准备工作
注册华为云帐号并实名认证
如果您已有一个华为云帐号并完成了实名认证,请跳到下一个任务。如果您还没有华为云帐号,请参考以下步骤创建。
1. 打开https://www.huaweicloud.com/,单击“注册”。
2. 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。
3. 注册成功后,系统会自动跳转至您的个人信息界面。
4. 参考实名认证完成个人或企业帐号实名认证。
为账户充值
配置步骤
步骤1:创建VPC及子网
本示例需要使用1个VPC和2个子网。首先创建1个VPC,再创建2个子网。
具体操作请参见创建虚拟私有云和子网。
步骤2:购买公网NAT网关
业务VPC创建完成后,购买第一个公网NAT网关。
1. 登录管理控制台。
2. 在管理控制台左上角单击
,选择区域和项目。
3. 在系统首页,单击“网络 > NAT网关”。
进入公网NAT网关页面。
4. 在公网NAT网关页面,单击“购买公网NAT网关”,进入公网NAT网关购买页面。
5. 根据界面提示,配置公网NAT网关的基本信息。
虚拟私有云请选择步骤1创建的业务VPC,子网选择步骤1创建的其中一个子网。
配置完成上述信息,会显示公网NAT网关配置费用,可通过“了解计费详情”查看计费信息。
6. 单击“立即购买”,在“规格确认”页面,您可以再次核对公网NAT网关信息。
7. 确认无误后,单击“提交”,开始创建公网NAT网关。
公网NAT网关的创建过程一般需要1-5分钟。
8. 在“公网NAT网关”列表,查看公网NAT网关状态。
步骤3:检查默认路由
公网NAT网关创建好后,进入VPC路由表界面,检查默认路由表下是否存在指向公网NAT网关的默认路由。
1. 登录管理控制台。
2. 在管理控制台左上角单击
,选择区域和项目。
3. 在系统首页,选择“网络 > 虚拟私有云”。
4. 在左侧导航栏选择“路由表”。
5. 在路由表列表中,单击需要查看路由规则的路由表名称。
6. 进入路由表详情页面,检查是否存在指向公网NAT网关的默认路由。
说明:VPC下第一个公网NAT网关创建时会在默认路由表自动下发0.0.0.0/0的默认路由,若VPC下已经存在此路由,则需要在路由表界面手动修改路由,指向所创建的公网NAT网关。
步骤4:创建路由表
公网NAT网关多实例依赖VPC多路由表功能,所以需要在VPC中创建第二张路由表。
1. 登录管理控制台。
2. 在管理控制台左上角单击
,选择区域和项目。
3. 在系统首页,选择“网络 > 虚拟私有云”。
4. 在左侧导航栏,选择“路由表”。
5. 在页面右上角,单击“创建路由表”,按照提示配置参数。
6. 单击“确定”,完成创建。
系统出现信息提示页面,请您根据提示关联子网。请参考以下步骤进行关联:
① 单击“关联子网”,进入路由表详情页面的“关联子网”页签。
② 单击“关联子网”,选择步骤1创建的第二个子网。
③ 单击“确定”,完成关联。
步骤5:购买公网NAT网关
在VPC中完成第二张路由表的创建并且已关联第二个子网之后,在业务VPC下购买第二个公网NAT网关。
1. 登录管理控制台。
2. 在管理控制台左上角单击,选择区域和项目。
3. 在系统首页,单击“网络 > NAT网关”。
进入公网NAT网关页面。
4. 在公网NAT网关页面,单击“购买公网NAT网关”,进入公网NAT网关购买页面。
5. 根据界面提示,配置公网NAT网关的基本信息。
虚拟私有云请选择步骤1创建的业务VPC,子网选择步骤1创建的其中一个子网。
配置完成上述信息,会显示公网NAT网关配置费用,可通过“了解计费详情”查看计费信息。
6. 单击“立即购买”,在“规格确认”页面,您可以再次核对公网NAT网关信息。
7. 确认无误后,单击“提交”,开始创建公网NAT网关。
公网NAT网关的创建过程一般需要1-5分钟。
8. 在“公网NAT网关”列表,查看公网NAT网关状态。
步骤6:添加默认路由
从第二个网关开始,需要在新路由表中创建0.0.0.0/0指向公网NAT网关的默认路由。
1. 登录管理控制台。
2. 在管理控制台左上角单击
,选择区域和项目。
3. 在系统首页,选择“网络 > 虚拟私有云”。
4. 在左侧导航栏选择“路由表”。
5. 在路由表列表中,单击需要添加路由规则的路由表名称。
6. 单击“添加路由”,按照提示配置参数。
单击
,可以依次增加多条路由。
7. 单击“确定”,完成添加。
NAT网关使用指导
-
NAT网关-入门指引
当多个云主机在没有绑定弹性公网IP的情况下需要访问公网,为了节省弹性公网IP资源并且避免云主机IP直接暴露在公网上,可以通过公网NAT网关共享弹性公网IP的方式访问公网。
当多个云主机在没有绑定弹性公网IP的情况下需要访问公网,为了节省弹性公网IP资源并且避免云主机IP直接暴露在公网上,可以通过公网NAT网关共享弹性公网IP的方式访问公网。
-
NAT网关-准备工作
-
NAT网关-购买公网NAT网关
如果您要通过公网NAT网关访问公网或为公网提供服务,则需要购买公网NAT网关,本章节为您介绍创建NAT网关的详细操作
如果您要通过公网NAT网关访问公网或为公网提供服务,则需要购买公网NAT网关,本章节为您介绍创建NAT网关的详细操作
-
NAT网关-添加SNAT规则
公网NAT网关创建成功后,您需要创建SNAT规则。通过创建SNAT规则,您可以将该子网下的云主机通过共享弹性公网IP访问互联网。
一个子网或一条网段对应一条SNAT规则,如果VPC中有多个子网或网段需要访问公网,则可以通过创建多个SNAT规则实现共享弹性公网IP资源。
公网NAT网关创建成功后,您需要创建SNAT规则。通过创建SNAT规则,您可以将该子网下的云主机通过共享弹性公网IP访问互联网。
一个子网或一条网段对应一条SNAT规则,如果VPC中有多个子网或网段需要访问公网,则可以通过创建多个SNAT规则实现共享弹性公网IP资源。
-
NAT网关-结果验证
SNAT规则添加完成后,分为以下两步验证:
1、验证是否成功为目标公网NAT网关添加SNAT规则;
2、验证未绑定EIP的服务器是否可以通过NAT网关访问公网。
SNAT规则添加完成后,分为以下两步验证:
1、验证是否成功为目标公网NAT网关添加SNAT规则;
2、验证未绑定EIP的服务器是否可以通过NAT网关访问公网。
-
NAT网关-添加SNAT规则
公网NAT网关创建成功后,您需要创建SNAT规则。通过创建SNAT规则,虚拟私有云子网中全部或部分云主机可以通过共享弹性公网IP访问公网,或云专线/云连接用户侧端该网段下的服务器可以通过共享弹性公网IP访问公网。
公网NAT网关创建成功后,您需要创建SNAT规则。通过创建SNAT规则,虚拟私有云子网中全部或部分云主机可以通过共享弹性公网IP访问公网,或云专线/云连接用户侧端该网段下的服务器可以通过共享弹性公网IP访问公网。
-
NAT网关-修改SNAT规则
添加SNAT规则后,如果SNAT规则设置有误,或者SNAT规则中的一些参数需要更新时,可以修改SNAT规则
添加SNAT规则后,如果SNAT规则设置有误,或者SNAT规则中的一些参数需要更新时,可以修改SNAT规则
-
NAT网关-删除SNAT规则
-
公网NAT网关-计费说明
公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。公网NAT网关共有小型、中型、大型和超大型四种规格,本章节主要介绍私网NAT网关的计费详情。
公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。公网NAT网关共有小型、中型、大型和超大型四种规格,本章节主要介绍私网NAT网关的计费详情。
NAT网关常见问题
公网NAT网关常见问题
-
公网NAT网关、弹性公网IP带宽、VPC内弹性云服务器与VPC是什么样的关系?
1、VPC是虚拟私有云,通过逻辑方式进行网络隔离,提供安全、隔离的网络环境。
2、公网NAT网关能够为VPC内的弹性云服务器提供访问外网的能力。
3、弹性公网IP是可以提供互联网上合法的静态IP地址的服务,VPC的吞吐量由弹性公网IP带宽决定。
4、弹性云服务器是VPC内的运行实例,使用公网NAT网关访问外网。
-
公网NAT网关如何实现高可用性?
公网NAT网关后台已通过双机热备实现自动容灾,同时为用户提供云监控和告警服务,降低风险提高可用性。
-
哪些端口无法访问?
出于安全因素考虑,部分运营商会对下列端口进行拦截,导致无法访问。建议避免使用下列端口:
-
弹性云服务器使用公网NAT网关和直接绑定弹性公网IP有区别吗?
1、公网NAT网关提供SNAT和DNAT功能,可允许多台弹性云服务器共享弹性公网IP。
2、弹性云服务器直接绑定弹性公网IP为独占IP的方式。
3、当同一个弹性云服务器同时设置了SNAT和弹性公网IP时,会优先使用弹性公网IP进行转发。
4、当同一个弹性云服务器同时设置了DNAT和弹性公网IP时,入云方向的弹性公网IP取决于客户端用户的自主选择(DNAT规则绑定的弹性公网IP或ECS直接绑定的弹性公网IP),而出云方向优先使用弹性云服务器直接绑定的弹性公网IP,所以如果入云和出云使用的弹性公网IP不一致,流量会不通。
5、不建议弹性云服务器同时使用公网NAT网关和直接绑定弹性公网IP。
-
通过公网NAT网关访问Internet失败该如何处理?
用户通过公网NAT网关访问Internet失败,可能是由于VPC路由表配置错误引起的,可以通过以下方法重新配置VPC路由表。
1、找到VPC对应的子网关联的路由表。
2、查看路由表是否有到NAT网关的路由,如果不包含,请添加对应的路由。
3、如果用户自行修改到公网NAT网关的路由,请确保路由的目的地址包含待访问的目的地址。
-
公网NAT网关是否支持更换VPC?
不支持。
公网NAT网关在购买时选定VPC,不支持后续进行更换。
-
公网NAT网关是否支持IPV6?
目前公网NAT网关不支持IPV6协议。
-
基于公网NAT网关的用户网络,可以配置哪些安全策略实现访问限制?
基于公网NAT网关的用户网络,可以通过配置安全组和网络ACL实现访问限制。
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的数据流。
安全组对弹性云服务器进行防护,网络ACL对子网进行防护,两者结合起来,可以实现更精细、更复杂的安全访问控制。
安全组与网络ACL的详情,请参见《VPC用户指南》安全性章节。
-
公网NAT网关配置完成后,网络不通如何处理?
问题描述
您创建了一个公网NAT网关,并按照步骤配置了SNAT、DNAT规则,但是您的云主机不能访问互联网或不能为互联网提供服务。配置了公网NAT网关的网络是否可以连通互联网与路由表配置、安全组配置、网络ACL配置等多个环节相关联。任意一个环节出现问题,都会导致网络不通。本节操作介绍公网NAT网关配置完成后,网络不通时的排查思路。
排查思路
以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。
如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。
路由表配置不正确
请在路由表中添加指向公网NAT网关的默认路由或路由,详细操作请参考检查路由表是否配置指向公网NAT网关网关的默认路由。
弹性云服务器绑定了弹性公网IP
请为弹性云服务器解绑弹性公网IP,详细操作请参考检查弹性云服务器是否绑定了弹性公网IP。
安全组规则未放通
请放通弹性云服务器对应的安全组规则,详细操作请参考检查安全组规则。
网络ACL配置不正确
请配置网络ACL规则放通子网流量,详细操作请参考检查网络ACL是否放通子网流量。
弹性公网IP的带宽超限
请扩大EIP带宽,详细操作请参考检查弹性公网IP的带宽是否超限。
公网NAT网关业务量超过规格上限
请提升公网NAT网关规格,详细操作请参考检查公网NAT网关业务量是否超过规格上限。
公网NAT网关的状态异常
请确保公网NAT网关资源状态为“运行中”,详细操作请参考检查公网NAT网关状态是否异常。
弹性云服务器端口未监听
请重新开启弹性云服务器端口,详细操作请参考检查弹性云服务器端口。
