本文指导您配置公网NAT网关的DNAT功能,实现ECS实例对外提供公网访问服务。本文中出现的NAT网关均指公网NAT网关。

配置场景

本文以下图场景为例。某公司在阿里云创建了ECS实例,并在ECS实例上部署了应用服务,但未给ECS实例分配固定公网IP,也未绑定弹性公网IP(Elastic IP Address,简称EIP)。因公司业务发展,需要互联网可以访问ECS实例中部署的应用服务。

您可以通过DNAT功能,将NAT网关上的公网IP映射给ECS实例使用,使ECS实例可以面向互联网提供服务。配置场景

前提条件

开始前,请确保满足以下条件:
  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 您已经创建了专有网络VPC(Virtual Private Cloud)和交换机。具体操作,请参见搭建IPv4专有网络
  • 您已经在交换机中创建了ECS实例,且ECS实例部署了应用服务。具体操作,请参见使用向导创建实例

配置步骤

配置步骤

步骤一:创建NAT网关

  1. 登录NAT网关管理控制台
  2. 公网NAT网关页面,单击创建NAT网关
  3. 首次使用NAT网关时,在创建NAT网关面板关联角色创建须知区域,单击创建,创建服务关联角色。角色创建成功后即可创建NAT网关。
    创建角色
  4. 创建NAT网关面板,配置以下购买信息,然后单击立即购买
    • 付费模式
      • 包年包月:包年包月是一种先付费后使用的付费模式。更多信息,请参见包年包月
      • 按量付费:按量付费是一种先使用后付费的付费模式。更多信息,请参见按量付费
      本文以选择按量付费为例。
    • 地域和可用区:选择需要创建NAT网关的地域。
    • 可用区:选择NAT网关实例所属的可用区。
    • VPC ID:选择NAT网关所属的VPC。创建NAT网关后,不能修改NAT网关所属的VPC。
    • 交换机ID:选择NAT网关实例所属的交换机。
    • 网关类型:默认选择为增强型
    • 名称:设置NAT网关实例的名称。

      名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    • 计费类型:默认选择为按使用量计费,即按NAT网关实际使用量收费。更多信息,请参见按使用量计费
    • 计费周期:默认选择为按小时,即按使用量计费NAT网关的计费周期为1小时,不足1小时按1小时计算。
创建成功后,您可以在公网NAT网关页面查看已创建的NAT网关实例。创建NAT网关

步骤二:绑定EIP

NAT网关作为一个网关设备,需要绑定EIP才能正常工作。创建NAT网关后,您可以为NAT网关绑定EIP。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏,选择NAT网关的地域。
  3. 公网NAT网关页面,找到目标NAT网关实例,然后在弹性公网IP列单击立即绑定
  4. 绑定弹性公网IP对话框,配置以下参数,然后单击确定
    配置 说明
    所在资源组 选择EIP所在的资源组。
    选择弹性公网IP 要绑定到NAT网关的EIP。

    本文以选择新购弹性公网IP并绑定为例进行说明。系统会为您创建1个按使用流量计费的按量付费EIP,并绑定到NAT网关。

    绑定成功后,在NAT网关实例的弹性公网IP列将会显示出绑定的EIP。

步骤三:创建DNAT条目

通过NAT网关的DNAT功能,可以将NAT网关上的公网IP映射给ECS实例使用,使ECS实例能够提供互联网服务。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏,选择NAT网关的地域。
  3. 公网NAT网关页面,找到目标NAT网关实例,然后在操作列单击设置DNAT
  4. DNAT管理页签,单击创建DNAT条目
  5. 创建DNAT条目页面,配置DNAT条目参数,然后单击确定创建
    配置 说明
    选择公网IP地址 在下拉列表选择要提供互联网通信的公网IP。
    说明
    • 普通型NAT网关不支持将一个公网IP同时用于DNAT条目和SNAT条目。
    • 增强型NAT网关支持将一个公网IP同时用于DNAT条目和SNAT条目。
    选择私网IP地址 选择要通过DNAT规则进行互联网通信的ECS实例。您可以通过以下两种方式指定目标ECS实例的私网IP:
    • 通过ECS或弹性网卡进行选择:从ECS实例或弹性网卡列表中选择ECS实例。
    • 通过手动输入:输入目标ECS实例的私网IP。
    端口设置 选择DNAT映射的方式。
    • 任意端口:该方式属于IP映射,任何访问该公网IP的请求都将转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。
      说明
      • DNAT条目中配置了IP映射方式的EIP不能再被其他DNAT条目或SNAT条目使用。
      • 如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。
    • 具体端口:该方式属于端口映射,公网NAT网关会将以指定协议和端口访问该公网IP的请求转发到目标ECS实例的指定端口上。
      选择具体端口后,请根据业务需求设置以下参数:
      • 公网端口:进行端口转发的外部端口或端口段。
        • 输入的端口范围需要在1~65535之间。
        • 如果需要在端口段内转发,请在输入时以正斜线(/)隔开起始端口,例如10/20
        • 如果公网端口设置为端口段,则私网端口也需要设置为端口段,且端口段的端口个数相同,例如公网端口设置为10/20私网端口设置为80/90

        当选择的公网IP已创建了SNAT条目,且需要设置的公网端口号大于1024,请单击开启端口突破并在弹出的对话框单击确定。该操作会导致部分存量SNAT的连接闪断,重连即可恢复,请您谨慎操作。

      • 私网端口:进行端口转发的内部端口或端口段。
      • 协议类型:转发端口的协议类型。
    条目名称 DNAT条目的名称。

    名称长度为2~128个字符,以大小写字母或中文开头, 可包含数字、下划线(_)和短划线(-)。

步骤四:测试连通性

DNAT条目配置成功后,您可以使用互联网中的任意一台电脑访问ECS实例上部署的服务,测试ECS实例的连通性。
说明 请确保ECS实例的安全组规则允许互联网访问ECS实例,更多信息,请参见安全组概述
  1. 打开电脑的浏览器。
  2. 输入绑定到NAT网关的EIP的IP地址访问部署在ECS实例上的应用服务。
    经验证,互联网可以访问部署在ECS实例上的应用服务。测试结果1