公网NAT网关常见问题

公网NAT网关常见问题

  • 公网NAT网关、弹性公网IP带宽、VPC内弹性云服务器与VPC是什么样的关系?

    1、VPC是虚拟私有云,通过逻辑方式进行网络隔离,提供安全、隔离的网络环境。

    2、公网NAT网关能够为VPC内的弹性云服务器提供访问外网的能力。

    3、弹性公网IP是可以提供互联网上合法的静态IP地址的服务,VPC的吞吐量由弹性公网IP带宽决定。

    4、弹性云服务器是VPC内的运行实例,使用公网NAT网关访问外网。


  • 公网NAT网关如何实现高可用性?

    公网NAT网关后台已通过双机热备实现自动容灾,同时为用户提供云监控和告警服务,降低风险提高可用性。

  • 哪些端口无法访问?

    出于安全因素考虑,部分运营商会对下列端口进行拦截,导致无法访问。建议避免使用下列端口:

  • 弹性云服务器使用公网NAT网关和直接绑定弹性公网IP有区别吗?

    1、公网NAT网关提供SNAT和DNAT功能,可允许多台弹性云服务器共享弹性公网IP。

    2、弹性云服务器直接绑定弹性公网IP为独占IP的方式。

    3、当同一个弹性云服务器同时设置了SNAT和弹性公网IP时,会优先使用弹性公网IP进行转发。

    4、当同一个弹性云服务器同时设置了DNAT和弹性公网IP时,入云方向的弹性公网IP取决于客户端用户的自主选择(DNAT规则绑定的弹性公网IP或ECS直接绑定的弹性公网IP),而出云方向优先使用弹性云服务器直接绑定的弹性公网IP,所以如果入云和出云使用的弹性公网IP不一致,流量会不通。

    5、不建议弹性云服务器同时使用公网NAT网关和直接绑定弹性公网IP。

  • 通过公网NAT网关访问Internet失败该如何处理?

    用户通过公网NAT网关访问Internet失败,可能是由于VPC路由表配置错误引起的,可以通过以下方法重新配置VPC路由表。

    1、找到VPC对应的子网关联的路由表。

    2、查看路由表是否有到NAT网关的路由,如果不包含,请添加对应的路由。

    3、如果用户自行修改到公网NAT网关的路由,请确保路由的目的地址包含待访问的目的地址。


  • 公网NAT网关是否支持更换VPC?

    不支持。

    公网NAT网关在购买时选定VPC,不支持后续进行更换。

  • 公网NAT网关是否支持IPV6?

    目前公网NAT网关不支持IPV6协议。

  • 基于公网NAT网关的用户网络,可以配置哪些安全策略实现访问限制?

    基于公网NAT网关的用户网络,可以通过配置安全组和网络ACL实现访问限制。

    安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。

    网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。

    安全组对弹性云服务器进行防护,网络ACL对子网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制。

    安全组与网络ACL的详情,请参见《VPC用户指南》安全性章节。

  • 公网NAT网关配置完成后,网络不通如何处理?

    问题描述

    您创建了一个公网NAT网关,并按照步骤配置了SNAT、DNAT规则,但是您的云主机不能访问互联网或不能为互联网提供服务。配置了公网NAT网关的网络是否可以连通互联网与路由表配置、安全组配置、网络ACL配置等多个环节相关联。任意一个环节出现问题,都会导致网络不通。本节操作介绍公网NAT网关配置完成后,网络不通时的排查思路。

    排查思路

    以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。

    如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。

    路由表配置不正确

    请在路由表中添加指向公网NAT网关的默认路由或路由,详细操作请参考检查路由表是否配置指向公网NAT网关网关的默认路由

    弹性云服务器绑定了弹性公网IP

    请为弹性云服务器解绑弹性公网IP,详细操作请参考检查弹性云服务器是否绑定了弹性公网IP

    安全组规则未放通

    请放通弹性云服务器对应的安全组规则,详细操作请参考检查安全组规则

    网络ACL配置不正确

    请配置网络ACL规则放通子网流量,详细操作请参考检查网络ACL是否放通子网流量

    弹性公网IP的带宽超限

    请扩大EIP带宽,详细操作请参考检查弹性公网IP的带宽是否超限

    公网NAT网关业务量超过规格上限

    请提升公网NAT网关规格,详细操作请参考检查公网NAT网关业务量是否超过规格上限

    公网NAT网关的状态异常

    请确保公网NAT网关资源状态为“运行中”,详细操作请参考检查公网NAT网关状态是否异常

    弹性云服务器端口未监听

    请重新开启弹性云服务器端口,详细操作请参考检查弹性云服务器端口

私网NAT网关常见问题

私网NAT网关常见问题

  • 私网NAT配置后组网不通怎么排查?

    检查安全组规则

    如果安全组没有放通弹性云服务器访问和对外提供服务使用的端口,需要在弹性云服务器对应的安全组中添加放行该端口的规则。

    1、登录管理控制台。

    2、在管理控制台左上角单击,选择区域和项目。

    3、选择“计算 > 弹性云服务器”。

    4、在弹性云服务器列表,单击待检查安全组规则的弹性云服务器名称。

    5、选择“安全组”页签,展开安全组规则。

    6、检查入方向规则和出方向规则是否已经配置放行弹性云服务器使用端口的规则。

    如果已配置放行弹性云服务器使用端口规则,请检查路由表是否配置指向私网NAT网关的路由

    如果未配置放行弹性云服务器使用端口的规则,请单击“配置规则”,进入安全组详情页,按步骤7进行配置。

    7、在安全组详情页,单击“入方向规则”或“出方向规则”,分别根据弹性云服务器使用的端口添加入方向规则或出方向规则。

    检查路由表是否配置指向私网NAT网关的路由

    1、登录管理控制台。

    2、在管理控制台左上角单击,选择区域和项目。

    3、在系统首页,选择“网络 > 虚拟私有云”。

    4、在左侧导航栏选择“路由表”。

    5、在路由表列表中,单击私网NAT网关所在VPC的路由表名称。

    6、检查路由列表中是否存在指向私网NAT网关的路由。

  • 一个VPC最多支持购买多少个私网NAT?

    当前单个VPC最多支持购买10个私网NAT。

  • 私网NAT支持创建的SNAT和DNAT规则数能否增加?

    可以,需要通过提交工单来解决。工单提交请参见提交工单

  • 私网NAT支持SNAT规则和DNAT规则共用一个中转IP吗?

    私网NAT目前暂不支持SNAT规则和DNAT规则共用一个中转IP。

  • 私网NAT支持云专线的IP转换吗?

    支持。在创建DNAT规则时,选择自定义模式,可添加通过云专线接入的客户云下IP。

  • 私网NAT和公网NAT有什么区别?

    私网NAT是实现私网IP与私网IP之间的地址转换。

    私网NAT的作用有:

    通过私网IP地址转换,解决私网IP地址冲突的问题。

    通过私网IP地址转换,满足指定地址接入的需求。

    公网NAT是实现私网IP与公网IP之间的地址转换。

    公网NAT的作用有:

    更安全:避免云主机公网IP直接暴露在外。

    省成本:共享EIP,共享带宽,节约EIP资源。

  • 私网NAT的收费情况是怎么样的?

    目前私网NAT在部分区域限时免费,在部分区域已开始计费,关于私网NAT计费情况详见计费说明(私网NAT网关)

  • 私网NAT是否支持跨帐号使用?

    私网NAT本身不支持跨帐号使用,但可以通过VPC对等连接实现跨帐户通信,VPC对等连接打通两个帐号的中转VPC,实现两个私网NAT转换IP后的跨帐号通信。

DNAT规则常见问题

DNAT规则常见问题

SNAT规则常见问题

SNAT规则常见问题

  • 为什么使用SNAT?

    对公网NAT网关来说,一些弹性云服务器不仅需要使用系统提供的服务,还需要访问外网以获取信息或下载软件。但是,给弹性云服务器分配公网IP需要消耗稀缺资源(如IPv4地址),增加额外的成本,并有可能增加虚拟环境遭受攻击的几率。因此,多个弹性云服务器共享同一公网IP是一种可行的方法,具体实施方法为源地址转换(SNAT)。

    对私网NAT网关来说,在大企业不同部门间存在大量重叠网段,上云后无法互通,通过私网SNAT可以将一个部门多个弹性云服务器的IP转化为一个中转IP去访问别的部门;因为安全受限等原因,行业监管部门要求各机构和单位按指定IP地址接入,通过私网SNAT可以将多个弹性云服务器的IP转化为一个中转IP,去访问行业监管部门。

  • 什么是SNAT连接数?

    由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话,并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的IP和它的端口。

    由于SNAT支持TCP、UDP和ICMP三种协议,每一个目的IP和目的端口,NAT网关最多可支持55000个并发连接。如果目的IP、端口或者协议(TCP/UDP/ICMP)发生变化,则可以再创建55000个连接。弹性云服务器中通过netstat命令看到ESTABLISHED状态的连接数和实际SNAT连接数有时会不一致。假设一个弹性云服务器平均每秒钟创建100个与固定目的的连接,不考虑连接老化的话,大约10分钟会将55000个连接耗尽导致连接无法新建。

    NAT网关中SNAT连接如果长时间没有数据报文,会超时断开。因此为防止连接中断您需要发起更多的数据包或使用TCP保持连接。同时,为避免出现因连接数规格用满而出现的影响业务的情况,建议经常关注CES监控中的NAT网关SNAT连接数并合理设置告警。

  • 主机通过公网NAT网关访问外网,请问公网NAT网关的带宽是多少?在哪里设置?

    公网NAT网关的SNAT功能通过绑定弹性公网IP,实现云主机私有IP到公网IP的转换。云主机通过公网NAT网关访问外网时,其带宽大小和您购买弹性公网IP时选择的带宽大小有关。

    带宽大小调整操作请参考修改带宽大小

  • NAT网关丢包或连接不通该如何处理?

    通过NAT网关上网的服务器出现丢包或连接不通的情况时,可以通过云监控查看NAT网关的SNAT连接数。若SNAT连接数超过NAT网关规格上限,则会导致使用NAT网关的服务器出现丢包或者连接不通的现象。请参考查看监控指标,查看SNAT的连接数是否超过NAT网关的规格上限。如果超过NAT网关规格上限,可修改NAT网关规格,增大NAT网关规格数。

  • 通过公网NAT网关访问远端服务器概率性失败该如何处理?

    弹性云服务器通过SNAT访问公网上服务器,出现TCP建链失败的情况,可通过以下方法进行排查。

    1、执行以下命令,查看远端服务器是否开启了“tcp_tw_recycle”。

    sysctl -a|grep tcp_tw_recycle

    tcp_tw_recycle取值为1时,表示开启。

    2、查看远端服务器内核丢包数量。

    如果ListenDrops数值非0,表示存在丢包,即存在网络问题。

    处理方法:

    方法一:修改远端服务器的内核参数

    临时修改参数方法(重启远端服务器后该设置失效),设置如下:

    sysctl -w net.ipv4.tcp_tw_recycle=0

    永久修改参数方法:

    1、执行以下命令,修改“/etc/sysctl.conf”文件。

    vi /etc/sysctl.conf

    在该文件中添加以下内容:

    net.ipv4.tcp_tw_recycle=0

    2、按“Esc”输入“:wq!”,保存后退出文件。

    3、执行以下命令,生效配置。

    sysctl -p

    方法二:修改本地客户端的内核参数

    临时修改参数方法(重启本地客户端后该设置失效),设置如下:

    sysctl -w net.ipv4.tcp_timestamps=0

    永久修改参数方法:

    1、执行以下命令,修改“/etc/sysctl.conf”文件。

    vi /etc/sysctl.conf

    在该文件中添加以下内容:

    net.ipv4.tcp_timestamps=0

    2、按“Esc”输入“:wq!”,保存后退出文件。

    3、执行以下命令,生效配置。

    sysctl -p


  • NAT网关里的网段设置与SNAT规则里的网段有什么关联与区别?

    NAT网关里的网段是在创建NAT网关时必须指定NAT网关所在VPC及子网网段。此网段仅用于系统后台使用,并非SNAT使用的网段。

    创建SNAT规则且当场景是虚拟私有云时,需要配置对应VPC的子网网段,使该网段中的云主机通过SNAT方式进行访问。

    创建SNAT规则且当场景是云专线/云连接时,需要配置云专线/云连接对应的本地数据中心的某个网段或另一VPC的网段,使该网段中的云主机通过SNAT方式进行访问。

NAT网关入门及使用
什么是NAT网关

NAT网关可为您提供网络地址转换服务,分为公网NAT网关和私网NAT网关。

NAT网关产品规格

NAT网关的规格指公网NAT网关与私网NAT网关支持的SNAT最大连接数。

图解NAT网关

公网NAT网关分为SNAT和DNAT两个功能

NAT网关产品优势

主要介绍公网NAT网关优势和私网NAT网关优势

NAT网关约束与限制

主要讲解公网NAT网关、私网NAT网关的约束与限制

NAT网关与其它服务的关系

主要讲解NAT网关与华为云其他服务之间的关系及交互功能。

计费说明(公网NAT网关)

公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。

公网NAT网关共有小型、中型、大型和超大型四种规格。

计费说明(私网NAT网关)

自2022年4月21日起,私网NAT网关在不同区域分批次开始收费。

本章节主要介绍私网NAT网关的计费详情。

NAT网关权限管理

如果您需要对华为云上购买的NAT网关资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务进行精细的权限管理。

NAT网关区域和可用区

我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。

云间NAT网关高速访问互联网

用户本地数据中心的服务器需要访问公网或为公网提供服务时,公网NAT网关可为您提供高效、优质的网络服务。可以通过开通云专线或VPN实现本地数据中心上云,然后购买公网NAT网关,通过配置SNAT规则实现访问公网。

ANAT访问公网入门指引

当多个云主机在没有绑定弹性公网IP的情况下需要访问公网,为了节省弹性公网IP资源并且避免云主机IP直接暴露在公网上,可以通过公网NAT网关共享弹性公网IP的方式访问公网,实现无弹性公网IP的云主机访问公网。

华为云NAT网关教程视频

NAT网关服务介绍

03:17

NAT网关服务介绍

介绍怎样配置SNAT访问公网

01:59

介绍怎样配置SNAT访问公网

介绍怎样配置DNAT为云主机面向公网提供服务

01:58

介绍怎样配置DNAT为云主机面向公网提供服务