本文指导您配置NAT网关的SNAT功能,实现无公网IP的ECS实例通过NAT网关访问公网。

配置场景

本文以下图场景为例。某公司在阿里云创建了专有网络VPC(Virtual Private Cloud)和交换机,交换机中创建了多个ECS实例。ECS实例均未分配固定公网IP,也未绑定弹性公网IP(Elastic IP Address,简称EIP)。因公司业务发展,每台ECS实例都需要访问公网。

您可以通过NAT网关的SNAT功能,设置SNAT规则,使得VPC内无公网IP的ECS实例可以通过NAT网关绑定的EIP访问公网。 SNAT配置场景

前提条件

  • 您已经注册了阿里云账号。具体操作,请参见账号注册
  • 您已经创建了VPC和交换机。具体操作,请参见使用专有网络使用交换机
  • 请确保已创建的VPC满足以下条件:
    • VPC中不存在目标网段为0.0.0.0/0的自定义路由。如果存在,请删除该路由条目。
    • 如果您使用的是RAM用户(子账号),请确保其具备读取访问VPC的权限。否则,请联系阿里云账号(主账号)进行授权。

配置步骤

配置步骤

步骤一:创建NAT网关

  1. 登录NAT网关管理控制台
  2. NAT网关页面,单击创建NAT网关
  3. 如果首次购买增强型NAT网关,您需要在创建NAT网关面板最下方的关联角色创建须知区域,单击创建,完成NAT网关的服务关联角色创建。角色创建成功后即可购买NAT网关。
    创建角色
  4. 创建NAT网关面板,配置以下购买信息,然后单击立即购买
    • 付费模式
      • 包年包月:包年包月是一种先付费后使用的付费模式。更多信息,请参见包年包月
      • 按量付费:按量付费是一种先使用后付费的付费模式。更多信息,请参见按量付费
      本文以选择按量付费为例。
    • 地域和可用区:选择需要创建NAT网关的地域。
    • 可用区:选择NAT网关实例所属的可用区。
    • VPC ID:选择NAT网关所属的VPC。创建NAT网关后,不能修改NAT网关所属的VPC。
    • 交换机ID:选择NAT网关实例所属的交换机。
    • 网关类型:默认选择为增强型
    • 名称:设置NAT网关实例的名称。

      名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    • 计费类型:默认选择为按使用量计费,即按NAT网关实际使用量收费。更多信息,请参见按使用量计费
    • 计费周期:默认选择为按小时,即按使用量计费NAT网关的计费周期为1小时,不足1小时按1小时计算。
创建成功后,您可以在 NAT网关页面查看已创建的NAT网关实例。 创建NAT网关

步骤二:绑定EIP

NAT网关作为一个网关设备,需要绑定EIP才能正常工作。创建NAT网关后,您可以为NAT网关绑定EIP。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择NAT网关的地域。
  3. NAT网关页面,找到目标NAT网关实例,然后在弹性公网IP列单击立即绑定
  4. 绑定弹性公网IP对话框,配置以下参数,然后单击确定
    配置 说明
    所在资源组 选择EIP所在的资源组。
    选择弹性公网IP 要绑定到NAT网关的EIP。

    本文以选择新购弹性公网IP并绑定为例进行说明。系统会为您创建1个按使用流量计费的按量付费EIP,并绑定到NAT网关。

    绑定成功后,在NAT网关实例的 弹性公网IP列将会显示出绑定的EIP。

步骤三:创建SNAT条目

您可以通过NAT网关的SNAT功能,创建SNAT条目,使得VPC内无公网IP的ECS实例可以通过NAT网关的EIP访问公网。

  1. 登录NAT网关管理控制台
  2. 在顶部菜单栏处,选择NAT网关的地域。
  3. NAT网关页面,找到目标NAT网关实例,然后在操作列单击设置SNAT
  4. SNAT管理页签,单击创建SNAT条目
  5. 创建SNAT条目页面,配置以下参数,然后单击确定创建
    配置 说明
    SNAT条目粒度 选择SNAT条目的粒度。本文以选择交换机粒度为例:指定交换机下的ECS实例通过配置的公网IP访问公网。
    • 选择交换机:在下拉列表中选择交换机。
      说明 如您选择多个交换机,将会为您创建多条SNAT条目,使用相同的公网IP地址。
    • 交换机网段:显示交换机的网段。
    选择公网IP地址 选择用来提供公网访问的公网IP。本文以选择使用单IP为例,在下拉列表中选择EIP。
    条目名称 输入SNAT条目的名称。

    名称长度为2~128个字符,以大小写字母或中文开头, 可包含数字、下划线(_)和短划线(-)。

步骤四:测试连通性

SNAT条目配置成功后,您可以测试ECS实例的网络连通性。本文以Linux实例为例,测试ECS实例的连通性。
说明 请确保ECS实例的安全组规则允许ECS实例访问公网,安全组的配置规则请参见 安全组概述
  1. 登录交换机下的任意一台ECS实例。
  2. 执行ping命令,ping阿里云的域名www.aliyun.com测试网络连通性。如果能接受到回复报文,表示连接成功。
    经测试,ECS实例可以访问公网。 测试连通性

常见问题

一个NAT网关支持创建多少条SNAT条目?

一个NAT网关默认支持创建40条SNAT条目。

您可以通过以下任意方式自助提升配额:

一个SNAT条目支持关联多少个EIP?

一个SNAT条目默认支持关联64个EIP,且不支持提升配额。

关于更多SNAT功能相关问题,请参见SNAT功能FAQ