575 魔獸

高可用的SNAT網關__最佳實踐_用戶指南_專有網絡 VPC-阿裏雲

概述

在一份IT係統中，往往存在一些服務器需要主動訪問互聯網，但又出於安全性考慮需要避免這些服務器持有公網IP而暴露在公網上。這就需要該IT係統中的網關設備提供SNAT功能。

本文介紹如何利用NAT網關的SNAT功能來滿足這樣的需求。

關於價格與費用

NAT網關和共享帶寬包都是收費產品。具體收費方式和價格見價格總攬。

本文檔中所使用的購買頁截圖中，價格顯示為0，是因為編寫文檔使用的賬號有特殊設置。

請用戶在依照本文檔進行操作時，確保對購買頁上給出的報價有所了解後再進行購買。

前期準備

了解SNAT功能的設計

請閱讀相關文檔，了解NAT網關的SNAT功能設計，特別是SNAT表和SNAT規則的含義和效果。

NAT網關-SNAT功能介紹

部署規劃

假設我們的係統中有許多ECS，部署在同一個VPC的兩個不同的VSwitch下；其中：

VSwitch1下的ECS實例都需要主動訪問互聯網；
VSwitch2下的ECS實例都不需要主動訪問互聯網；
所有這些需要靠SNAT主動訪問互聯網的ECS實例，out方向（從阿裏雲數據中心流向互聯網）總帶寬需求大約為10Mbps。

那麼，整體資源規劃如下：

帶寬需求總量：10Mbps
公網IP需求總量：1個；

VPC與ECS的準備

創建VPC與ECS，配置成如下圖中所示的狀態。本文檔中使用的環境，如下麵幾張圖所示。

注意，這些ECS實例不需要公網IP。

操作步驟

創建NAT Gateway

在當前VPC中創建一個NAT網關，並在該NAT網關上放置一個共享帶寬包，其中包含10Mbps的帶寬和1個公網IP；

進入VPC控製台，點擊左側導航中的“NAT網關”，進入NAT網關的管理界麵。

然後，點擊右上角的“創建NAT網關”按鈕，進入NAT網關選購界麵。

按照您的需要進行參數設定。其中，關於NAT網關的規格，會影響SNAT功能的最大連接數和每秒新建連接數。不同規格下的具體參數，參見NAT網關-SNAT功能介紹

創建完成後，回到NAT網關管理界麵，可以看到剛剛創建成功的NAT網關。

添加共享帶寬包

NAT網關想要正常工作，需要在其上配置公網IP和公網帶寬。NAT網關上的公網IP和公網帶寬被封裝成共享帶寬包。一個共享帶寬包由一份帶寬和一組IP構成，這些IP共享這份帶寬。

點擊剛才創建的NAT網關，進入NAT網關詳情頁。

點擊左側導航中的“帶寬包”，進入NAT網關上的帶寬包管理界麵。

點擊“購買帶寬包”，進入共享帶寬包選配界麵。

按照剛才的規劃來設定需要的參數：1個公網IP，10Mbps的帶寬。點擊“立即購買”，完成共享帶寬包的創建。

回到NAT網關上的帶寬包管理界麵，可以看到剛才創建的共享帶寬包。

配置SNAT規則

在NAT網關詳情界麵，點擊左側導航的“SNAT表”，進入SNAT配置界麵。

點擊右上角的“創建SNAT條目”，打開SNAT規則創建界麵。

選擇需要使用SNAT功能的ECS所在的交換機，並選擇為其分配的SNAT所使用的公網IP。點擊確定，完成規則創建。

回到SNAT配置界麵，可以看到剛才創建的SNAT規則

到此，該VSwitch下的ECS實例已經可以經由NAT網關的SNAT能力訪問互聯網了。

驗證SNAT效果

登錄需要SNAT能力的ECS實例，訪問互聯網內容，驗證SNAT效果。

需要注意的是，ECS實例向互聯網發起的網絡通信，也會經由安全組進行ACL檢查。如有需要，請修改相應的ECS實例所關聯的安全組的具體規則，確保相應的訪問被放行。

修改帶寬/增加IP

如果您需要調整共享帶寬包的帶寬，或者為共享帶寬包增加IP，您需要對共享帶寬包進行配置變更。

在NAT網關的帶寬包管理界麵，點擊“修改帶寬”或者“增加IP”，進入共享帶寬包的變更配置界麵。

按照實際需要修改帶寬值和IP個數，完成帶寬修改。

注意：當您隻需要修改其中一個值時，務必確保另外一個值也設置為您實際需要的值，避免誤操作。

回到帶寬包管理界麵，可以看到配置變更後的共享帶寬包參數。如果參數沒有發生變化，請您等待一分鍾再刷新界麵。

移除IP

如果您需要減少共享帶寬包中的IP，可以在共享帶寬包的管理界麵，找到要釋放的IP，點擊其“釋放”按鈕，即可完成操作。

最後更新：2016-11-23 16:04:15

高可用的SNAT網關__最佳實踐_用戶指南_專有網絡 VPC-阿裏雲

概述

關於價格與費用