575 阿里云

高可用的SNAT网关__最佳实践_用户指南_专有网络 VPC-阿里云

概述

在一份IT系统中，往往存在一些服务器需要主动访问互联网，但又出于安全性考虑需要避免这些服务器持有公网IP而暴露在公网上。这就需要该IT系统中的网关设备提供SNAT功能。

本文介绍如何利用NAT网关的SNAT功能来满足这样的需求。

关于价格与费用

NAT网关和共享带宽包都是收费产品。具体收费方式和价格见价格总揽。

本文档中所使用的购买页截图中，价格显示为0，是因为编写文档使用的账号有特殊设置。

请用户在依照本文档进行操作时，确保对购买页上给出的报价有所了解后再进行购买。

前期准备

了解SNAT功能的设计

请阅读相关文档，了解NAT网关的SNAT功能设计，特别是SNAT表和SNAT规则的含义和效果。

NAT网关-SNAT功能介绍

部署规划

假设我们的系统中有许多ECS，部署在同一个VPC的两个不同的VSwitch下；其中：

VSwitch1下的ECS实例都需要主动访问互联网；
VSwitch2下的ECS实例都不需要主动访问互联网；
所有这些需要靠SNAT主动访问互联网的ECS实例，out方向（从阿里云数据中心流向互联网）总带宽需求大约为10Mbps。

那么，整体资源规划如下：

带宽需求总量：10Mbps
公网IP需求总量：1个；

VPC与ECS的准备

创建VPC与ECS，配置成如下图中所示的状态。本文档中使用的环境，如下面几张图所示。

注意，这些ECS实例不需要公网IP。

操作步骤

创建NAT Gateway

在当前VPC中创建一个NAT网关，并在该NAT网关上放置一个共享带宽包，其中包含10Mbps的带宽和1个公网IP；

进入VPC控制台，点击左侧导航中的“NAT网关”，进入NAT网关的管理界面。

然后，点击右上角的“创建NAT网关”按钮，进入NAT网关选购界面。

按照您的需要进行参数设定。其中，关于NAT网关的规格，会影响SNAT功能的最大连接数和每秒新建连接数。不同规格下的具体参数，参见NAT网关-SNAT功能介绍

创建完成后，回到NAT网关管理界面，可以看到刚刚创建成功的NAT网关。

添加共享带宽包

NAT网关想要正常工作，需要在其上配置公网IP和公网带宽。NAT网关上的公网IP和公网带宽被封装成共享带宽包。一个共享带宽包由一份带宽和一组IP构成，这些IP共享这份带宽。

点击刚才创建的NAT网关，进入NAT网关详情页。

点击左侧导航中的“带宽包”，进入NAT网关上的带宽包管理界面。

点击“购买带宽包”，进入共享带宽包选配界面。

按照刚才的规划来设定需要的参数：1个公网IP，10Mbps的带宽。点击“立即购买”，完成共享带宽包的创建。

回到NAT网关上的带宽包管理界面，可以看到刚才创建的共享带宽包。

配置SNAT规则

在NAT网关详情界面，点击左侧导航的“SNAT表”，进入SNAT配置界面。

点击右上角的“创建SNAT条目”，打开SNAT规则创建界面。

选择需要使用SNAT功能的ECS所在的交换机，并选择为其分配的SNAT所使用的公网IP。点击确定，完成规则创建。

回到SNAT配置界面，可以看到刚才创建的SNAT规则

到此，该VSwitch下的ECS实例已经可以经由NAT网关的SNAT能力访问互联网了。

验证SNAT效果

登录需要SNAT能力的ECS实例，访问互联网内容，验证SNAT效果。

需要注意的是，ECS实例向互联网发起的网络通信，也会经由安全组进行ACL检查。如有需要，请修改相应的ECS实例所关联的安全组的具体规则，确保相应的访问被放行。

修改带宽/增加IP

如果您需要调整共享带宽包的带宽，或者为共享带宽包增加IP，您需要对共享带宽包进行配置变更。

在NAT网关的带宽包管理界面，点击“修改带宽”或者“增加IP”，进入共享带宽包的变更配置界面。

按照实际需要修改带宽值和IP个数，完成带宽修改。

注意：当您只需要修改其中一个值时，务必确保另外一个值也设置为您实际需要的值，避免误操作。

回到带宽包管理界面，可以看到配置变更后的共享带宽包参数。如果参数没有发生变化，请您等待一分钟再刷新界面。

移除IP

如果您需要减少共享带宽包中的IP，可以在共享带宽包的管理界面，找到要释放的IP，点击其“释放”按钮，即可完成操作。

最后更新：2016-11-23 16:04:15

高可用的SNAT网关__最佳实践_用户指南_专有网络 VPC-阿里云

概述

关于价格与费用