一个VPC最多支持购买多少个私网NAT网关实例?
当前单个VPC最多支持购买5个私网NAT网关,如需增加配额可通过提交工单来解决,具体操作步骤请参见提交工单。
私网NAT网关支持创建的SNAT规则和DNAT规则数能否增加?
可以,通过变配为更高规格的私网NAT网关实例可以增加SNAT规格和DNAT规则数,具体操作步骤请参见管理私网NAT网关。
私网NAT网关变配时,是否会中断用户业务?
在提升私网NAT网关配置规格时,对存量会话无影响;当需降低私网NAT网关配置规格时,请在业务低峰时进行调整,避免因超过配置规格所支持的并发连接数上限,而影响到业务。
当多条SNAT规则的源网段重叠时,如何匹配SNAT规则的优先级?
系统会根据最长掩码匹配规则确定优先进行SNAT转换服务,掩码位数越大,优先级越高。
如下SNAT配置规则,来自源地址为192.168.2.2的报文会优先匹配上ID为ngwsr-r722welrzd的SNAT规则,转换后的源IP地址为192.168.2.4。
私网NAT网关是否支持跨帐号使用?
私网NAT网关本身不支持跨帐号使用,但可以通过对等连接实现不同帐户间VPC通信,将需使用私网NAT网关的流量引流到私网NAT网关所在VPC,实现跨帐号共享私网NAT网关。
私网NAT网关支持SNAT规则和DNAT规则共用一个中转IP吗?
支持,SNAT规则、DNAT规则可以共用同一个中转IP,实现服务开放和主动访问使用同一私网地址。
私网NAT网关是否支持网络ACL?
私网NAT网关本身不支持ACL,可以通过配置私网NAT后端的主机安全组和ACL来进行访问控制。
- 网络ACL:可以通过网络ACL来配置子网出入流量的规则,限制特定协议、端口或IP地址的访问,具体操作步骤请参见创建ACL。
- 安全组:安全组是一种虚拟防火墙,可以在弹性云主机中配置。通过安全组,可以定义允许和拒绝的流量规则,限制特定协议、端口或IP地址的访问,具体操作步骤请参见创建安全组。
私网NAT网关配置完成后,网络不通如何处理?
私网NAT网关配置完成后,网络不通可以通过以下步骤进行处理:
- 检查私网NAT网关状态是否处于运行中,如果不是运行中,可以通过以下方法解除异常。
- 私网NAT网关到期,显示已到期,可以点击续订,让私网NAT网关恢复正常。再次进行连接测试。
- 私网NAT网关按需欠费后,会处于冻结状态,可以进行续费处理,让私网NAT网关恢复正常。再次进行连接测试。
- 检查SNAT规则和DNAT规则配置是否正确。
- 检查是否由于VPC路由表配置错误引起的,可以通过以下方法重新配置VPC路由表。
- 找到VPC对应的子网关联的路由表。
- 查看路由表是否有到私网NAT网关的路由,如果不包含,请添加对应的路由。具体操作步骤请参见管理私网NAT网关,再次进行连接测试。
- 检查云主机安全组配置,如果安全组没有放通弹性云主机访问和对外提供服务使用的端口,需要在对应的安全组中添加放行该端口。
- 点击云主机名称,进入云主机详情页,选择安全组页签,展开安全组规则。
- 出方向放通所有端口,地址为0.0.0.0/0,入方向端口放通DNAT绑定的应用端口,具体操作步骤请参加添加安全组规则。再次进行连接测试。
- 检查网络ACL设置,如果VPC的业务子网关联了网络ACL,可能导致网络不同。
- 点击子网名称,进入子网详情页,选择ACL页签,查看是否有绑定网络ACL,检查入方向规则和出方向规则是否添加了放通子网流量的规则。
- 如果未添加放通子网流量的规则,请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。再次进行连接测试。
- 检查私网NAT网关业务量是否超过规格上限。
- 在云监控-云服务监控中找到私网NAT网关名称,点击查看监控指标,查看私网NAT网关业务指标情况。
- 如果超过上限,可以点击私网NAT网关操作栏的“变配”,变更私网NAT网关的规格。再次进行连接测试。
- 检查弹性云主机端口,以CentOS为例可使用以下命令行查看端口监听是否正常。
- netstat -ntulp |grep 云主机端口。
- 如果端口没有被正常监听,请重新开启弹性云主机端口。
- 如果上述排查后,网络依然不通,可以提交工单,联系技术支持人员帮助解决。