侧导航栏中，选择网络与安全 > 弹性网卡，单击创建弹性网卡。

   重要

   在创建弹性网卡时，请确保专有网络和交换机与ECS-A实例位于同一VPC和可用区。

   

2. 在弹性网卡页面，找到目标实例，单击操作列下的绑定实例，将已创建的弹性网卡绑定至ECS-A实例。

   

3. 在Workbench控制台页面，登录ECS-A实例，本文以Alibaba Cloud Linux 3.2104 LTS 64位操作系统为例，展示网卡和路由信息，并配置策略路由。

   1. 分别执行ifconfig、route -n命令查看弹性网卡和路由表信息。

      

   2. 配置策略路由

      临时策略路由配置

      说明

      ECS实例重启后，配置的策略路由会失效。

      1. 执行如下命令，配置策略路由。

         参数说明：

         ip -4 route add default via “eth1子网网关” dev eth1 table “路由表名称”
         ip -4 rule add from “eth1网卡地址” lookup “路由表名称”

         命令示例：

         ip -4 route add default via 172.16.10.253 dev eth1 table 101
         ip -4 rule add from 172.16.10.145 lookup 101

      2. 执行ip rule命令以查看策略路由的配置情况。

         

      永久策略路由配置

      说明

      ECS实例重启后，配置的策略路由不会失效。

      1. 执行以下命令，打开/etc/rc.local文件。

         vim /etc/rc.local

      2. 按i键进入编辑模式，添加如下内容，然后按Esc键退出编辑模式，输入:wq保存退出。

         参数说明：

         ip -4 route add default via “eth1子网网关” dev eth1 table “路由表名称”
         ip -4 rule add from “eth1网卡地址” lookup “路由表名称”

         代码示例

         ip -4 route add default via 172.16.10.253 dev eth1 table 101
         ip -4 rule add from 172.16.10.145 lookup 101

      3. 执行以下命令，为/etc/rc.local文件添加执行权限。

         sudo chmod +x /etc/rc.local

   重要

   如果您的ECS实例无法识别绑定的弹性网卡，您需要在ECS实例内部配置弹性网卡以识别IP地址。

步骤三：配置弹性公网IP

在弹性公网IP管理控制台页面，找到目标EIP（8.XX.XX.87），单击操作列下的解绑资源。然后再单击操作列下的绑定资源。

将EIP绑定至弹性网卡（私网地址为：172.16.10.145）。

步骤四：配置NAT网关

1. 创建公网NAT网关，并绑定EIP。

   1. 在左侧导航栏中，选择NAT网关 > 公网NAT网关，单击创建公网NAT网关。

      

   2. 在弹性公网IP管理控制台页面，找到CLB绑定的EIP（39.XX.XX.35），单击操作列下的解绑资源。

   3. 返回公网NAT网关页面，找到目标实例，单击弹性公网IP列下的立即绑定。将解绑的EIP（39.XX.XX.35）绑定至公网NAT网关。

      

2. 建立公网NAT网关与负载均衡CLB实例之间的映射关系。

   1. 登录传统型负载均衡CLB控制台，在实例管理页面，找到目标实例，查看实例专有网络地址。

      

   2. 返回公网NAT网关页面，找到目标实例，单击操作列下的设置DNAT。

   3. 在DNAT管理页签，单击创建DNAT条目。私网端口为CLB实例的监听器端口号。

      

      说明

      端口设置若选择为任意端口后：

      • DNAT条目中配置了IP映射方式的EIP不能再被其他DNAT条目或SNAT条目使用。

      • 如果NAT网关既配置了DNAT IP映射方式，又配置了SNAT条目，则ECS实例会优先通过DNAT IP映射方式的EIP访问公网。

3. 建立公网NAT网关与VPC实例之间的映射关系，您也可以根据自身需求，调整SNAT条目粒度。

   单击SNAT管理页签，创建SNAT条目。

   

   重要

   若您的交换机绑定至自定义路由表，则需要您在自定义路由表中手动配置目标网段为0.0.0.0/0，下一跳为公网NAT网关的路由条目。

结果验证

CLB服务运行验证

1. 在浏览器中输入http://39.XX.XX.35确认CLB实例的流量分发状态正常。

   

2. 将ECS-B实例权重设置为0后，重新访问时能够正常分发至ECS-C实例。

   

   

ECS实例统一公网出口IP验证

通过Workbench控制台依次登录ECS-A、ECS-B和ECS-C实例，并执行命令curl myip.ipip.net，以确认ECS实例的公网出口IP是否一致。

• ECS-A实例

  由于实例内部网卡路由优先级的影响，出方向流量将默认从eth0网卡通过与SNAT条目绑定的EIP进行转发。

  • eth0：私网地址：172.16.10.135，Metric：0（数字越小路由优先级越高），SNAT条目绑定的EIP：39.XX.XX.35。

  • eth1：私网地址：172.16.10.145，Metric：101，EIP：8.XX.XX.87。

  

• ECS-B实例

  

• ECS-C实例

  

ECS-A实例服务访问运行验证

登录ECS-B实例，并执行命令ssh root@8.XX.XX.87。通过远程登录的方式验证ECS-A实例原有的访问方式是否受到影响。

常见问题

在配置ECS实例的公网访问时，如何判断固定公网IP、EIP、SNAT条目和DNAT条目（任意端口）的优先级？

固定公网IP/EIP > DNAT IP映射（任意端口） > SNAT条目绑定的EIP。