| DNAT访问不通 | 使用DNAT面向公网提供服务的过程中遇到访问不通的问题,可根据以下情况分别进行排查:- 指向NAT的默认路由是否配置
您可以在公网NAT网关实例详情页面的指向NAT的VPC路由信息区域,查看当前是否有指向该公网NAT网关的路由条目,如没有需要配置目标网段为0.0.0.0/0的路由指向该公网NAT网关,否则该公网NAT网关无法处理流量。更多信息,请参见创建和管理公网NAT网关实例。 - DNAT规则是否正确配置
在DNAT规则配置页面确认DNAT规则已经配置生效,DNAT规则配置未生效会访问不通。关于如何配置DNAT规则,请参见创建和管理DNAT条目和创建和管理VPC NAT网关的DNAT条目。 - 对应ECS入方向安全组和防火墙是否正确配置
流量经过NAT网关处理后还会经过云服务器ECS(Elastic Compute Service)安全组(入方向)和防火墙(如果设置了防火墙)的过滤,需要检查对应目的端口的访问控制策略是否配置正确。更多信息,请参见添加安全组规则。 - DNAT映射的ECS服务端口是否开启
需要确认DNAT映射的ECS服务端口是否开启,如果服务端口未开启,则访问也会不通。 - 通过域名访问不通,通过EIP直接访问能通
此时说明DNAT功能正常,您需要检查域名解析是否设置以及是否备案等。 - 是否配置过IPv4网关
IPv4网关和NAT网关配置不当时可能存在兼容性问题(即使已经关闭IPv4网关)。解决方法有以下两种: - 是否先经过SNAT再访问DNAT的EIP
2022年09月19日之后在NAT网关管理控制台创建的NAT网关才支持SNAT访问DNAT,如果有这种类型的业务需求,建议您删除当前的NAT网关,然后在NAT网关管理控制台新建NAT网关并重新配置即可。如果您使用的是CreateNatGateway SDK创建的NAT网关,则需要将EipBindMode字段设置为NAT。 - 进出网卡是否一致
当ECS有多个网卡的情况,数据的入网卡和出网卡可能不一致,可通过抓包确认。具体操作,请参见为设置了DNAT IP映射的ECS实例统一公网出口IP。
说明 - 指向NAT的默认路由是否配置、DNAT规则是否正确配置、对应ECS入方向安全组和防火墙是否正确配置、是否先经过SNAT再访问DNAT的EIP这些问题还可以通过连通性探测的方式进行排查。
- 连通性探测:结合网络智能服务的路径分析功能检测NAT网关与其他网络资源的连通性。路径分析配置项及结果信息,请参见使用路径分析。
|
| SNAT访问不通 | NAT网关实例出现SNAT访问不通的问题,可根据以下情况分别进行排查:- 指向NAT的默认路由是否配置
您可以在公网NAT网关实例详情页面的指向NAT的VPC路由信息区域,查看当前是否有指向该公网NAT网关的路由条目,如没有需要配置目标网段为0.0.0.0/0的路由指向该公网NAT网关,否则该公网NAT网关无法处理流量。更多信息,请参见创建和管理公网NAT网关实例。 - SNAT规则是否正确配置
在SNAT规则配置页面确认SNAT规则是否已经配置生效,且确认源访问地址在SNAT规则的源地址段内。如果SNAT规则未配置正确则无法访问公网。 - 是否为非NAT问题
- 检查是ECS是否能访问公网,如果能访问公网则说明NAT网关工作正常。
- 检查网络是否为跨境访问,跨境访问线路不稳定。
- 如果是通过域名访问,检查域名备案解析是否正常。
- 检查对端是否设置了访问控制。
- 检查是否将NAT网关实例的弹性公网IP(Elastic IP Address,简称EIP)加入了白名单。
- 是否配置过IPv4网关
IPv4网关和NAT网关配置不当时可能存在兼容性问题(即使已经关闭IPv4网关)。解决方法有以下两种:
说明 - 指向NAT的默认路由是否配置和SNAT规则是否正确配置问题还可以通过连通性探测的方式进行排查。
- 连通性探测:结合网络智能服务的路径分析功能检测NAT网关与其他网络资源的连通性。路径分析配置项及结果信息,请参见使用路径分析。
|
| 偶发不通、速度慢或提示丢包 | NAT网关实例出现偶发不通、速度慢或提示丢包的问题,可根据以下情况分别进行排查:- 访问有时通有时不通
访问有时通说明NAT网关的SNAT或者DNAT工作正常,出现这种状况一般需要检查EIP是否有超带宽丢弃的情况、NAT网关是否有超规格丢弃的情况。 - 云监控有丢包通知
用户需要自行判断,如果是突发流量,对业务没有影响则可以忽略。如果持续丢包,需要使用实例诊断功能(EIP实例诊断和NAT实例诊断)来判断是EIP带宽受限还是NAT网关规格超限,诊断后提升对应的产品规格即可解决。 - 访问较慢
如果您存在多台Linux操作系统的ECS实例通过NAT网关并发访问基于Linux操作系统服务端的场景,由于Linux操作系统内核实现的原因,可能存在TCP连接请求被Linux操作系统内核丢弃而导致连接超时或失败的情况。建议您关闭服务端的Linux net.ipv4.tcp_tw_recycle选项,或关闭客户端的Linux net.ipv4.tcp_timestamps选项。具体操作,请参见Linux内核协议栈丢弃SYN报文的主要场景剖析。
以上问题还可以通过实例诊断功能进行排查: - NAT实例诊断:结合网络智能服务的实例诊断功能对NAT网关实例进行健康诊断。NAT网关支持的实例诊断项,请参见NAT网关实例诊断项及详情。
- EIP实例诊断:结合网络智能服务的实例诊断功能对EIP实例进行健康诊断。EIP支持的实例诊断项,请参见EIP实例诊断项及详情。
|
| 费用问题 | NAT网关实例的费用相关问题及解决方案如下:- NAT计费方式
NAT网关只支持按量付费的模式。更多计费信息,请参见公网NAT网关计费。 - NAT按量计费转规格(包年包月)计费
目前NAT网关已不支持规格(包年包月)计费,如果您是规格(包年包月)计费的NAT网关实例,可以升级为按量付费NAT网关实例,如果是按量付费NAT网关实例,则无法转为规格(包年包月)计费的NAT网关实例。 - NAT网关资源包介绍
自动抵扣NAT网关产生的实例费和CU费,可叠加且多买优惠更多。更多信息,请参见NAT网关资源包。 - NAT网关资源包退款
不支持退款,到期后未用完的资源包将自动清零,不支持转移到其它资源包。 - 费用突然变高
由于NAT网关为按量付费,费用突然变高可能是由于业务量增长所致,可以在NAT网关监控中查看具体的业务量。更多信息,请参见公网NAT网关监控与运维和VPC NAT网关监控与运维。 - 查询具体账单
您可以登录NAT网关管理控制台查看账单和用量明细。具体操作,请参见查询账单和用量明细。 - 无法退款
无法退款的原因可能是由于您使用的子账户没有退款权限,建议您使用主账号退款或者给子账号增加相关权限。
|
| 资源配额不足 | NAT网关实例出现配额管理不足或即将达到上限问题时,您可以登录配额中心控制台或者专有网络管理控制台提升配额。更多信息,请参见管理NAT网关配额。 |
| 其他问题 | 当您不确定NAT网关实例的问题类型时,建议您对NAT网关实例进行健康诊断,以协助排查问题。NAT网关支持的实例诊断项,请参见NAT网关实例诊断项及详情。 |