AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 NAT网关 操作指南 公网NAT网关 创建和管理公网NAT网关实例

创建和管理公网NAT网关实例

更新时间:
产品详情
我的收藏

公网NAT网关是一款阿里云全托管的网络地址转换网关,通过转换和隐藏云服务地址,防止地址直接暴露,实现安全访问互联网提升网络安全性。

创建/删除公网NAT网关

为了提升创建体验,在VPC内创建第一个公网NAT网关时,VPC的系统路由表中将默认添加一条目标网段为0.0.0.0/0,下一跳为公网NAT网关的路由条目,用于将流量路由到公网NAT网关。若VPC存在自定义路由表或VPC存在多个公网NAT网关,需要手动配置路由。若创建公网NAT网关前,VPC的系统路由表中已经存在目标网段为0.0.0.0/0的路由条目,系统不会自动添加指向公网NAT网关的路由条目。

控制台

创建公网 NAT 网关

  1. 前往NAT 网关 - 公网 NAT 网关购买页

    • 付费类型:按量付费。

    • 地域:选择创建公网 NAT 网关的地域。

    • 网络及可用区:选择公网 NAT 网关所属的VPC和交换机。创建成功后无法修改。

    • 弹性公网IP:根据是否已创建 EIP 等情况选择。

      每绑定一个EIP,将占用NAT网关所在交换机的一个私网IP地址。请确保该交换机具有足够的可用私网IP地址,否则无法成功绑定。

      • 选择已有,并选择未绑定实例EIP。

      • 新购弹性公网IP:默认创建BGP(多线)类型的按使用流量计费的EIP,可根据自身业务需要选择带宽峰值

        如需绑定其他线路类型计费类型的弹性公网IP,请先申请弹性公网IP,创建时选择已有进行绑定。

      • 稍后配置:成功创建的NAT网关将不具备公网能力,用户需后续手动绑定EIP。

  2. 创建成功后,可以在公网NAT网关页面查看已创建的公网NAT网关实例。

修改公网 NAT 网关配置

单击公网NAT网关实例ID,可修改NAT网关以下配置:

  • 删除保护:默认关闭,可在右侧单击开启删除保护。开启后,支持关闭。

  • ICMP代回:默认开启,如通过Ping命令进行探测时,通过NAT网关将会收到正常的回复报文,但这并不能保证后端服务器正常,可能会影响运维监控系统的探测准确性。关闭ICMP代回,NAT网关将不代回ICMP报文,但仅在DNAT配置任意端口映射场景下,NAT网关会将ICMP报文转发至后端服务器。

删除公网 NAT 网关

单击目标公网NAT网关实例操作更多操作 > 删除

删除前,需解绑EIP、删除配置的SNAT条目或DNAT条目。也可以选择强制删除(删除 NAT 网关及其包含资源),由系统删除公网NAT网关及相关资源,需谨慎操作。

API

绑定/解绑 EIP

公网NAT网关需要绑定EIP才能正常工作。一个公网NAT网关最多可绑定20EIP,可以前往配额管理页面自助提升配额。

20220919日起,新创建的公网NAT网关绑定一个EIP时将占用NAT网关所在交换机的一个私网IP(已有NAT网关实例不受影响),请确保NAT网关所在交换机内私网IP地址充足,否则无法成功绑定。

控制台

绑定 EIP

  1. 前往公网 NAT 网关页面。在顶部菜单栏,选择公网NAT网关的地域。

  2. 单击目标公网NAT网关实例弹性公网IP列的立即绑定,可从已有弹性公网IP中选择新购弹性公网IP并绑定

  3. 绑定成功后,公网NAT网关实例的弹性公网IP列将会显示绑定的EIP。

解绑 EIP

  1. 单击目标公网NAT网关实例的弹性公网IP列的EIP。

  2. 解除绑定:

    • 解绑的EIP没有被任何SNAT条目或DNAT条目占用时,在目标EIP操作列单击解除绑定

    • 如被SNAT条目或DNAT条目占用,需先删除SNAT条目和DNAT条目。未删除时,也可以在操作列单击强制解绑NAT,由系统默认删除并解绑。

API

配置 SNAT 条目

使用公网NAT网关的SNAT功能,为VPC中无公网IPECS实例提供访问互联网的代理服务,实现无公网IPECS实例访问互联网。

  • 如果ECS实例已经持有了公网IP,例如分配了固定公网IP、绑定EIP或设置了DNAT IP映射,当该ECS实例发起互联网访问时,会优先通过ECS实例持有的公网IP访问互联网,而不会使用公网NAT网关的SNAT功能访问互联网。可参考统一公网出口IP调整网络架构。

  • 当多条SNAT条目的源网段重叠时,系统会根据最长子网掩码匹配规则确定优先为哪一条SNAT条目提供互联网代理服务。

    • 使用ECS粒度配置的SNAT条目中源网段的子网掩码为/32,长度最长,优先级最高,优先匹配。

    • 使用其他粒度配置的SNAT条目会根据源网段的子网掩码长度进行匹配,长度越长,优先级越高,越先匹配。

控制台

创建 SNAT 条目

  1. 前往公网 NAT 网关页面。在顶部菜单栏,选择公网NAT网关的地域。

  2. 单击目标公网NAT网关实例操作列的设置SNAT,单击创建SNAT条目

    • SNAT条目粒度:选择SNAT条目的粒度。

      • 专有网络粒度:公网NAT网关所属VPC下的所有ECS实例均可以通过配置的SNAT规则访问互联网。

      • 交换机粒度:指定交换机下的ECS实例可以通过配置的公网IP访问互联网。

        • 选择交换机:可以在下拉列表选择已创建的交换机,也可以单击创建交换机跳转到VPC控制台创建交换机后选择。选择多个交换机时,将会创建多条SNAT条目,使用相同的公网IP地址。

        • 交换机网段:显示交换机的网段。

      • ECS/弹性网卡粒度:指定的ECS/ENI通过配置的公网IP访问互联网。

        • 通过ECS或弹性网卡进行选择:可以在下拉列表选择已创建的ECS实例,也可以单击创建ECS跳转到ECS控制台创建ECS实例后选择。选择多个ECS时,将会创建多条SNAT条目,使用相同的公网IP地址。需确保ECS实例的状态处于运行中,且不具备固定公网IP且未绑定其他弹性公网IP。

        • ECS/弹性网卡网段:显示ECS或弹性网卡的网段。

      • 自定义网段粒度:输入任意网段后,该网段的下ECS实例都可以通过配置的SNAT规则访问互联网。

    • 选择弹性公网IP地址:在下拉列表中选择提供互联网访问的EIP。

      • 没有可选的EIP时,可在下拉列表单击新购弹性公网IP并绑定,在弹出的对话框中完成EIP的购买。

      • 可以选择多个EIP,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。

    • EIP亲和性:选择多个EIP,未开启EIP亲和性时,同一个私网IP访问单一目的IP,可能使用不同的EIP。开启后,会使用相同的EIP,但会话数量较高可能会导致端口分配失败的监控计数上涨。

    创建完成后,可单击目标条目操作列的编辑,修改EIPEIP亲和性。

删除 SNAT 条目

在公网NAT网关详情页的SNAT管理页签,单击目标SNAT条目操作列的删除

API

配置 DNAT 条目

使用公网NAT网关DNAT功能,将公网NAT网关上的公网IP通过端口映射或IP映射两种方式映射给ECS实例,使ECS实例能够对外提供公网访问服务。但需确保ECS实例未绑定EIP,才能添加DNAT条目。

控制台

创建 DNAT 条目

  1. 前往公网 NAT 网关页面。在顶部菜单栏,选择公网NAT网关的地域。

  2. 单击目标公网NAT网关实例操作列的设置DNAT,单击创建DNAT条目

    • 选择弹性公网IP地址:选择要提供互联网通信的EIP。支持同一个EIP同时用于DNAT条目和SNAT条目。

    • 选择私网IP地址:选择要通过DNAT规则进行公网通信的实例的IP。支持通过ECS或弹性网卡进行选择通过手动输入

    • 端口设置:配置DNAT映射。

      • 任意端口:属于IP映射,任何访问该公网IP的请求都将转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。

        DNAT条目中配置了IP映射方式的EIP不能再被其他DNAT条目或SNAT条目使用。

        如果公网NAT网关既配置了DNAT IP映射,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。

      • 具体端口:属于端口映射,公网NAT网关会将以指定协议和端口访问该公网IP的请求转发到目标ECS实例的指定端口上。 配置公网端口(进行端口转发的外部端口或端口段)、私网端口(进行端口转发的内部端口或端口段)、协议类型(转发端口的协议类型)。

        • 输入的端口范围需要在1~65535之间,如果需要在端口段内转发,请在输入时以正斜线(/)隔开起始端口,例如10/20。公私网端口段中的端口数量一致,公私网需同为端口或者端口段,且需确保端口数量一致。例如公网端口设置为10/20私网端口设置为80/90

        • 当选择的EIP已创建SNAT条目,且需要设置大于1024的公网端口时,因SNAT默认分配端口范围在1025~65535之间,需单击开启端口突破。但开启端口突破会导致部分存量SNAT的连接闪断,重连即可恢复,请谨慎操作。

    创建完成后,可单击目标条目操作列的编辑,修改EIP、私网IP和端口。

删除 DNAT 条目

在公网NAT网关详情页的DNAT管理页签,单击目标DNAT条目操作列的删除

API

切换公网NAT网关模式

如需与 IPv4 网关结合使用,必须使用NAT模式。

  • EIP网卡可见模式的公网NAT网关,不兼容IPv4网关,将无法创建IPv4网关。

  • 已创建IPv4网关,创建多EIP网卡可见模式的公网NAT网关,将无法绑定EIP。

通过控制台创建的公网NAT网关默认为NAT模式EIP网卡可见模式仅可通过调用CreateNatGateway并指定EipBindMode创建。

  • NAT模式不支持切换至多EIP网卡可见模式。

  • 将多EIP网卡可见模式切换为NAT模式:

    • 调用ModifyNatGatewayAttribute调整EipBindModeNAT

    • 在目标公网NAT网关实例的操作列选择更多操作 > 兼容IPv4网关

      该功能默认不开放,需联系商务经理申请。

上一篇:公网NAT网关下一篇:VPC NAT网关