公网NAT网关是一款阿里云全托管的网络地址转换网关,通过转换和隐藏云服务地址,防止地址直接暴露,实现安全访问互联网提升网络安全性。
创建/删除公网NAT网关
为了提升创建体验,在VPC内创建第一个公网NAT网关时,VPC的系统路由表中将默认添加一条目标网段为0.0.0.0/0,下一跳为公网NAT网关的路由条目,用于将流量路由到公网NAT网关。若VPC存在自定义路由表或VPC存在多个公网NAT网关,需要手动配置路由。若创建公网NAT网关前,VPC的系统路由表中已经存在目标网段为0.0.0.0/0的路由条目,系统不会自动添加指向公网NAT网关的路由条目。
控制台
创建公网 NAT 网关
付费类型:按量付费。
地域:选择创建公网 NAT 网关的地域。
网络及可用区:选择公网 NAT 网关所属的VPC和交换机。创建成功后无法修改。
弹性公网IP:根据是否已创建 EIP 等情况选择。
每绑定一个EIP,将占用NAT网关所在交换机的一个私网IP地址。请确保该交换机具有足够的可用私网IP地址,否则无法成功绑定。
选择已有,并选择未绑定实例的EIP。
新购弹性公网IP:默认创建BGP(多线)类型的按使用流量计费的EIP,可根据自身业务需要选择带宽峰值。
如需绑定其他线路类型或计费类型的弹性公网IP,请先申请弹性公网IP,创建时选择已有进行绑定。
稍后配置:成功创建的NAT网关将不具备公网能力,用户需后续手动绑定EIP。
创建成功后,可以在公网NAT网关页面查看已创建的公网NAT网关实例。
修改公网 NAT 网关配置
单击公网NAT网关实例ID,可修改NAT网关以下配置:
删除保护:默认关闭,可在右侧单击开启删除保护。开启后,支持关闭。
ICMP代回:默认开启,如通过Ping命令进行探测时,通过NAT网关将会收到正常的回复报文,但这并不能保证后端服务器正常,可能会影响运维监控系统的探测准确性。关闭ICMP代回,NAT网关将不代回ICMP报文,但仅在DNAT配置任意端口映射场景下,NAT网关会将ICMP报文转发至后端服务器。
删除公网 NAT 网关
单击目标公网NAT网关实例操作的
> 删除。
删除前,需解绑EIP、删除配置的SNAT条目或DNAT条目。也可以选择强制删除(删除 NAT 网关及其包含资源),由系统删除公网NAT网关及相关资源,需谨慎操作。
API
调用CreateNatGateway创建公网NAT网关。
调用ModifyNatGatewayAttribute修改公网NAT网关配置。
调用DeleteNatGateway删除公网NAT网关。
绑定/解绑 EIP
公网NAT网关需要绑定EIP才能正常工作。一个公网NAT网关最多可绑定20个EIP,可以前往配额管理页面自助提升配额。
从2022年09月19日起,新创建的公网NAT网关绑定一个EIP时将占用NAT网关所在交换机的一个私网IP(已有NAT网关实例不受影响),请确保NAT网关所在交换机内私网IP地址充足,否则无法成功绑定。
控制台
绑定 EIP
前往公网 NAT 网关页面。在顶部菜单栏,选择公网NAT网关的地域。
单击目标公网NAT网关实例弹性公网IP列的立即绑定,可从已有弹性公网IP中选择或新购弹性公网IP并绑定。
绑定成功后,公网NAT网关实例的弹性公网IP列将会显示绑定的EIP。
解绑 EIP
单击目标公网NAT网关实例的弹性公网IP列的EIP。
解除绑定:
解绑的EIP没有被任何SNAT条目或DNAT条目占用时,在目标EIP的操作列单击解除绑定。
如被SNAT条目或DNAT条目占用,需先删除SNAT条目和DNAT条目。未删除时,也可以在操作列单击强制解绑NAT,由系统默认删除并解绑。
API
调用AssociateEipAddress绑定EIP。
调用UnassociateEipAddress解绑EIP。
配置 SNAT 条目
使用公网NAT网关的SNAT功能,为VPC中无公网IP的ECS实例提供访问互联网的代理服务,实现无公网IP的ECS实例访问互联网。
如果ECS实例已经持有了公网IP,例如分配了固定公网IP、绑定EIP或设置了DNAT IP映射,当该ECS实例发起互联网访问时,会优先通过ECS实例持有的公网IP访问互联网,而不会使用公网NAT网关的SNAT功能访问互联网。可参考统一公网出口IP调整网络架构。
当多条SNAT条目的源网段重叠时,系统会根据最长子网掩码匹配规则确定优先为哪一条SNAT条目提供互联网代理服务。
使用ECS粒度配置的SNAT条目中源网段的子网掩码为
/32,长度最长,优先级最高,优先匹配。使用其他粒度配置的SNAT条目会根据源网段的子网掩码长度进行匹配,长度越长,优先级越高,越先匹配。
控制台
创建 SNAT 条目
前往公网 NAT 网关页面。在顶部菜单栏,选择公网NAT网关的地域。
单击目标公网NAT网关实例操作列的设置SNAT,单击创建SNAT条目。
SNAT条目粒度:选择SNAT条目的粒度。
专有网络粒度:公网NAT网关所属VPC下的所有ECS实例均可以通过配置的SNAT规则访问互联网。
交换机粒度:指定交换机下的ECS实例可以通过配置的公网IP访问互联网。
选择交换机:可以在下拉列表选择已创建的交换机,也可以单击创建交换机跳转到VPC控制台创建交换机后选择。选择多个交换机时,将会创建多条SNAT条目,使用相同的公网IP地址。
交换机网段:显示交换机的网段。
ECS/弹性网卡粒度:指定的ECS/ENI通过配置的公网IP访问互联网。
通过ECS或弹性网卡进行选择:可以在下拉列表选择已创建的ECS实例,也可以单击创建ECS跳转到ECS控制台创建ECS实例后选择。选择多个ECS时,将会创建多条SNAT条目,使用相同的公网IP地址。需确保ECS实例的状态处于运行中,且不具备固定公网IP且未绑定其他弹性公网IP。
ECS/弹性网卡网段:显示ECS或弹性网卡的网段。
自定义网段粒度:输入任意网段后,该网段的下ECS实例都可以通过配置的SNAT规则访问互联网。
选择弹性公网IP地址:在下拉列表中选择提供互联网访问的EIP。
没有可选的EIP时,可在下拉列表单击新购弹性公网IP并绑定,在弹出的对话框中完成EIP的购买。
可以选择多个EIP,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。
EIP亲和性:选择多个EIP,未开启EIP亲和性时,同一个私网IP访问单一目的IP,可能使用不同的EIP。开启后,会使用相同的EIP,但会话数量较高可能会导致端口分配失败的监控计数上涨。
创建完成后,可单击目标条目操作列的编辑,修改EIP与EIP亲和性。
删除 SNAT 条目
在公网NAT网关详情页的SNAT管理页签,单击目标SNAT条目操作列的删除。
API
调用CreateSnatEntry创建SNAT条目。
调用DeleteSnatEntry删除SNAT条目。
配置 DNAT 条目
使用公网NAT网关DNAT功能,将公网NAT网关上的公网IP通过端口映射或IP映射两种方式映射给ECS实例,使ECS实例能够对外提供公网访问服务。但需确保ECS实例未绑定EIP,才能添加DNAT条目。
控制台
创建 DNAT 条目
前往公网 NAT 网关页面。在顶部菜单栏,选择公网NAT网关的地域。
单击目标公网NAT网关实例操作列的设置DNAT,单击创建DNAT条目。
选择弹性公网IP地址:选择要提供互联网通信的EIP。支持同一个EIP同时用于DNAT条目和SNAT条目。
选择私网IP地址:选择要通过DNAT规则进行公网通信的实例的IP。支持通过ECS或弹性网卡进行选择或通过手动输入。
端口设置:配置DNAT映射。
任意端口:属于IP映射,任何访问该公网IP的请求都将转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。
DNAT条目中配置了IP映射方式的EIP不能再被其他DNAT条目或SNAT条目使用。
如果公网NAT网关既配置了DNAT IP映射,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。
具体端口:属于端口映射,公网NAT网关会将以指定协议和端口访问该公网IP的请求转发到目标ECS实例的指定端口上。 配置公网端口(进行端口转发的外部端口或端口段)、私网端口(进行端口转发的内部端口或端口段)、协议类型(转发端口的协议类型)。
输入的端口范围需要在1~65535之间,如果需要在端口段内转发,请在输入时以正斜线(/)隔开起始端口,例如10/20。公私网端口段中的端口数量一致,公私网需同为端口或者端口段,且需确保端口数量一致。例如公网端口设置为10/20,私网端口设置为80/90。
当选择的EIP已创建SNAT条目,且需要设置大于
1024的公网端口时,因SNAT默认分配端口范围在1025~65535之间,需单击开启端口突破。但开启端口突破会导致部分存量SNAT的连接闪断,重连即可恢复,请谨慎操作。
创建完成后,可单击目标条目操作列的编辑,修改EIP、私网IP和端口。
删除 DNAT 条目
在公网NAT网关详情页的DNAT管理页签,单击目标DNAT条目操作列的删除。
API
调用CreateForwardEntry创建DNAT条目。
调用DeleteForwardEntry删除DNAT条目。
切换公网NAT网关模式
如需与 IPv4 网关结合使用,必须使用NAT模式。
多EIP网卡可见模式的公网NAT网关,不兼容IPv4网关,将无法创建IPv4网关。
已创建IPv4网关,创建多EIP网卡可见模式的公网NAT网关,将无法绑定EIP。
通过控制台创建的公网NAT网关默认为NAT模式,多EIP网卡可见模式仅可通过调用CreateNatGateway并指定EipBindMode创建。
NAT模式不支持切换至多EIP网卡可见模式。
将多EIP网卡可见模式切换为NAT模式:
调用ModifyNatGatewayAttribute调整
EipBindMode为NAT。在目标公网NAT网关实例的操作列选择
> 兼容IPv4网关。该功能默认不开放,需联系商务经理申请。