公网NAT网关、弹性IP带宽、VPC内弹性云主机与VPC是什么样的关系?
- VPC是虚拟私有云,通过逻辑方式进行网络隔离,提供安全、隔离的网络环境。
- 公网NAT网关能够为VPC内的弹性云主机提供访问外网的能力。
- 弹性IP是可以提供互联网上合法的静态IP地址的服务,VPC的吞吐量由弹性IP带宽决定。
- 弹性云主机是VPC内的运行实例,使用公网NAT网关访问外网。
哪些端口无法访问?
出于安全因素考虑,部分运营商会对下列端口进行拦截,导致无法访问。建议避免使用下列端口:
| 协议 | 不支持端口 |
|---|---|
| TCP | 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996 |
| UDP | 135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996 |
弹性云主机使用NAT网关和直接绑定弹性IP有区别吗?
公网NAT网关提供SNAT和DNAT功能,可允许多台弹性云主机共享弹性IP。
弹性云主机直接绑定弹性IP为独占IP的方式。
当同一个弹性云主机同时设置了SNAT和弹性IP时,会优先使用弹性IP进行转发。
当同一个弹性云主机同时设置了DNAT和弹性IP时,入云方向的弹性IP取决于客户端用户的自主选择(DNAT规则绑定的弹性IP或ECS直接绑定的弹性IP),而出云方向优先使用弹性云主机直接绑定的弹性IP,所以如果入云和出云使用的弹性IP不一致,流量会不通。
不建议弹性云主机同时使用公网NAT网关和直接绑定弹性IP。
通过公网NAT网关访问Internet失败该如何处理?
用户通过公网NAT网关访问Internet失败,可能是由于VPC路由表配置错误引起的,可以通过以下方法重新配置VPC路由表。
- 找到VPC对应的子网关联的路由表。
- 查看路由表是否有到NAT网关的路由,如果不包含,请添加对应的路由。
- 如果用户自行修改到公网NAT网关的路由,请确保路由的目的地址包含待访问的目的地址。
公网NAT网关是否支持更换VPC?
不支持。
公网NAT网关在购买时选定VPC,不支持后续进行更换。
公网NAT网关是否支持IPV6?
目前公网NAT网关不支持IPV6协议。
基于公网NAT网关的用户网络,可以配置哪些安全策略实现访问限制?
基于公网NAT网关的用户网络,可以通过配置安全组和网络ACL实现访问限制。
- 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云主机提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云主机加入该安全组后,即受到这些访问规则的保护。
- 网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。
安全组对弹性云主机进行防护,网络ACL对子网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制。
安全组与网络ACL的详情,请参见虚拟私有云用户指南。
公网NAT网关配置完成后,网络不通如何处理?
问题描述
您创建了一个公网NAT网关,并按照步骤配置了SNAT、DNAT规则,但是您的云主机不能访问互联网或不能为互联网提供服务。配置了公网NAT网关的网络是否可以连通互联网与路由表配置、安全组配置、网络ACL配置等多个环节相关联。任意一个环节出现问题,都会导致网络不通。本节操作介绍公网NAT网关配置完成后,网络不通时的排查思路。
排查思路
后文列举了一些排查思路,帮助您快速找到问题的原因,如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。
检查路由表是否配置指向公网NAT网关网关的默认路由
- 登录管理控制台。
- 在管理控制台左上角单击
,选择区域和项目。
- 在系统首页,选择“网络 > 虚拟私有云”。
- 在左侧导航栏选择“路由表”。
- 在路由表列表中,单击公网NAT网关所在VPC的路由表名称。
- 检查路由列表中是否存在指向公网NAT网关的默认路由(0.0.0.0/0)。
− 如果未存在默认路由,请在路由表中添加指向公网NAT网关的默认路由。
i. 单击“添加路由”,按照提示配置参数。
表 参数说明
| 参数 | 参数说明 |
|---|---|
| 目的地址 | 目的地址网段。配置为0.0.0.0/0。 |
| 下一跳类型 | 下一跳资源类型选择“NAT网关”。 |
| 下一跳 | 下一跳资源选择创建的公网NAT网关。 |
| 描述 | 路由的描述信息,非必填项。描述信息内容不能超过255个字符,且不能包含“<”和“>”。 |
ii. 单击“确定”,完成添加。
− 如果存在默认路由,但是未指向公网NAT网关,请在路由表中添加指向公网NAT网关的路由或者新增路由表并添加指向公网NAT网关的默认路由。
- 路由表中添加指向公网NAT网关的路由详细步骤:
- 单击“添加路由”,按照提示配置参数。
表 参数说明
| 参数 | 参数说明 |
|---|---|
| 目的地址 | 目的地址网段。 |
| 下一跳类型 | 下一跳资源类型选择“NAT网关”。 |
| 下一跳 | 下一跳资源选择创建的公网NAT网关。 |
| 描述 | 路由的描述信息,非必填项。描述信息内容不能超过255个字符,且不能包含“<”和“>”。 |
- 单击“确定”,完成添加。
- 新增路由表并添加指向公网NAT网关的默认路由:
- 在路由表列表页面右上角,单击“创建路由表”,按照提示配置参数。
表 参数说明
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 路由表名称 | 路由表的名称,必填项。路由表的名称只能由中文、英文字母、数字、“_”、“-”和“.”组成, 且不能有空格,长度不能大于64个字符。 |
rtb-001 |
| 所属VPC | 选择路由表归属的VPC,必填项。 | vpc-001 |
| 描述 | 路由表的描述信息,非必填项。描述信息内容不能超过255个字符,且不能包含“<”和“>”。 | - |
| 添加路由 | 路由规则信息。路由规则可以在此处添加,单击“继续添加”。添加目的地址为“0.0.0.0/0”, 下一跳资源类型选择“NAT网关”,下一跳资源选择创建的公网NAT网关。 |
- |
- 单击“确定”,完成创建。
系统出现信息提示页面,您可根据提示选择立即关联子网。
- 单击“关联子网”,进入路由表详情页面的“关联子网”页签。
- 单击“关联子网”,选择需要关联的子网。
- 单击“确定”,完成关联。
检查弹性云主机是否绑定了弹性IP
当同一个弹性云主机同时设置了SNAT和弹性IP时,会优先使用弹性IP进行转发。
当同一个弹性云主机同时设置了DNAT和弹性IP时,入云方向的弹性IP取决于客户端用户的自主选择(DNAT规则绑定的弹性IP或ECS直接绑定的弹性IP),而出云方向优先使用弹性云主机直接绑定的弹性IP,所以如果入云和出云使用的弹性IP不一致,流量会不通。
如果弹性云主机绑定了弹性IP,请为弹性云主机解绑弹性IP。
- 登录管理控制台。
- 在管理控制台左上角单击
,选择区域和项目。
- 选择“计算 > 弹性云主机”。
- 在弹性云主机列表,查看“IP地址”列,检查弹性云主机是否绑定了弹性IP。
− 如果弹性云主机未绑定弹性IP,请检查下一项。
− 如果弹性云主机绑定了弹性IP,请为弹性云主机解绑弹性IP。
检查安全组规则
如果安全组没有放通弹性云主机访问和对外提供服务使用的端口,需要在弹性云主机实例对应的安全组中添加放行该端口的规则。
- 登录管理控制台。
- 在管理控制台左上角单击
,选择区域和项目。
- 选择“计算 > 弹性云主机”。
- 在弹性云主机列表,单击待检查安全组规则的弹性云主机名称。
- 选择“安全组”页签,展开安全组规则。
- 检查入方向规则和出方向规则是否已经配置放行弹性云主机使用端口的规则。
− 如果已配置放行弹性云主机使用端口规则,请检查下一项。
− 如果未配置放行弹性云主机使用端口的规则,请单击“配置规则”,进入安全组详情页。
在安全组详情页,单击“入方向规则”或“出方向规则”,分别根据弹性云主机使用的端口添加入方向规则或出方向规则。
检查网络ACL是否放通子网流量
检查VPC的子网是否关联了网络ACL,如果关联了网络ACL,请检查“ 网络ACL”规则。
- 登录管理控制台。
- 在管理控制台左上角单击
,选择区域和项目。
- 在系统首页,选择“网络 > 虚拟私有云”。
- 在左侧导航栏选择“子网”。
- 查看NAT网关对应的子网是否关联了网络ACL。
显示具体的网络ACL名称说明已关联网络ACL。
- 单击网络ACL名称查看网络ACL的详细信息。
- 检查入方向规则和出方向规则是否添加了放通子网流量的规则。
如果未添加放通子网流量的规则,请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。
检查弹性公网IP的带宽是否超限
公网NAT网关绑定了弹性IP时,通过带宽提供公网和公网NAT网关间的访问流量。
如果出现网络不通,请排查弹性IP带宽是否超过带宽最大上限。
检查公网NAT网关业务量是否超过规格上限
- 登录管理控制台。
- 在管理控制台左上角单击
,选择区域和项目。
- 选择“管理与监管 > 云监控服务”。
- 单击页面左侧的“云服务监控”,选择“NAT网关”。
- 单击“操作”列的“查看监控指标”,查看公网NAT网关的监控指标详情。
- 检查公网NAT网关SNAT连接数是否超过NAT网关规格上限。
− 如果SNAT连接数未超过公网NAT网关规格上限,请检查下一项。
− 如果SNAT连接数超过公网NAT网关规格上限,请提升公网NAT网关规格。
检查公网NAT网关状态是否异常
- 登录管理控制台。
- 在管理控制台左上角单击
,选择区域和项目。 - 选择“网络 > NAT网关”。
- 在公网NAT网关列表,检查公网NAT网关状态是否异常。
