SNAT可以为VPC内无公网IP的云服务资源提供访问公网的代理服务。如果您在创建ACS集群时未配置SNAT,则需要手动配置SNAT为集群开启公网访问能力,使得集群中的Pod可以访问公网。
背景信息
公网NAT网关是一种公网地址转换服务,提供NAT代理(SNAT和DNAT)能力。更多信息,请参见什么是公网NAT网关和公网NAT网关计费。
默认情况下,ACS集群无法访问公网。如果集群中的Pod需要访问公网,例如需要拉取公网镜像,您可以在集群所属VPC中创建公网NAT网关并配置SNAT条目,实现集群中的Pod均可访问公网。
如果仅是某个Pod需要访问公网,您可以为该Pod单独绑定弹性公网IP(即EIP)。具体操作,请参见为Pod挂载独立公网EIP。
操作步骤
以下步骤介绍如何为已有集群配置SNAT,开启公网访问能力。
创建ACS集群时,在配置 SNAT处,选中为专有网络配置 SNAT,系统会自动为集群配置SNAT。
登录NAT网关管理控制台。
创建NAT网关。
单击创建NAT网关。
在弹出页面完成NAT网关参数配置,单击立即购买并完成后续操作。
需要注意的参数如下。更多信息,请参见创建和管理公网NAT网关实例。
配置
说明
所属地域、所属专有网络
地域和VPC的配置需与集群所属地域和VPC保持一致。
访问模式
请结合业务组网和安全性等因素进行选择。本文以稍后配置为例。
说明如果您不希望VPC下的所有资源均可访问公网,例如您的VPC中除了集群使用的交换机外,还有其他交换机,建议选择稍后配置。
VPC全通模式(SNAT):选择该模式后,您需要配置NAT网关绑定的弹性公网IP,并且系统会自动为您创建VPC粒度的SNAT条目。
稍后配置:选择该模式后,您需要另行绑定弹性公网IP和创建SNAT条目。
为NAT网关绑定弹性公网IP。
如果您在创建NAT网关时选择VPC全通模式(SNAT),则已绑定弹性公网IP,可跳过该步骤。
在公网NAT网关页面,找到目标NAT网关,然后在其右侧单击,选择绑定弹性公网IP。
在弹出的对话框中,完成弹性公网IP配置,然后单击确定。
创建SNAT条目。
如果您在创建NAT网关时选择VPC全通模式(SNAT),则已有VPC粒度的SNAT条目,可跳过该步骤。
在公网NAT网关页面,单击目标NAT网关的ID。
单击SNAT管理页签,然后单击创建SNAT条目。
完成SNAT条目配置,单击确定创建。
需要注意的参数如下。更多信息,请参见创建和管理SNAT条目。
配置
说明
SNAT条目粒度
请结合业务组网和安全性等因素进行选择。建议选择交换机粒度。
选择交换机
当SNAT条目粒度选择交换机粒度时,选择集群使用的交换机。
您可以在ACS集群的集群信息页面,在集群资源页签下获取查看配置的交换机ID。
选择弹性公网IP地址
选择NAT网关绑定的弹性公网IP,用于访问公网。
确认NAT网关的配置信息。
确认NAT网关所属VPC与集群所属VPC一致,确认NAT网关已绑定的弹性公网IP。
查看SNAT条目,确认已绑定集群使用的交换机。
结果验证
方式1:创建一个使用公网镜像的Pod,确认可以正常拉取镜像,成功创建Pod。
示例如下:
方式2:在集群内的Pod中,执行
ping命令访问公网地址,确认能够正常访问,且数据包没有丢失。示例如下:
