为什么使用SNAT?
对公网NAT网关来说,一些弹性云主机不仅需要使用系统提供的服务,还需要访问外网以获取信息或下载软件。但是,给弹性云主机分配公网IP需要消耗稀缺资源(如IPv4地址),增加额外的成本,并有可能增加虚拟环境遭受攻击的几率。因此,多个弹性云主机共享同一公网IP是一种可行的方法,具体实施方法为源地址转换(SNAT)。
什么是SNAT连接数?
由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话,并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的IP和它的端口。
由于SNAT支持TCP、UDP和ICMP三种协议,每一个目的IP和目的端口,NAT网关最多可支持55000个并发连接。如果目的IP、端口或者协议(TCP/UDP/ICMP)发生变化,则可以再创建55000个连接。弹性云主机中通过netstat命令看到ESTABLISHED状态的连接数和实际SNAT连接数有时会不一致。假设一个弹性云主机平均每秒钟创建100个与固定目的的连接,不考虑连接老化的话,大约10分钟会将55000个连接耗尽导致连接无法新建。
NAT网关中SNAT连接如果长时间没有数据报文,会超时断开。因此为防止连接中断您需要发起更多的数据包或使用TCP保持连接。同时,为避免出现因连接数规格用满而出现的影响业务的情况,建议经常关注CES监控中的NAT网关SNAT连接数并合理设置告警。
主机通过公网NAT网关访问外网,请问公网NAT网关的带宽是多少?在哪里设置?
公网NAT网关的SNAT功能通过绑定弹性公网IP,实现云主机私有IP到公网IP的转换。云主机通过公网NAT网关访问外网时,其带宽大小和您申请弹性公网IP时选择的带宽大小有关。
NAT网关丢包或连接不通该如何处理?
通过NAT网关上网的服务器出现丢包或连接不通的情况时,可以通过云监控查看NAT网关的SNAT连接数。若SNAT连接数超过NAT网关规格上限,则会导致使用NAT网关的服务器出现丢包或者连接不通的现象。如果超过NAT网关规格上限,可修改NAT网关规格,增大NAT网关规格数。
NAT网关里的网段设置与SNAT规则里的网段有什么关联与区别?
NAT网关里的网段是在创建NAT网关时必须指定NAT网关所在VPC及子网网段。此网段仅用于系统后台使用,并非SNAT使用的网段。
创建SNAT规则且当场景是虚拟私有云时,需要配置对应VPC的子网网段,使该网段中的云主机通过SNAT方式进行访问。
创建SNAT规则且当场景是云专线时,需要配置云专线对应的本地数据中心的某个网段或另一VPC的网段,使该网段中的云主机通过SNAT方式进行访问。