公网NAT网关、弹性IP、VPC内弹性云主机与VPC是什么样的关系?
公网NAT网关、弹性IP、VPC内弹性云主机与VPC之间的关系如下:
- VPC提供安全隔离的用户网络环境,在VPC内,用户可以自由配置子网、路由表、安全组等网络资源。
- 弹性IP是一种公网IP资源,可以与云主机绑定,为云主机提供公网访问能力。弹性IP可以解绑并重新绑定到其他资源,例如公网NAT网关上,实现公网IP的灵活分配。
- 公网NAT网关可以为VPC内的弹性云主机实例提供公网访问能力。
- VPC内弹性云主机是一种计算服务,可以为用户提供可扩展的、安全的、高性能的虚拟服务器。ECS实例可以与弹性IP绑定,以实现公网访问。也可通过NAT网关访问公网。
总结:NAT网关用于提供虚拟私有云访问互联网的能力,弹性IP为云主机提供公网访问能力,而VPC内弹性云主机则是用于提供计算能力的虚拟服务器。在实际应用中,这些资源可以相互配合,实现虚拟私有云中的云主机实例安全访问互联网的需求。
NAT网关如何实现高可用性?
天翼云NAT网关具备高可用性,支持秒级故障恢复收敛。
天翼云NAT网关部署在高可用物理服务器上,采用主备集群模式部署,集群内状态数据实时同步,单网元发生故障时,系统会自动切换业务到集群内备用网元,业务秒级切换,支持用户业务快速恢复。
哪些端口无法访问?
为了您资源的安全性,不建议使用以下高危端口
TCP:20-22、42、53、135、137-139、444、445、593、1025、1068、1080、1433、1434、1521、3306、3127、3128、3129、3130、3389、4444、4789、5554、5800、5900、6379、7001、9996
UDP、135、137-139、1026-1028、1068、1433、1434、4789、5554、9996
弹性云主机使用公网NAT网关和直接绑定弹性IP有区别吗?
区别主要是以下几点:
- 绑定数量:公网NAT网关提供SNAT和DNAT功能,可允许多台弹性云主机共享弹性公网IP。弹性云主机直接绑定弹性公网IP为独占IP的方式。
- 优先级:在同一个VPC内云主机同时绑定公网IP和SNAT规则时,根据VPC路由表配置决定生效,如同时具备公网NAT网关和IPV4网关路由,由于自定义指向公网NAT网关路由优先级高于系统生成的指向IPV4网关的系统路由,默认会通过SNAT访问公网,云主机绑定的EIP无法访问公网(部分资源池功能有所差异,以控制台为准)。因此,不建议同一个子网内的云主机同时绑定弹性IP或者NAT网关。
- 如何选择:
- 当云主机需要使用公网IP所有端口,直接与Internet互通时,建议云主机直接绑定弹性IP。云主机直接绑定弹性IP,如果云主机数量过多的话,会消耗较多公网IP。
- 希望保护VPC内虚拟网络结构,并且希望多个云主机共用公网IP、通过端口号区分与Internet互通,建议使用公网NAT网关。
NAT网关是否支持更换VPC?
暂不支持
NAT网关在购买时选定VPC,后续不支持修改,NAT网关虽可结合对等连接跨VPC提供地址转换服务,但需互联VPC无地址冲突,优先选择需要访问公网的目标计算实例所在VPC创建NAT网关,NAT网关创建步骤详见管理NAT网关。
NAT网关是否支持IPV6?
不支持。
云主机如果希望使用IPV6地址与Internet互通,请使用IPV6网关产品,IPv6网关可以提供VPC网络中的云主机实例使用IPv6访问公网的能力,同时也允许终端使用IPv6通过互联网访问VPC网络中的云主机实例,详见IPV6网关配置指南。
基于NAT网关的用户网络,可以配置哪些安全策略实现访问限制?
NAT网关提供隔离主机网络的安全能力,但不支持做主机访问的策略控制,如用户需要对主机进行访问限制,可以配置以下安全策略来实现访问限制:
- 网络ACL:可以通过网络ACL来配置子网出入流量的规则,限制特定协议、端口或IP地址的访问。
- 安全组:安全组是一种虚拟防火墙,可以在弹性云主机中配置。通过安全组,可以定义允许和拒绝的流量规则,限制特定协议、端口或IP地址的访问。
安全组对弹性云主机进行防护,网络ACL对子网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制。
同时存在指向NAT网关的默认路由和指向IPv4网关的默认路由,路由优先级是什么样的?
VPC的默认路由表中,如果同时存在指向IPv4网关的自定义路由,和指向NAT网关的自定义路由,由于指向IPv4网关的自定义路由优先级更高,流量会转发到IPv4网关;
示例如下:假如VPC路由表中存在两条自定义路由,目的地址为默认路由(0.0.0.0/0),下一跳为NAT网关;目的地址为默认路由(0.0.0.0/0),下一跳为IPv4网关。
如果线下IDC通过专线接入云上公网NAT网关,转发时会匹配优先级更高的路由规则,此时流量会转发至IPv4网关,无法抵达NAT网关;
如果VPC内的同一个子网下部分ECS绑定了EIP,部分ECS通过NAT网关出公网,会匹配子网的策略路由;将绑定了EIP的ECS流量转发给IPv4网关,而未绑定EIP的ECS流量则转发给NAT网关出公网。
公网NAT网关配置完成后,网络不通如何处理?
公网NAT网关配置完成后,网络不通可以通过以下步骤进行处理:
- 检查公网NAT网关状态是否处于运行中,如果不是运行中,可以通过以下方法解除异常
- 公网NAT网关到期,显示已到期,可以点击续订,让公网NAT网关恢复正常。再次进行连接测试。
- 公网NAT网关按需欠费后,会处于冻结状态,可以进行续费处理,让公网NAT网关恢复正常。再次进行连接测试。
- 检查SNAT和DNAT规则配置是否正确:
- 在SNAT规则配置页面确认SNAT规则是否已经配置生效,且确认弹性云主机在SNAT规则子网内,或源访问地址在SNAT规则的源地址段内。如果SNAT规则未配置正确则无法访问公网。如何配置SNAT规则,详情请参见添加SNAT规则(新建链接)。
- 在DNAT规则配置页面确认DNAT规则已经配置生效,DNAT规则配置未生效会访问不通。关于如何配置DNAT规则,详情请参见添加DNAT规则(新建链接)。
- 检查是否由于VPC路由表配置错误引起的,可以通过以下方法重新配置VPC路由表。
- 找到VPC对应的子网关联的路由表。
- 查看路由表是否有到公网NAT网关的路由,如果不包含,请添加对应的路由。路由下一跳类型为NAT网关,下一跳为公网NAT网关名称,目的地址是0.0.0.0/0。具体操作步骤参见创建公网NAT网关(新建链接),再次进行连接测试。
- 检查云主机安全组配置,如果安全组没有放通弹性云主机访问和对外提供服务使用的端口,需要在对应的安全组中添加放行该端口。
- 点击云主机名称,进入云主机详情页,选择安全组页签,展开安全组规则。
- 出方向放通所有端口,地址为0.0.0.0/0,入方向端口放通DNAT绑定的应用端口,具体操作参加虚拟私有云-添加安全组规则。再次进行连接测试
- 检查网络ACL设置,如果VPC的子网关联了网络ACL,可能导致网络不同。
- 点击子网名称,进入子网详情页,选择ACL页签,查看是否有绑定网络ACL,检查入方向规则和出方向规则是否添加了放通子网流量的规则。
- 如果未添加放通子网流量的规则,请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。再次进行连接测试。
- 检查公网NAT网关业务量是否超过规格上限。
- 在云监控-云服务监控中找到公网NAT网关名称,点击查看监控指标,查看公网NAT网关业务指标情况
- 如果超过上限,可以点击公网NAT网关操作栏的“变配”,变更公网NAT网关的规格。再次进行连接测试。
- 检查弹性IP是否超限。
- 在云监控中查看弹性IP的监控指标是否超限
- 如果超限,可以变更弹性IP的带宽规格,再进行连接测试。
- 检查弹性云主机端口,以CentOS为例可使用以下命令行查看端口监听是否正常。
netstat -ntulp |grep 云主机端口
如果端口没有被正常监听,请重新开启弹性云主机端口。
- 如果上述排查后,网络依然不通,可以提交工单,联系技术支持人员帮助解决。