981
配置NAT網關實現從公網訪問阿裏雲NAS
阿裏雲文件存儲服務在使用時有一個限製:對於一個地域(比如華東1)內創建的文件係統(NFS或者SMB),隻支持同一地域內的ECS掛載,用戶在其他地域(比如華北1)內的ECS,或者用戶自己IDC機房的服務器,是沒法直接掛載的;隻有通過建立不同VPC間或者IDC和VPC間的高速通道才能實現跨地域或者從IDC服務器掛載文件係統,而部署高速通道帶來的高成本將是很多用戶麵臨的一個非常現實的問題。
之前對於已經在自己機房部署了VPN服務的用戶,我們推薦使用阿裏雲的VPN網關來實現用戶Office或者IDC到阿裏雲NAS的互通,可以參考https://help.aliyun.com/document_detail/54998.html。
但是,VPN的部署非常繁瑣,而且阿裏雲VPN目前是按月收費的(每月收費從幾百到幾千不等),對於一些用戶,他們在業務上雲過程中,僅僅是想把少量的線下數據上傳到阿裏雲NAS,那麼對於這部分用戶來說,是不是有更好的方案呢?接下來我們就來介紹一個更簡單(而且花費更少)的方案:使用NAT網實現從公網訪問阿裏雲NAS。
使用NAT網從公網訪問阿裏雲NAS的網絡架構如下圖所示:
用戶需要做的是:
1. 創建NAS文件係統;
2. 為文件係統添加掛載點;
3. 創建NAT網關;
4. 為NAT網關添加帶寬包,獲得公網IP(EIP);
5. 為NAT網關添加DNAT轉發條目;
通過這五步,用戶就可以在任何一台可以連接公網的PC(Windows或Linux)掛載NAS,實現文件的上傳和下載。
我們接著來演示一下:
1. 在NAS控製台創建文件係統
2. 為文件係統添加掛載點,注意需要創建VPC掛載點(NAT隻支持VPC)
3. 獲得掛載點的IP(可以在用戶的ECS中ping一下掛載點地址獲得IP)
4. 在NAT控製台創建NAT網關
5. 為NAT網關添加帶寬包
6. 創建DNAT,公網IP會出現第五步中創建的EIP,私網IP填寫需要訪問的掛載點的IP,端口設置最簡單的方式是選擇“所有端口”。(也可以安裝NFS和SMB協議需要選擇相應的端口。)
7. 驗證掛載NAS
7.1 首先我們驗證掛載NFS,將NAT映射配置到一個NFS的掛載點。
7.2 接著我們驗證掛載SMB,刪除原來的NAT映射,添加一條映射配置到一個SMB的掛載點。
到這裏,我麼可以看到,使用NAT的方案,從配置來說要比使用VPN的方案要簡單很多,但使用NAT也有其缺點:
1. 安全性方麵,由於打通了EIP和VPC,任何獲得了EIP的人都可以掛載NAS;
2. 由於每個EIP+Port隻能映射到一個掛載點,但用戶需要同時訪問多個掛載點時需要創建多個EIP;
最後,總結一下兩種方案的對比。
|
|
NAT網關方案 |
VPN網關方案 |
|
配置 |
簡單,完全在阿裏雲控製台完成 |
複雜,需要在阿裏雲控製台配置VPN網關,還需要在IDC或者Office配置用戶側VPN網關。 |
|
價格 |
Small規格:12元/天,EIP帶寬包:3.36元/Mbps/天
|
5Mbps VPN 網關:375元/月
|
|
安全性 |
差 |
好 |
|
靈活性 |
受限,一個EIP隻能映射到一個NAS掛載點 |
好,可以同時訪問所有的NAS掛載點 |
|
適合場景 |
臨時,少量數據上傳下載 |
用戶線下環境和阿裏雲NAS長期的連通 |
最後更新:2017-08-13 22:40:03