-
检查弹性云服务器端口 确保弹性云服务器端口正常工作,处于LISTEN状态。表5为常见TCP状态。 Linux操作系统云服务器端口通信问题排查 使用netstat -antp命令检查服务的状态,确认端口是否正常监听。 例如:netstat -ntulp |grep 80 图7 查看端口监听状态_linux 如果端口没有被正常监听,请重新开启弹性云服务器端口。 Windows操作系统云服务器端口通信问题排查 使用远程端口检测命令: 打开CMD命令行窗口。 执行netstat -ano | findstr “PID”命令查看进程使用的端口号。 例如:netstat -ano | findstr “80” 图8 查看端口监听状态_windows 如果端口没有被正常监听,请重新开启弹性云服务器端口。 表5 常见TCP状态 TCP状态 说明 对应场景 LISTEN 侦听来自远方的TCP端口的连接请求 正常TCP服务端 ESTABLISHED 代表一个打开的连接 正常TCP连接 TIME-WAIT 等待足够的时间以确保远程TCP接收到连接中断请求的确认 已关闭的TCP连接,一般1分钟后清除。 CLOSE-WAIT 等待从本地用户发来的连接中断请求 应用程序BUG,没有关闭socket。出现在网络中断后。一般是进程死循环或等待其他条件。可以重启对应进程。 FIN-WAIT-2 从远程TCP等待连接中断请求 网络中断过,需要12分钟左右自行恢复。 SYN-SENT 再发送连接请求后等待匹配的连接请求 TCP连接请求失败。一般是服务端CPU占用率过高,处理不及时导致。DDos攻击也会出现此情况。 FIN-WAIT-1 等待远程TCP连接中断请求,或先前的连接中断请求的确认 网络中断过,此状态可能不会自行修复(等15分钟以上确认),如果长期占用端口需要重启OS恢复。
-
排查思路 以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 图1 网络不通排查思路 表1 网络不通排查思路 可能原因 处理措施 路由表配置不正确 请在路由表中添加指向公网NAT网关的默认路由或路由,详细操作请参考检查路由表是否配置指向公网NAT网关网关的默认路由。 弹性云服务器绑定了弹性公网IP 请为弹性云服务器解绑弹性公网IP,详细操作请参考检查弹性云服务器是否绑定了弹性公网IP。 安全组规则未放通 请放通弹性云服务器对应的安全组规则,详细操作请参考检查安全组规则。 网络ACL配置不正确 请配置网络ACL规则放通子网流量,详细操作请参考检查网络ACL是否放通子网流量。 弹性公网IP的带宽超限 请扩大EIP带宽,详细操作请参考检查弹性公网IP的带宽是否超限。 公网NAT网关业务量超过规格上限 请提升公网NAT网关规格,详细操作请参考检查公网NAT网关业务量是否超过规格上限。 公网NAT网关的状态异常 请确保公网NAT网关资源状态为“运行中”,详细操作请参考检查公网NAT网关状态是否异常。 弹性云服务器端口未监听 请重新开启弹性云服务器端口,详细操作请参考检查弹性云服务器端口。
-
基于公网NAT网关的用户网络,可以配置哪些安全策略实现访问限制? 基于公网NAT网关的用户网络,可以通过配置安全组和网络ACL实现访问限制。 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。 网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。 安全组对弹性云服务器进行防护,网络ACL对子网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制。 安全组与网络ACL的详情,请参见《VPC用户指南》安全性章节。 父主题: 公网NAT网关
-
处理方法:修改远端服务器的内核参数 临时修改参数方法(重启远端服务器后该设置失效),设置如下: sysctl -w net.ipv4.tcp_tw_recycle=0 永久修改参数方法: 执行以下命令,修改“/etc/sysctl.conf”文件。 vi /etc/sysctl.conf 在该文件中添加以下内容: net.ipv4.tcp_tw_recycle=0 按“Esc”输入“:wq!”,保存后退出文件。 执行以下命令,生效配置。 sysctl -p
-
NAT网关丢包或连接不通该如何处理? 通过NAT网关上网的服务器出现丢包或连接不通的情况时,可以通过
云监控 查看NAT网关的SNAT连接数。若SNAT连接数超过NAT网关规格上限,则会导致使用NAT网关的服务器出现丢包或者连接不通的现象。请参考查看监控指标,查看SNAT的连接数是否超过NAT网关的规格上限。如果超过NAT网关规格上限,可修改NAT网关规格,增大NAT网关规格数。 父主题: SNAT规则
-
NAT网关里的网段设置与SNAT规则里的网段有什么关联与区别? NAT网关里的网段是在创建NAT网关时必须指定NAT网关所在VPC及子网网段。此网段仅用于系统后台使用,并非SNAT使用的网段。 创建SNAT规则且当场景是虚拟私有云时,需要配置对应VPC的子网网段,使该网段中的云主机通过SNAT方式进行访问。 创建SNAT规则且当场景是云专线/云连接时,需要配置云专线/云连接对应的本地数据中心的某个网段或另一VPC的网段,使该网段中的云主机通过SNAT方式进行访问。 父主题: SNAT规则
-
弹性云服务器使用公网NAT网关和直接绑定弹性公网IP有区别吗? 公网NAT网关提供SNAT和DNAT功能,可允许多台弹性云服务器共享弹性公网IP。 弹性云服务器直接绑定弹性公网IP为独占IP的方式。 当同一个弹性云服务器同时设置了SNAT和弹性公网IP时,会优先使用弹性公网IP进行转发。 当同一个弹性云服务器同时设置了DNAT和弹性公网IP时,入云方向的弹性公网IP取决于客户端用户的自主选择(DNAT规则绑定的弹性公网IP或E
CS 直接绑定的弹性公网IP),而出云方向优先使用弹性云服务器直接绑定的弹性公网IP。如果入云和出云使用的弹性公网IP不一致,流量会不通。 不建议弹性云服务器同时使用公网NAT网关和直接绑定弹性公网IP。 父主题: 公网NAT网关
-
为什么使用SNAT? 对公网NAT网关来说,一些弹性云服务器不仅需要使用系统提供的服务,还需要访问外网以获取信息或下载软件。但是,给弹性云服务器分配公网IP需要消耗稀缺资源(如IPv4地址),增加额外的成本,并有可能增加虚拟环境遭受攻击的几率。因此,多个弹性云服务器共享同一公网IP是一种可行的方法,具体实施方法为源地址转换(SNAT)。 对
私网NAT网关 来说,在大企业不同部门间存在大量重叠网段,上云后无法互通,通过私网SNAT可以将一个部门多个弹性云服务器的IP转化为一个中转IP去访问别的部门;因为安全受限等原因,行业监管部门要求各机构和单位按指定IP地址接入,通过私网SNAT可以将多个弹性云服务器的IP转化为一个中转IP,去访问行业监管部门。 父主题: SNAT规则
-
哪些端口无法访问? 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访问,此时建议您将端口修改为其他非高危端口。 表1 高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9995 9996 父主题: 公网NAT网关
-
公网NAT网关、弹性公网IP带宽、VPC内弹性云服务器与VPC是什么样的关系? VPC是虚拟私有云,通过逻辑方式进行网络隔离,提供安全、隔离的网络环境。 公网NAT网关能够为VPC内的弹性云服务器提供访问外网的能力。 弹性公网IP是可以提供互联网上合法的静态IP地址的服务,VPC的吞吐量由弹性公网IP带宽决定。 弹性云服务器是VPC内的运行实例,使用公网NAT网关访问外网。 父主题: 公网NAT网关
-
什么是SNAT连接数? SNAT连接数是NAT网关执行源地址转换时创建的活动连接的数量。由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话,并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的IP和它的端口。 由于SNAT支持TCP、UDP和ICMP三种协议,每一个目的IP和目的端口,NAT网关最多可支持55000个并发连接。如果目的IP、端口或者协议(TCP/UDP/ICMP)发生变化,则可以再创建55000个连接。弹性云服务器中通过netstat命令看到ESTABLISHED状态的连接数,仅反映了服务器侧视角的连接数。但实际的SNAT连接数包括了NAT网关上维护的连接表项,由于存在连接超时、连接复用等影响,可能与弹性云服务器侧ESTABLISHED状态的连接数存在差异。假设一个弹性云服务器平均每秒钟创建100个与固定目的的连接,不考虑连接老化的话,大约10分钟会将55000个连接耗尽导致连接无法新建。 NAT网关中SNAT连接如果长时间没有数据报文,会超时断开。因此为防止连接中断您需要发起更多的数据包或使用TCP保持连接。同时,为避免出现因连接数规格用满而出现的影响业务的情况,建议经常关注
CES 监控中的NAT网关SNAT连接数并合理设置告警。 父主题: SNAT规则
-
公网NAT网关 SNAT连接数:由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。其中源IP地址和源端口指SNAT转换之后的弹性公网IP和它的端口。连接能够区分不同会话,并且对应的会话是唯一的。 吞吐量:DNAT规则的弹性公网IP的带宽之和。例如,一个公网NAT网关有两条DNAT规则,其中绑定到第一条规则的EIP带宽为10Mbit/s,绑定到第二条规则的EIP带宽为5Mbit/s,则公网NAT网关的吞吐量为15Mbit/s。 每个公网NAT网关支持的最大转发带宽为20Gbit/s。 上海二、北京一区域每个公网NAT网关支持的最大转发带宽为5Gbit/s。 公网NAT网关TCP SNAT的默认连接超时时间为900秒。 公网NAT网关UDP SNAT的默认连接超时时间为300秒。 在购买公网NAT网关时,请根据您的网络规划,合理选择公网NAT网关的规格。公网NAT网关支持的规格如表1所示。 表1 公网NAT网关规格 规格 SNAT最大连接数 带宽 每秒报文数(PPS) 每秒新建报文数(QPS) 小型 10000 20Gbit/s 2000000 10000 中型 50000 20Gbit/s 2000000 10000 大型 200000 20Gbit/s 2000000 10000 超大型 1000000 20Gbit/s 2000000 10000 表格中所列的“每秒报文数(PPS)”是指入方向和出方向的PPS总和。 为避免因连接数超过公网NAT网关规格最大值,从而影响业务的情况,建议在云监控中设置公网NAT网关监控指标,并为SNAT连接数合理设置告警。 公网NAT网关支持的DNAT规则数与规格无关,每种规格的公网NAT网关最多支持添加200条DNAT规则。仅超大型规格支持提升DNAT规则数,您可以提交工单申请。
-
私网NAT网关 SNAT连接数:由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。其中源IP地址和源端口指SNAT转换之后的中转IP和它的端口。 在购买私网NAT网关时,请根据您的网络规划,合理选择私网NAT网关的规格。私网NAT网关支持的规格如表2所示。 表2 私网NAT网关规格 规格 SNAT最大连接数 带宽 每秒报文数(PPS) 每秒新建报文数(QPS) NAT规则数(SNAT+DNAT) 小型 2000 200Mbps 20000 6000 20 中型 5000 500Mbps 50000 9000 50 大型 20000 2Gbps 200000 10000 200 超大型 50000 5Gbps 500000 10000 500 为避免因连接数超过私网NAT网关规格最大值,从而影响业务的情况,建议在云监控中设置私网NAT网关监控指标,并为SNAT连接数合理设置告警。
-
私网NAT网关 私网NAT网关(Private NAT Gateway),能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器)提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则,可将源、目的网段地址转换为中转IP,通过使用中转IP实现VPC内的云主机与其他VPC、云下IDC互访。 私网NAT网关分为SNAT和DNAT两个功能: SNAT功能通过绑定中转IP,可实现VPC内跨可用区的多个云主机共享中转IP,访问外部数据中心或其他VPC。 DNAT功能通过绑定中转IP,可实现IP映射或端口映射,使VPC内跨可用区的多个云主机共享中转IP,为外部私网提供服务。 中转子网 中转子网相当于一个中转网络,是中转IP所属的子网。 中转IP 您可以在中转子网中创建私网IP,即中转IP,使本端VPC中的云主机可以共享该私网IP(中转IP)访问用户IDC或其他远端VPC。 中转VPC 中转子网所在VPC。 图3 私网NAT网关
-
如何访问NAT网关 通过管理控制台、基于HTTPS请求的API(Application Programming Interface)两种方式访问NAT网关。 管理控制台方式 管理控制台是网页形式的,您可以使用直观的界面进行相应的操作。登录管理控制台,从主页选择“NAT网关”。 API方式 如果您需要将云平台上的NAT网关集成到您自己的系统,请使用API方式访问NAT网关。具体操作请参见《NAT网关API参考》。
