创建和管理公网NAT网关实例

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

公网NAT网关是一款阿里云全托管的网络地址转换网关,通过转换和隐藏云服务地址,防止地址直接暴露,实现安全访问互联网提升网络安全性。

背景信息

  • 为了提升配置体验,公网NAT网关支持组合购买EIP,即在创建公网NAT网关时,支持同时购买EIP实例或选择已有的EIP实例绑定至该公网NAT网关实例上。具体操作,请参见VPC全通模式组合购买公网NAT网关和弹性公网IP

    本文以非VPC全通模式介绍创建和管理公网NAT网关的方法。

  • 为了提升创建体验,在VPC内创建第一个公网NAT网关时,阿里云会在VPC的系统路由表中自动添加一条目标网段为0.0.0.0/0,下一跳为公网NAT网关的路由条目,用于将流量路由到公网NAT网关。若VPC存在自定义路由表或VPC存在多个公网NAT网关,请根据需要手动添加路由。具体操作,请参见创建和管理路由表

    若创建公网NAT网关前,VPC的系统路由表中已经存在目标网段为0.0.0.0/0的路由条目,系统不会自动添加指向公网NAT网关的路由条目。

  • 如果ECS实例已经持有了公网IP,例如分配了固定公网IP、绑定弹性公网IP(Elastic IP Address,简称EIP)或设置了DNAT IP映射,当该ECS实例发起互联网访问时,会优先通过ECS实例持有的公网IP访问互联网,而不会使用公网NAT网关的SNAT功能访问互联网。如需统一公网出口IP,请参见为已分配固定公网IP的ECS实例统一公网出口IP为设置了DNAT IP映射的ECS实例统一公网出口IP

  • 当多条SNAT条目的源网段重叠时,系统会根据最长子网掩码匹配规则确定优先为哪一条SNAT条目提供互联网代理服务。

    • 使用ECS粒度配置的SNAT条目中源网段的子网掩码为/32,长度最长,优先级最高,优先匹配。

    • 使用其他粒度配置的SNAT条目会根据源网段的子网掩码长度进行匹配,长度越长,优先级越高,越先匹配。

  • 如果您的ECS实例已经绑定了弹性公网 IP EIP(Elastic IP Address),则不支持为该ECS实例添加DNAT条目。如需为该ECS实例添加DNAT条目,请先将ECS实例与EIP解绑,再为该ECS实例添加DNAT条目。关于如何解绑EIP,请参见将EIP与云资源解绑

前提条件

  • 您已经创建了VPC和交换机。具体操作,请参见搭建IPv4专有网络

  • 您已经创建了弹性公网IP实例。具体操作,请参见申请EIP

创建公网NAT网关

  1. 登录NAT网关管理控制台

  2. 公网NAT网关页面,单击创建公网NAT网关

  3. 首次使用NAT网关时,在创建公网NAT网关页面关联角色创建区域,单击创建关联角色。角色创建成功后即可创建NAT网关。

    创建角色 关于NAT网关服务关联角色的更多信息,请参见服务关联角色

  4. 在创建公网NAT网关页面,配置以下购买信息,然后单击立即购买

    配置

    说明

    付费模式

    默认选择为按量付费,即一种先使用后付费的付费模式。更多信息,请参见公网NAT网关计费

    资源组

    选择VPC所属的资源组。更多信息,请参见什么是资源组

    标签

    • 标签键:选择或输入完整的标签键。

      最多支持输入20个标签键。一个标签键最多支持128个字符,不能以aliyun和acs:开头,不能包含http://或者https://。

    • 标签值:选择或输入完整的标签值。

      最多支持输入20个标签值。一个标签值最多支持128个字符,不能以aliyun和acs:开头,不能包含http://或者https://。

    所属地域

    选择需要创建公网NAT网关的地域。

    所属专有网络

    选择公网NAT网关所属的VPC。创建后,不能修改公网NAT网关所属的VPC。

    关联交换机

    选择公网NAT网关实例所属的交换机。

    计费类型

    默认选择为按使用量计费,即按公网NAT网关实际使用量收费。更多信息,请参见公网NAT网关计费

    计费周期

    默认选择为按小时,即按使用量计费公网NAT网关的计费周期为1小时,不足1小时按1小时计算。

    实例名称

    设置公网NAT网关实例的名称。

    实例名称长度为2~128个字符,以英文大小写字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    访问模式

    选择公网NAT网关的访问模式。支持以下两种模式:

    • VPC全通模式(SNAT):选择了VPC全通模式,在公网NAT网关创建成功后当前VPC内所有实例即可通过该公网NAT网关访问公网。

      选择VPC全通模式(SNAT)后,您需要配置弹性公网IP(Elastic IP Address,简称EIP)的相关信息。

    • 稍后配置:如需稍后配置或有更多配置需求,可在购买完成后,前往控制台进行配置。

      选择稍后配置,则只购买公网NAT网关实例。

    本文选择稍后配置

  5. 确认订单页面确认公网NAT网关的配置信息,选中服务协议并单击确认订单

    当出现恭喜,购买成功!的提示后,说明您创建成功。

绑定EIP

说明

从2022年09月19日起,新创建的公网NAT网关绑定一个EIP时将占用NAT网关所在交换机的一个私网IP(已有NAT网关实例不受影响),请确保NAT网关所在交换机内私网IP地址充足,如果NAT网关所在的交换机没有可用的空闲私网地址,将无法绑定新的EIP。

公网NAT网关需要绑定EIP才能正常工作。一个公网NAT网关最多可绑定20个EIP。您可以前往配额管理页面自助提升配额。绑定EIP前,请确保您已经创建了公网NAT网关。

  1. 登录NAT网关管理控制台

  2. 在顶部菜单栏,选择公网NAT网关的地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,然后在弹性公网IP列单击立即绑定

  4. 绑定弹性公网IP对话框,配置以下参数,然后单击确定

    配置

    说明

    所在资源组

    选择EIP所在的资源组。

    选择弹性公网IP

    从以下方式中选择一种绑定到公网NAT网关EIP的方式。

    • 单击从已有弹性公网IP中选择:在下拉列表中选择已有的EIP实例。

    • 单击新购弹性公网IP并绑定:系统只能为您创建1个按使用流量计费的按量付费EIP,并绑定到公网NAT网关。

    绑定成功后,在公网NAT网关实例的弹性公网IP地址列将会显示出绑定的EIP。

创建SNAT条目

您可以使用公网NAT网关的SNAT功能,为VPC中无公网IP的ECS实例提供访问互联网的代理服务,实现无公网IP的ECS实例访问互联网。

  1. 登录NAT网关管理控制台

  2. 在顶部菜单栏,选择公网NAT网关的地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,然后在操作列单击设置SNAT

  4. SNAT管理页签,单击创建SNAT条目

  5. 创建SNAT条目页面,配置以下参数,然后单击确定创建

  6. 配置

    说明

    SNAT条目粒度

    选择SNAT条目的粒度。

    • 专有网络粒度:公网NAT网关所属VPC下的所有ECS实例可以通过配置的SNAT规则访问互联网。

    • 交换机粒度:指定交换机下的ECS实例通过配置的公网IP访问互联网。

      • 选择交换机:在下拉列表中选择交换机。您可以在下拉列表选择已创建的交换机;也可以单击创建交换机跳转到VPC控制台创建交换机后选择。

        如果您选择多个交换机,将会为您创建多条SNAT条目,使用相同的公网IP地址。

      • 交换机网段:显示交换机的网段。

    • ECS/弹性网卡粒度:指定的ECS/ENI通过配置的公网IP访问互联网。

      • 通过ECS或弹性网卡进行选择:在下拉列表中选择ECS或ENI。该ECS或ENI将通过配置的公网IP访问互联网。您可以在下拉列表选择已创建的ECS实例;也可以单击创建ECS跳转到ECS控制台创建ECS实例后选择。如您选择多个ECS,将会为您创建多条SNAT条目,使用相同的公网IP地址。

        请确保所选择的ECS实例满足以下条件:

        • ECS实例的状态处于运行中。

        • ECS实例不具备固定公网IP且未绑定其他弹性公网IP。

      • ECS/弹性网卡网段:显示ECS或弹性网卡的网段。

    • 自定义网段粒度:输入任意网段后,该网段的下ECS实例都可以通过配置的SNAT规则访问互联网。

    选择公网IP地址

    选择用来提供互联网访问的公网IP。

    • 使用单IP:在下拉列表中选择弹性公网IP。如果下拉列表中没有可选的弹性公网IP,可在下拉列表单击新购弹性公网IP并绑定,在弹出的对话框中完成弹性公网IP的购买操作。

    • 使用多IP:从公网IP列表中,选择多个弹性公网IP。

      指定多个弹性公网IP配置至SNAT IP地址池时,业务连接会通过哈希算法分配到多个弹性公网IP,由于每个连接的流量不同,可能会出现多弹性公网IP业务流量不均匀的情况,建议您将每个弹性公网IP加入到同一个共享带宽中以避免单弹性公网IP带宽达到上限导致业务受损。

    EIP亲和性

    当您选择多个弹性公网IP时,您可以选择是否开启EIP亲和性能力。

    • 关闭EIP亲和性能力,同一个私网IP访问单一目的IP,可能使用不同的弹性公网IP。

    • 开启EIP亲和性能力,同一个私网IP访问单一目的IP,只会使用相同的弹性公网IP。

      若会话数量较高,可能会导致端口分配失败的监控计数上涨。

    条目名称

    SNAT条目的名称。

创建DNAT条目

您可以使用公网NAT网关DNAT功能,将公网NAT网关上的公网IP通过端口映射或IP映射两种方式映射给云服务器 ECS(Elastic Compute Service)实例使用,使ECS实例能够对外提供公网访问服务。

  1. 登录NAT网关管理控制台

  2. 在顶部菜单栏,选择公网NAT网关的地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,然后在操作列单击设置DNAT

  4. DNAT管理页签,单击创建DNAT条目

  5. 创建DNAT条目页面,配置以下参数,然后单击确定创建

    配置

    说明

    选择公网IP地址

    选择要提供互联网通信的弹性公网IP。

    说明

    公网NAT网关支持将一个公网IP同时用于DNAT条目和SNAT条目。

    选择私网IP地址

    选择要通过DNAT规则进行公网通信的实例的IP。您可以通过以下两种方式指定目标私网IP地址:

    • 通过ECS或弹性网卡进行选择:从ECS实例或弹性网卡列表中选择私网IP地址。

    • 通过手动输入:输入目标私网IP地址。

    端口设置

    选择DNAT映射的方式:

    • 任意端口:该方式属于IP映射,任何访问该公网IP的请求都将转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。

      说明
      • DNAT条目中配置了IP映射方式的EIP不能再被其他DNAT条目或SNAT条目使用。

      • 如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。

    • 具体端口:该方式属于端口映射,公网NAT网关会将以指定协议和端口访问该公网IP的请求转发到目标ECS实例的指定端口上。

      选择具体端口后,请根据业务需求设置以下参数:

      • 公网端口:进行端口转发的外部端口或端口段。

        • 输入的端口范围需要在1~65535之间。

        • 如果需要在端口段内转发,请在输入时以正斜线(/)隔开起始端口,例如10/20

        • 如果公网端口设置为端口段,则私网端口也需要设置为端口段,且端口段的端口个数相同,例如公网端口设置为10/20私网端口设置为80/90

        当选择的公网IP已创建了SNAT条目,且需要设置的公网端口号大于1024,因SNAT默认分配端口范围在1025~65535之间,请单击开启端口突破并在弹出的对话框单击确定

        警告

        开启端口突破操作会导致部分存量SNAT的连接闪断,重连即可恢复,请您谨慎操作。

      • 私网端口:进行端口转发的内部端口或端口段。

      • 协议类型:转发端口的协议类型。

    条目名称

    输入DNAT条目的名称。

    名称长度为2~128个字符,以大小写字母或中文开头, 可包含数字、下划线(_)和短划线(-)。

    说明

    在创建DNAT条目后,需在与ECS实例关联的安全组中添加相应的安全组规则。具体操作,请参见添加安全组规则

标记公网NAT网关

随着公网NAT网关实例数量的增多,会加大您对公网NAT网关实例的管理难度。通过标签将公网NAT网关实例进行分组管理,有助于您搜索和筛选实例。

标签是您为实例分配的标记,每个标签都由一对键值对(Key-Value)组成。标签的使用说明如下:

  • 一个公网NAT网关实例的每条标签的标签键(Key)必须唯一。

  • 不支持未绑定公网NAT网关实例的空标签存在,标签必须绑定在实例上。

  • 不同地域中的标签信息不互通。

    例如,在华东1(杭州)地域创建的标签在华东2(上海)地域不可见。

  • 您可以修改标签的键和值,也可以删除公网NAT网关实例的标签。如果删除公网NAT网关实例,绑定在实例上的标签也会被删除。

  • 一个公网NAT网关实例最多可以绑定20条标签,暂不支持提升配额。

  1. 登录NAT网关管理控制台

  2. 在顶部菜单栏,选择公网NAT网关的地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,将鼠标悬停在标签列的标签图标图标上,然后在气泡框单击添加编辑

  4. 编辑标签对话框,根据以下信息配置标签,然后单击确定

    配置

    说明

    标签键

    标签的标签键,支持选择已有标签键或输入新的标签键。

    标签键最多支持128个字符,不能以aliyunacs:开头,不能包含http://https://

    标签值

    标签的标签值,支持选择已有标签值或输入新的标签值。

    标签值最多支持128个字符,不能以aliyunacs:开头,不能包含http://https://

  5. 返回公网NAT网关页面,单击标签筛选,在标签筛选对话框根据标签键和标签值来筛选公网NAT网关实例。

编辑公网NAT网关

  1. 登录NAT网关管理控制台

  2. 在顶部菜单栏,选择公网NAT网关的地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,然后在操作列单击管理

  4. 基本信息页签的基本信息区域,您可以通过以下操作编辑公网NAT网关。

    • 编辑公网NAT网关的名称

      实例名称右侧单击编辑,在弹出的对话框中输入公网NAT网关的名称,然后单击确定

    • 编辑公网NAT网关的描述信息

      描述右侧单击编辑,在弹出的对话框中输入描述信息,然后单击确定

    • 开启或关闭删除保护

      删除保护右侧单击开启删除保护关闭删除保护

    • 开启或关闭ICMP代回能力

      ICMP代回右侧单击开关开启或关闭。

      说明

      NAT网关默认开启ICMP代回功能,NAT网关将代回ICMP报文。如通过Ping命令进行探测时,通过NAT网关将会收到正常的回复报文,但这并不能保证后端服务器正常,所以可能会影响您运维监控系统的探测准确性。如果您关闭了ICMP代回能力,NAT网关将不代回ICMP报文,但仅在DNAT配置任意端口映射场景下,NAT网关会将ICMP报文转发至后端服务器。

切换公网NAT网关模式

当您创建的公网NAT网关不兼容IPv4网关时,您可以通过切换公网NAT网关的模式,将其升级为兼容IPv4网关的公网NAT网关。

将不兼容IPv4网关的公网NAT网关升级为兼容IPv4网关的公网NAT网关功能默认不开放,如需使用,请提交工单申请。

说明
  • 升级过程中网络连接会出现秒级闪断。

  • 只支持将不兼容IPv4网关的公网NAT网关升级为兼容IPv4网关的公网NAT网关。

  1. 登录NAT网关管理控制台

  2. 在顶部菜单栏,选择公网NAT网关的地域。

  3. 公网NAT网关页面,找到目标公网NAT网关实例,在操作列选择更多操作 > 兼容IPv4网关

  4. 模式切换向导对话框中,单击确定

更多操作

操作

说明

编辑SNAT条目

  1. 公网NAT网关页面,找到目标公网NAT网关实例。

  2. 操作列单击设置SNAT

  3. SNAT条目列表区域,找到目标SNAT条目,然后在操作列单击编辑

  4. 编辑SNAT条目页面,修改SNAT条目的公网IP、EIP亲和性能力或名称,然后单击确定修改

删除SNAT条目

  1. 公网NAT网关页面,找到目标公网NAT网关实例。

  2. 操作列单击设置SNAT

  3. SNAT条目列表区域,找到目标SNAT条目,然后在操作列单击删除

  4. 在弹出的对话框,单击确定

编辑DNAT条目

  1. 公网NAT网关页面,找到目标公网NAT网关实例。

  2. 操作列单击设置DNAT

  3. DNAT条目列表区域,找到目标DNAT条目,然后在操作列单击编辑

  4. 编辑DNAT条目页面,修改DNAT条目的公网IP、私网IP、端口和名称,然后单击确定修改

删除DNAT条目

  1. 公网NAT网关页面,找到目标公网NAT网关实例。

  2. 操作列单击设置DNAT

  3. DNAT条目列表区域,找到目标DNAT条目,然后在操作列单击删除

  4. 在弹出的对话框,单击确定

解绑EIP

请确保要解绑的EIP没有被任何SNAT条目或DNAT条目占用。如有占用,请先删除SNAT条目和DNAT条目。

  1. 公网NAT网关页面,找到目标公网NAT网关实例。

  2. 弹性公网IP列单击EIP。

  3. 绑定的弹性公网IP页签,选中要解绑的EIP,然后在操作列单击解除绑定

  4. 在弹出的对话框,单击确定

    说明

    如果您未删除该EIP关联的SNAT条目和DNAT条目,您可以在操作列单击强制解绑NAT,然后在弹出的对话框,单击确定。系统会删除该EIP关联的SNAT条目和DNAT条目,然后将该EIP解绑。

删除公网NAT网关

  1. 公网NAT网关页面,找到目标公网NAT网关实例。

  2. 操作列选择更多操作 > 删除

  3. 删除网关对话框,单击确定

    说明

    当您需要强制删除公网NAT网关及其资源时,请在删除网关对话框,选中强制删除(删除 NAT 网关及其包含资源)。强制删除公网NAT网关时,系统会自动解绑EIP、删除该公网NAT网关下的SNAT条目或DNAT条目,请您谨慎操作。

相关文档