本教程指导您配置NAT网关的DNAT功能,实现ECS实例面向互联网提供服务。

配置场景

本教程以下图场景为例。某公司在阿里云创建了ECS实例,ECS实例部署了应用服务,但ECS实例未分配固定公网IP,也未绑定弹性公网IP(EIP)。因公司业务发展,需要互联网可以访问ECS实例中部署的应用服务。

您可以通过DNAT功能,将NAT网关上的公网IP映射给ECS实例使用,使ECS实例可以面向互联网提供服务。配置场景

前提条件

开始前,请确保满足以下条件:
  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 您已经创建了专有网络(VPC)和交换机。详细信息,请参见创建专有网络
  • 您已经在交换机中创建了ECS实例,且ECS实例部署了应用服务。详细信息,请参见使用向导创建实例
  • 您已经创建了EIP,且EIP的地域与要绑定的NAT网关的地域相同。详细信息,请参见申请新EIP

配置步骤

配置步骤

步骤一:创建NAT网关

NAT网关是一款企业级的公网网关,提供NAT代理功能。在配置DNAT条目前,您需要先创建一个NAT网关实例。

完成以下操作,创建NAT网关。

  1. 登录NAT网关管理控制台
  2. NAT网关页面,单击创建NAT网关
  3. 创建NAT网关页面,根据以下信息配置NAT网关,然后单击立即购买并完成支付。
    • 付费模式:选择NAT网关实例的付费模式。
      • 包年包月:包年包月是一种先付费后使用的付费模式。详细信息,请参见包年包月
      • 按量付费:按量付费是一种先使用后付费的付费模式。详细信息,请参见按量付费

      本教程选择包年包月

    • 地域和可用区:选择需要创建NAT网关的地域。
      说明 目前,除澳大利亚(悉尼)地域外的其他所有地域都已支持创建增强型NAT网关实例。
    • VPC ID:选择NAT网关所属的VPC。创建NAT网关后,不能修改NAT网关所属的VPC。
      说明 如果在VPC列表中,找不到目标VPC,请从以下方面进行排查:
      • 查看该VPC是否已经配置NAT网关。一个VPC只能配置一个普通型NAT网关。
      • 查看该VPC中是否存在目标网段为0.0.0.0/0的自定义路由。如果存在,请删除该路由条目。
      • RAM账号不具备读取访问VPC的权限,请联系主账号进行授权。
    • 交换机ID:选择NAT网关实例所属的交换机。
      说明 仅创建增强型NAT网关时才支持选择NAT网关实例所属的交换机。
    • 网关类型:选择要创建的NAT网关类型。
      • 普通型
      • 增强型

      增强型NAT网关兼容普通型NAT网关的全部功能,并在普通型NAT网关的技术架构上作了升级,具有更优的弹性和更强的稳定性,帮助您更好的管理公网访问流量。本教程选择增强型

    • 名称:设置NAT网关实例的名称。

      名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短横线(-)。

    • 规格:选择NAT网关的规格。
      • 小型
      • 中型
      • 大型
      • 超大型-1

      NAT网关的规格会影响SNAT功能的最大连接数和每秒新建连接数,但不会影响DNAT性能。详细信息,请参见实例规格

      本教程选择小型

    • 购买数量:设置要购买NAT网关实例的数量。
    • 计费周期:选择NAT网关实例的计费周期。
创建成功后,您可以在NAT网关页面查看已创建的NAT网关实例。创建NAT网关

步骤二:绑定EIP

NAT网关作为一个网关设备,需要绑定公网IP才能正常工作。创建NAT网关后,您可以为NAT网关绑定EIP。

完成以下操作,为NAT网关绑定EIP。

  1. NAT网关页面,找到步骤一创建的NAT网关实例,单击其操作列下的更多操作 > 绑定弹性公网IP
  2. 绑定弹性公网IP对话框,根据以下信息绑定EIP,然后单击确定
    • 可用EIP列表:选择要绑定到NAT网关的EIP。
    • 交换机:选择要添加SNAT条目的交换机。

      系统会自动添加SNAT条目使交换机下的云资源可以主动访问互联网。您也可以不选择交换机,绑定EIP后手动添加SNAT条目。

      本教程不选择交换机。

      说明 仅未绑定EIP的NAT网关显示该选项。

步骤三:创建DNAT条目

通过NAT网关的DNAT功能,可以将NAT网关上的公网IP映射给ECS实例使用,使ECS实例能够提供互联网服务。

完成以下操作,创建DNAT条目。

  1. NAT网关页面,找到步骤一创建的NAT网关实例,单击其操作列下的设置DNAT
  2. DNAT条目列表区域,单击创建DNAT条目
  3. 创建DNAT条目对话框,配置DNAT条目。
    • 公网IP地址:选择要提供互联网通信的公网IP。
      说明
      • 普通型NAT网关不支持将一个公网IP同时用于DNAT条目和SNAT条目。
      • 增强型NAT网关白名单支持将一个公网IP同时用于DNAT条目和SNAT条目。如需使用,请提交工单
    • 私网IP地址:选择要通过DNAT规则进行互联网通信的ECS实例。
      您可以通过以下两种方式指定目标ECS实例的私网IP:
      • 从ECS或弹性网卡对应IP进行选择:从ECS实例或弹性网卡列表中选择ECS实例。
      • 自填:输入目标ECS实例的私网IP。
        说明 自填的私网IP必须属于本VPC的CIDR范围,也可直接输入一个已有的ECS实例的私网IP。

      本教程选择交换机中已经创建的ECS实例。

    • 端口设置:选择DNAT映射的方式。
      • 所有端口:该方式属于IP映射,任何访问该公网IP的请求都将转发到目标ECS实例上。
      • 具体端口:该方式属于端口映射,NAT网关会将以指定协议和端口访问该公网IP的请求转发到目标ECS实例的指定端口上。
        选择具体端口后,请根据业务需求设置以下参数:
        • 公网端口:进行端口转发的外部端口。
        • 私网端口:进行端口转发的内部端口。
        • 协议类型:转发端口的协议类型。

      本教程选择所有端口

    • 条目名称:DNAT条目的名称。

      名称长度为2~128个字符,以大小写字母或中文开头, 可包含数字、下划线(_)和短横线(-)。

  4. 单击确定

步骤四:测试连通性

DNAT条目配置成功后,您可以使用互联网中的任意一台电脑访问ECS实例上部署的服务,测试ECS实例的连通性。
说明 请确保ECS实例的安全组规则允许互联网访问ECS实例。
  1. 打开电脑的浏览器。
  2. 输入绑定到NAT网关的EIP的IP地址访问部署在ECS实例上的应用服务。
    经验证,互联网可以访问部署在ECS实例上的应用服务。测试结果1