本教程指导您配置NAT网关的SNAT功能,实现无公网IP的ECS实例访问互联网。

配置场景

本教程以下图场景为例。某公司在阿里云创建了VPC和交换机,交换机中创建了多个ECS实例。ECS实例均未分配固定公网IP,也未绑定弹性公网IP(EIP)。因公司业务发展,需要每台ECS实例都需要访问互联网。

您可以通过NAT网关的SNAT功能,为VPC内无公网IP的ECS实例提供访问互联网的代理服务。SNAT配置场景

前提条件

开始前,请确保满足以下条件:
  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 您已经创建了专有网络(VPC)和交换机。详细信息,请参见创建专有网络
  • 您已经创建了EIP,且EIP的地域与要绑定的NAT网关的地域相同。详细信息,请参见申请新EIP

配置步骤

配置步骤

步骤一:创建NAT网关

NAT网关是一款企业级的公网网关,提供NAT代理功能。在配置SNAT条目前,您需要先创建一个NAT网关实例。

完成以下操作,创建NAT网关。

  1. 登录NAT网关管理控制台
  2. NAT网关页面,单击创建NAT网关
  3. 创建NAT网关页面,根据以下信息配置NAT网关,然后单击立即购买并完成支付。
    • 地域和可用区:选择需要创建NAT网关的地域。
      说明 目前,除澳大利亚(悉尼)地域外的其他所有地域都已支持创建增强型NAT网关实例。
    • VPC ID:选择NAT网关所属的VPC。创建NAT网关后,不能修改NAT网关所属的VPC。
      说明 如果在VPC列表中,找不到目标VPC,请从以下方面进行排查:
      • 查看该VPC是否已经配置NAT网关。一个VPC只能配置一个普通型NAT网关。
      • 查看该VPC中是否存在目标网段为0.0.0.0/0的自定义路由。如果存在,请删除该路由条目。
      • RAM账号不具备读取访问VPC的权限,请联系主账号进行授权。
    • 可用区:选择NAT网关实例所属的可用区。
    • 交换机ID:选择NAT网关实例所属的交换机。
      说明 仅创建增强型NAT网关时才支持选择NAT网关实例所属的交换机。
    • 网关类型:选择要创建的NAT网关类型。
      • 普通型
      • 增强型

      增强型NAT网关兼容普通型NAT网关的全部功能,并在普通型NAT网关的技术架构上作了升级,具有更优的弹性和更强的稳定性,帮助您更好的管理公网访问流量。本教程选择增强型

    • 规格:选择NAT网关的规格。
      • 小型
      • 中型
      • 大型
      • 超大型-1

      NAT网关的规格会影响SNAT功能的最大连接数和每秒新建连接数,但不会影响DNAT性能。详细信息,请参见实例规格

      本教程选择小型

    • 计费类型:选择NAT网关实例的计费类型。

      目前,仅支持按固定规格计费。详细信息,请参见按量付费

    • 计费周期显示NAT网关实例的计费周期。
创建成功后,您可以在NAT网关页面查看已创建的NAT网关实例。创建NAT网关

步骤二:绑定EIP

NAT网关作为一个网关设备,需要绑定公网IP才能正常工作。创建NAT网关后,您可以为NAT网关绑定EIP。

完成以下操作,为NAT网关绑定EIP。

  1. NAT网关页面,找到步骤一创建的NAT网关实例,单击其操作列下的更多操作 > 绑定弹性公网IP
  2. 绑定弹性公网IP对话框,根据以下信息绑定EIP,然后单击确定
    • 可用EIP列表:选择要绑定到NAT网关的EIP。
    • 交换机:选择要添加SNAT条目的交换机。

      系统会自动添加SNAT条目使交换机下的云资源可以主动访问互联网。您也可以不选择交换机,绑定EIP后手动添加SNAT条目。

      本教程不选择交换机。

      说明 仅未绑定EIP的NAT网关显示该选项。

步骤三:创建SNAT条目

NAT网关的SNAT功能可以为VPC中无公网IP的ECS实例提供访问互联网的代理服务。

完成以下操作,创建SNAT条目。

  1. NAT网关页面,找到步骤一创建的NAT网关实例,单击其操作列下的设置SNAT
  2. SNAT条目列表区域,单击创建SNAT条目
  3. 创建SNAT条目对话框,配置SNAT条目。
    本教程以交换机粒度为例,介绍如何配置SNAT条目。
    • 交换机:选择VPC中的交换机。该交换机下所有ECS实例都将通过SNAT功能访问互联网。
    • 交换机网段:显示交换机的网段。
    • 公网IP地址:选择用来提供互联网访问的公网IP。
      说明
      • 普通型NAT网关不支持将一个公网IP同时用于DNAT条目和SNAT条目。
      • 增强型NAT网关白名单支持将一个公网IP同时用于DNAT条目和SNAT条目。如需使用,请提交工单
    • 条目名称:SNAT条目的名称。

      名称长度为2~128个字符,以大小写字母或中文开头, 可包含数字、下划线(_)和短横线(-)。

  4. 单击确定

步骤四:测试连通性

SNAT条目配置成功后,您可以测试ECS实例的网络连通性。
说明 请确保ECS实例的安全组规则允许ECS实例访问互联网。

本教程以Linux实例为例,测试ECS实例的连通性。

  1. 登录交换机下的任意一台ECS实例。
  2. 通过ping命令测试网络连通性。
    经测试,ECS实例可以访问互联网。测试连通性