FAQ - NAT Gateway - 阿里云

Topik ini menjawab pertanyaan umum mengenai NAT Gateway dan membantu Anda memecahkan masalah umum.

Penggunaan dan konfigurasi

Konfigurasi instans

Mengapa saya tidak dapat membeli gateway NAT di beberapa zona?

Gateway NAT tidak tersedia di beberapa zona karena perencanaan sumber daya. Anda dapat memanggil operasi ListEnhancedNatGatewayAvailableZones untuk mengetahui zona tempat gateway NAT tersedia.

Meskipun Anda tidak dapat membuat gateway NAT di setiap zona, gateway NAT yang diterapkan di zona mana pun yang tersedia dapat menyediakan akses Internet untuk instans dan sumber daya di seluruh VPC.

Apakah saya dapat mengubah vSwitch dan alamat IP pribadi dari instans gateway NAT?

Tidak. Untuk mengubah vSwitch tempat gateway NAT diterapkan, Anda harus membuat gateway NAT baru dan memodifikasi entri rute.

Apakah gateway NAT dapat memproses paket data terfragmentasi?

Ya. Gateway NAT dapat memproses paket data TCP, UDP, dan ICMP yang terfragmentasi.

Konfigurasi SNAT

Jika blok CIDR sumber dari beberapa entri SNAT tumpang tindih, bagaimana prioritas entri SNAT tersebut dicocokkan?

Sistem menentukan prioritas entri SNAT berdasarkan aturan Pencocokan awalan terpanjang untuk menyediakan akses Internet.

Entri SNAT untuk instans ECS: Masker subnet dari blok CIDR sumber adalah /32. Ini adalah masker terpanjang dan memiliki prioritas tertinggi.
Entri SNAT untuk sumber daya lainnya: Prioritas ditentukan oleh panjang masker subnet dari blok CIDR sumber. Semakin panjang maskernya, semakin tinggi prioritasnya.

Berapa lama periode waktu idle untuk koneksi SNAT pada gateway NAT?

TCP: 900 detik.
UDP: 60 detik.

Apakah instans ECS dapat menggunakan SNAT pada gateway NAT Internet untuk mengakses layanan DNAT pada gateway yang sama?

Ya. Setelah Anda mengalihkan gateway NAT Internet ke NAT mode, instans ECS dapat menggunakan kemampuan SNAT gateway tersebut untuk mengakses layanan DNAT pada gateway yang sama, asalkan entri SNAT dan DNAT telah dikonfigurasi.

Bagaimana cara memeriksa apakah gateway NAT berada dalam mode NAT?
Panggil operasi DescribeNatGateways. Jika nilai parameter EipBindMode adalah NAT, maka gateway berada dalam mode NAT.
Bagaimana cara beralih ke mode NAT?
Panggil operasi ModifyNatGatewayAttribute dan atur parameter EipBindMode menjadi NAT.

Konfigurasi DNAT

Jika instans ECS dikaitkan dengan EIP, apakah saya dapat membuat entri DNAT untuknya?

Ya. Namun, pengguna eksternal tidak dapat mengakses instans ECS melalui entri DNAT tersebut. Untuk mengizinkan akses melalui entri DNAT, Anda harus terlebih dahulu memutuskan asosiasi EIP dari instans ECS.

Konfigurasi EIP

Saat membuat entri NAT, mengapa saya tidak dapat menemukan EIP yang sudah ada dalam daftar alamat IP publik?

Hal ini terjadi karena EIP dan gateway NAT berada di wilayah yang berbeda. Anda harus memilih EIP di wilayah yang sama dengan gateway NAT atau membuat EIP baru di wilayah gateway NAT tersebut.

Apakah gateway NAT dapat menggunakan EIP atau IP NAT yang sama untuk entri DNAT dan SNAT?

Ya. Namun, jika entri DNAT dikonfigurasi untuk port tertentu, EIP atau IP NAT tersebut tidak dapat digunakan untuk membuat entri DNAT atau SNAT lainnya.

Apa perbedaan antara dua mode untuk mengasosiasikan EIP dengan gateway NAT Internet?

Secara default, gateway NAT Internet yang dibuat di konsol berada dalam NAT Mode. Mode Multi-EIP-to-ENI Mode hanya dapat diaktifkan dengan memanggil operasi API CreateNatGateway dan menentukan parameter EipBindMode.

Untuk menggunakan gateway NAT dengan gateway IPv4, Anda harus menggunakan mode NAT.
Untuk fleksibilitas yang lebih besar dalam mengelola EIP, Anda dapat memilih mode multi-EIP-to-ENI.

Mode asosiasi	NAT Mode	Multi-EIP-to-ENI Mode
Mengalihkan mode asosiasi	Anda tidak dapat beralih ke mode multi-EIP-to-ENI.	Beralih di konsol: Untuk informasi selengkapnya, lihat Alihkan mode gateway NAT Internet. Beralih menggunakan OpenAPI: Panggil operasi ModifyNatGatewayAttribute. Atur parameter `EipBindMode` menjadi `NAT`. Jika lima EIP atau kurang dikaitkan dengan gateway NAT, Anda dapat langsung mengalihkan mode dengan memanggil operasi API. Jika lebih dari lima EIP dikaitkan dengan gateway NAT, hubungi manajer akun Anda untuk meminta pengalihan. Catatan Saat mengalihkan mode, koneksi jaringan mungkin mengalami gangguan sementara yang berlangsung beberapa detik. Durasi gangguan meningkat seiring bertambahnya jumlah EIP. Alihkan mode pada jam-jam non-sibuk. Sebelum mengalihkan mode, pastikan vSwitch tempat gateway NAT berada memiliki jumlah alamat IP yang tersedia secara mencukupi.
Apakah penambahan EIP ke gateway NAT Internet mengonsumsi alamat IP yang tersedia di vSwitch gateway NAT?	Setiap kali Anda menambahkan EIP, vSwitch tempat gateway NAT berada akan mengalokasikan alamat IP pribadi dan mengaitkannya dengan EIP tersebut. Saat instans ECS menggunakan entri SNAT atau DNAT untuk penerusan, data pertama-tama diterima oleh alamat IP pribadi yang dikaitkan dengan EIP, lalu diteruskan ke EIP yang sesuai.	Menambahkan EIP tidak mengonsumsi alamat IP yang tersedia di vSwitch tempat gateway NAT berada. Saat instans ECS menggunakan entri SNAT atau DNAT untuk penerusan, data langsung diteruskan melalui EIP yang sesuai.
Dukungan gateway IPv4	Didukung.	Tidak didukung.
Apakah instans ECS dapat menggunakan SNAT pada gateway NAT Internet untuk mengakses layanan DNAT pada gateway yang sama?	Ya.	Akses gagal.
Metode pembuatan	Dibuat secara default di konsol. Panggil operasi CreateNatGateway dan atur parameter `EipBindMode` menjadi `NAT`.	Panggil operasi CreateNatGateway dan atur parameter `EipBindMode` menjadi `MULTI_BINDED`.

Pemecahan masalah konektivitas jaringan

Tidak dapat mengakses Internet melalui SNAT

Periksa konfigurasi rute default yang mengarah ke gateway NAT:
Di halaman detail instans gateway NAT Internet, periksa informasi VPC Routes To NAT Gateway untuk memastikan bahwa terdapat entri rute yang mengarah ke gateway NAT Internet. Jika entri rute tidak ada, konfigurasikan rute di tabel rute terkait yang mengarah ke gateway NAT Internet dan gunakan 0.0.0.0/0 sebagai blok CIDR tujuan.
Verifikasi konfigurasi aturan SNAT:
- Di tab SNAT Management pada halaman detail instans Gateway NAT, pastikan status entri SNAT adalah Active.
- Pastikan alamat sumber akses Internet berada dalam Source CIDR Block.
Pecahkan masalah non-NAT:
- Akses lintas batas: Tautan akses mungkin tidak stabil.
- Akses nama domain: Periksa apakah resolusi nama domain dan Pendaftaran ICP berjalan normal.
- Kontrol akses: Periksa apakah pihak lawan telah mengonfigurasi kebijakan kontrol akses atau menambahkan EIP yang dikaitkan dengan instans ke daftar putih.
Periksa apakah gateway IPv4 telah dikonfigurasi: Saat digunakan bersama gateway IPv4, pastikan gateway NAT berada dalam mode NAT dan rute telah dikonfigurasi dengan benar.

Instans ECS baru tidak dapat mengakses Internet melalui SNAT

Masalah ini terjadi ketika instans ECS di vSwitch yang baru dibuat dalam VPC tidak dapat mengakses Internet melalui SNAT, sedangkan instans ECS di vSwitch lainnya dapat.

Pastikan entri SNAT mencakup blok CIDR vSwitch baru:
NAT Gateway tidak secara otomatis mengonfigurasi entri SNAT untuk vSwitch baru. Di tab SNAT Management pada halaman detail instans, periksa apakah Source CIDR Block dari entri SNAT yang ada mencakup blok CIDR vSwitch baru. Jika tidak, konfigurasikan entri SNAT secara manual.
Jika vSwitch baru dikaitkan dengan tabel rute kustom, pastikan entri rute telah dikonfigurasi dengan blok CIDR tujuan diatur ke 0.0.0.0/0 dan lompatan berikutnya diatur ke gateway NAT. Anda dapat menambahkan entri rute yang sesuai secara manual.

Instans ECS tidak dapat mengakses Internet saat terdapat beberapa gateway NAT

Masalah ini terjadi jika VPC hanya menggunakan tabel rute sistem yang hanya memiliki satu entri rute dengan blok CIDR tujuan 0.0.0.0/0 yang mengarah ke salah satu gateway NAT. Jika blok CIDR sumber entri SNAT pada gateway NAT tersebut tidak mencakup blok CIDR vSwitch tertentu, instans ECS di vSwitch tersebut tidak dapat mengakses Internet.

Jika Anda tidak memerlukan beberapa gateway NAT, hapus gateway yang tidak diperlukan dan tambahkan entri SNAT ke gateway NAT yang tersisa sehingga mencakup blok CIDR vSwitch tersebut.
Untuk menggunakan beberapa gateway NAT, lihat Terapkan beberapa gateway NAT Internet di VPC yang sama untuk petunjuk konfigurasi.

Gagal mengakses server FTP menggunakan SNAT

Masalah ini dapat terjadi karena alasan berikut:

Mode FTP aktif: Gateway NAT dengan entri SNAT yang dikonfigurasi hanya mendukung akses keluar aktif. Dalam mode aktif FTP, koneksi data tidak dapat dibuat karena SNAT tidak mendukung akses masuk aktif. Gunakan mode pasif FTP untuk terhubung ke server FTP.
Beberapa EIP dipilih untuk entri SNAT: Koneksi kontrol dan data FTP mungkin menggunakan EIP yang berbeda setelah SNAT, sehingga mengganggu interaksi FTP normal. Aktifkan fitur EIP affinity untuk aturan SNAT agar koneksi dari klien yang sama selalu menggunakan EIP yang sama. Atau, Anda dapat mengonfigurasi aturan SNAT terpisah untuk klien FTP dan mengaitkan satu EIP dengannya.

Tidak dapat diakses dari Internet setelah entri DNAT dikonfigurasi

Periksa konfigurasi rute default yang mengarah ke gateway NAT:
Saat instans yang dikonfigurasi dalam entri DNAT mengirim pesan tanggapan, instans tersebut juga memerlukan rute ke gateway NAT. Pastikan rute dengan blok CIDR tujuan diatur ke 0.0.0.0/0 dan lompatan berikutnya diatur ke gateway NAT telah dikonfigurasi di tabel rute sistem atau tabel rute kustom yang Anda gunakan. Anda dapat menambahkan entri rute yang sesuai secara manual.
Verifikasi konfigurasi aturan DNAT:
- Di tab DNAT Management pada halaman detail instans Gateway NAT, pastikan status entri DNAT adalah Active.
- Pastikan parameter seperti port, protokol, dan alamat tujuan telah dikonfigurasi dengan benar dalam aturan DNAT.
Periksa konfigurasi grup keamanan, firewall, dan status port layanan:
- Di instans ECS lain dalam VPC yang sama, jalankan perintah telnet <alamat IP pribadi instans ECS> <port pribadi> untuk memastikan apakah port pribadi instans ECS yang dikonfigurasi dalam entri DNAT dapat diakses.
  - Jika tanggapannya adalah unable to connect to remote host: Connection timed out, port pribadi tidak dapat diakses dari jaringan pribadi dan karenanya tidak dapat diakses dari Internet.
  - Jika tanggapannya adalah Connected to <alamat IP pribadi instans ECS>, port pribadi dapat diakses.
- Jika port pribadi dapat diakses, pastikan aturan grup keamanan untuk instans ECS mengizinkan akses Internet ke port yang sesuai dan firewall telah membuka port tersebut.
Pecahkan masalah resolusi nama domain: Jika Anda tidak dapat mengakses layanan melalui nama domain tetapi dapat mengaksesnya langsung melalui EIP, periksa pengaturan resolusi nama domain dan status Pendaftaran ICP.
Periksa apakah gateway IPv4 telah dikonfigurasi: Saat digunakan bersama gateway IPv4, pastikan gateway NAT berada dalam mode NAT dan rute telah dikonfigurasi dengan benar.
Verifikasi konsistensi antarmuka jaringan: Jika instans ECS memiliki beberapa network interface card, periksa apakah antarmuka jaringan arah masuk dan arah keluar sama. Untuk informasi selengkapnya, lihat Centralized egress.

Menggunakan NAT Gateway dengan gateway IPv4

Bandingkan gateway IPv4 dan gateway NAT

Gateway IPv4 dan gateway NAT Internet dapat digunakan bersama. Untuk informasi selengkapnya tentang komponen jaringan ini, lihat Akses Internet.

Komponen	Gateway IPv4	Gateway NAT Internet
Fungsi	Komponen di batas VPC yang mengontrol lalu lintas IPv4 publik.	Perangkat terjemahan alamat jaringan di dalam VPC.
Skenario	Mengontrol lalu lintas akses Internet secara terpusat	Menyediakan egress terpadu untuk lalu lintas yang menuju Internet.
Menyediakan akses Internet	Tidak. Hanya mengontrol lalu lintas Internet.	Ya, dengan mengaitkan EIP (Akses Internet disediakan oleh EIP, bukan oleh gateway NAT Internet itu sendiri.)

Setelah Anda membuat gateway IPv4, vSwitch diklasifikasikan menjadi dua jenis:

vSwitch publik: vSwitch dianggap sebagai vSwitch publik jika memiliki entri rute dengan Destination CIDR Block 0.0.0.0/0 dan Next Hop yang mengarah ke gateway IPv4. Sumber daya di vSwitch ini dapat mengakses Internet jika memiliki alamat IP publik.
vSwitch pribadi: vSwitch dianggap sebagai vSwitch pribadi jika tidak memiliki entri rute ke gateway IPv4. Sumber daya di vSwitch ini tidak dapat mengakses Internet secara langsung, bahkan jika diberikan alamat IP publik.

Saat menggunakan gateway IPv4 dengan gateway NAT Internet, terapkan gateway NAT Internet di vSwitch publik. Instans ECS di vSwitch pribadi yang memerlukan akses Internet harus memiliki rute yang dikonfigurasi untuk mengarah ke gateway NAT Internet. Hal ini mengarahkan lalu lintas yang menuju Internet ke gateway NAT Internet, yang kemudian menggunakan IP publiknya untuk mengakses Internet. Perhatikan hal berikut:

Pastikan EipBindMode gateway NAT Internet diatur ke NAT agar kompatibel dengan gateway IPv4.
- Gateway NAT Internet yang dibuat di konsol berada dalam mode NAT secara default. Untuk memanggil operasi CreateNatGateway, Anda harus mengatur EipBindMode menjadi NAT. Setelah pembuatan, panggil ModifyNatGatewayAttribute untuk mengubah EipBindMode.
- Gateway IPv4 tidak dapat dibuat jika gateway NAT Internet yang sudah ada memiliki EipBindMode diatur ke MULTI_BINDED.
- Jika gateway IPv4 sudah ada, Anda tidak dapat mengaitkan EIP dengan memanggil operasi CreateNatGateway untuk membuat gateway NAT Internet dengan EipBindMode diatur ke MULTI_BINDED.
Untuk mencegah sumber daya di vSwitch pribadi kehilangan akses Internet setelah mengaktifkan gateway IPv4, pastikan Anda mengonfigurasi rute sebelum aktivasi.

Dampak mengalihkan gateway NAT Internet ke mode NAT

Setelah pengalihan, gateway NAT Internet dapat digunakan bersama gateway IPv4. Jika instans memiliki entri SNAT dan DNAT, instans tersebut dapat menggunakan kemampuan SNAT-nya untuk mengakses layanan DNAT pada gateway NAT Internet yang sama.

Dampak penagihan: Pengalihan ini gratis dan tidak menimbulkan biaya tambahan.
Dampak layanan: Selama pengalihan, koneksi jaringan mungkin mengalami gangguan sementara yang berlangsung beberapa detik. Jumlah gangguan tergantung pada jumlah EIP yang dikaitkan.
Dampak konfigurasi:
- Alamat IP egress publik dan konfigurasi asli tidak berubah.
- Mengaitkan EIP mengonsumsi satu alamat IP pribadi dari vSwitch tempat gateway NAT berada. Pastikan vSwitch memiliki cukup alamat IP pribadi yang tersedia.
- Setelah pengalihan, Anda tidak dapat menonaktifkan mode kompatibilitas gateway IPv4.

Kinerja dan pemantauan

Waktu koneksi habis atau kecepatan unduh lambat saat klien mengakses layanan Internet

Pantau data lalu lintas
- Lihat data pemantauan EIP yang dikaitkan dengan gateway NAT untuk memeriksa kehilangan paket yang disebabkan oleh batas bandwidth. Jika terjadi kehilangan paket, tingkatkan bandwidth EIP.
- Jika Anda memiliki banyak instans ECS dan sulit memecahkan masalah lalu lintas tidak biasa pada instans tersebut, Anda dapat menggunakan pemantauan lalu lintas gateway NAT untuk mengidentifikasi sumber lalu lintas tidak biasa tersebut.
Mengoptimalkan kernel Linux
- Penyebab: Implementasi kernel Linux dapat menyebabkannya membuang permintaan koneksi TCP saat beberapa instans ECS berbasis Linux secara bersamaan mengakses server Linux melalui gateway NAT. Hal ini dapat menyebabkan waktu koneksi habis atau kegagalan koneksi.
- Solusi: Anda dapat menonaktifkan opsi net.ipv4.tcp_tw_recycle di server atau opsi net.ipv4.tcp_timestamps di klien.

Makna kegagalan alokasi port untuk gateway NAT

Makna: Saat klien mengakses alamat tujuan melalui gateway NAT, metrik ini menunjukkan jumlah koneksi yang dibuang karena alokasi port TCP atau UDP gagal. Kegagalan ini disebabkan oleh jumlah koneksi bersamaan yang terlalu tinggi.

Penyebab: Satu EIP atau IP NAT hanya dapat menyediakan jumlah port terbatas untuk SNAT. Jika jumlah sesi yang mengakses alamat tujuan yang sama terlalu besar dan jumlah EIP atau IP NAT yang digunakan oleh aturan SNAT yang dikonfigurasi terlalu sedikit, alokasi port gagal.

Solusi: Jika jumlah kegagalan alokasi port terus meningkat, tambahkan lebih banyak EIP atau IP NAT ke aturan SNAT.

Penagihan dan kuota

Kenaikan tiba-tiba biaya NAT Gateway

NAT Gateway adalah produk bayar sesuai penggunaan. Kenaikan biaya biasanya menunjukkan bahwa lebih banyak lalu lintas diproses melalui gateway NAT. Anda dapat memecahkan masalah ini sebagai berikut:

Periksa data pemantauan: Di konsol CloudMonitor, lihat metrik seperti lalu lintas arah masuk dan arah keluar serta jumlah koneksi untuk instans gateway NAT guna mengidentifikasi puncak bisnis.
Periksa detail penagihan: Gunakan Biaya dan Pengeluaran untuk melihat detail penagihan per jam gateway NAT guna menentukan kapan biaya meningkat.
Aktifkan log lalu lintas: Aktifkan log lalu lintas untuk gateway NAT, seperti log sesi dan log aliran, dan kirimkan log tersebut ke Layanan Log Sederhana untuk analisis guna menentukan sumber lalu lintas secara akurat.

Membatalkan langganan paket sumber daya NAT Gateway

Paket sumber daya NAT Gateway mendukung pengembalian dana tanpa syarat dalam lima hari dan pengembalian dana pro-rata. Untuk informasi selengkapnya, lihat Kebijakan pengembalian dana untuk situs internasional (alibabacloud.com).

Penagihan berlanjut setelah gateway NAT dihapus

Jika Anda terus menerima tagihan setelah menghapus instans gateway NAT, hal ini disebabkan oleh keterlambatan penagihan dalam sistem. Tagihan yang Anda terima adalah untuk sumber daya yang digunakan sebelum instans dihapus. Anda dapat melihat periode penggunaan spesifik di detail penagihan Anda untuk mengonfirmasi siklus penagihan.

Jumlah gateway NAT yang dapat dibuat per akun

Tidak ada batasan jumlah gateway NAT yang dapat Anda buat per Akun Alibaba Cloud.