《企业运维之云上网络原理与实践》——第三章 云上网络VPC&EIP&NAT&共享宽带&SLB——云上网络VPC&EIP&NAT&共享带宽&SLB(下)(5) https://developer.aliyun.com/article/1230614?groupCode=supportservice
4. VPC NAT
• VPC NAT网关能够为VPC内的ECS实例提供私网地址转换服务,使多个ECS实例可以通过中转私网地址(即NAT IP地址)访问用户的本地数据中心IDC或其他VPC;
• ECS实例也可以通过使用VPC NAT网关的中转私网地址对外提供私网访问服务。
1) 应用场景
【场景一】混合云使用指定地址互访场景
• 问题
随着金融证券行业云上业务规模的扩大,多网络间进行私网互通时,会遇到被监控机构要求使用固定私网地址访问的场景。
• 解决方案
使用VPC NAT网关的SNAT功能和DNAT功能实现固定私网地址访问的场景。
【场景二】VPC互访地址冲突
• 问题
由于早期网络规划单一或后期的业务合并,云上可能存在需要互通的两个业务VPC地址冲突的情况。
• 解决方案
为两个业务VPC各配置一个VPC NAT网关,并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能,将源地址转换为VPC NAT网关的中转地址,被访问的业务VPC通过DNAT功能,使用VPC NAT网关的中转私网地址对外提供私网服务,从而实现地址冲突的两个业务VPC互访。
5. NAT运维-常见问题
Q:ECS实例分配了固定公网IP且创建了SNAT条目,如何实现ECS实例优先通过SNAT的公网IP访问互联网?
A:可以为ECS实例单独分配一块弹性网卡,并将固定公网IP转为EIP,然后将EIP绑定到弹性网卡,以实现ECS实例优先通过SNAT的公网IP访问互联网,互联网通过弹性网卡主动访问ECS实例。
详细信息,请参见《为已分配固定公网IP的ECS实例统一公网出口IP》,网址:https://help.aliyun.com/document_detail/122217.html
Q:EIP支持创建SNAT IP地址池吗?
A:支持。目前仅支持通过API创建SNAT IP地址池。详细信息,请参见创建SNAT IP地址池,https://help.aliyun.com/document_detail/118491.html
Q:NAT网关绑定EIP,为什么流量达不到带宽峰值?
A:NAT网关绑定的EIP数限制NAT网关的最大并发数,绑定单个EIP最大连接数为55000,当ECS通过NAT网关访问公网上同一个目的IP和端口的带宽大于2Gbps时,建议用户为NAT网关绑定4~8个EIP并构建SNAT IP地址池,避免单个EIP的端口数量限制可能产生的丢包。
Q:当多条SNAT条目的源网段重叠时,如何匹配SNAT条目的优先级?
A:系统会根据最长掩码匹配规则确定优先为哪一条SNAT条目提供互联网代理服务。使用ECS粒度配置的SNAT条目中,源网段的子网掩码为/32,长度最长,优先级最高,优先匹配;使用其他粒度配置的SNAT条目会根据源网段的子网掩码长度进行匹配,长度越长,优先级越高,越先匹配。
Q:同时有PublicIP/EIP和NAT网关对接公网的优先级是什么?
A:PublicIP/EIP优先。如果需要使用NAT网关,需要先解绑PublicIP/EIP,PublicIP不可用直接解绑,需要先转换成EIP。
《企业运维之云上网络原理与实践》——第三章 云上网络VPC&EIP&NAT&共享宽带&SLB——云上网络VPC&EIP&NAT&共享带宽&SLB(下)(5) https://developer.aliyun.com/article/1230614?groupCode=supportservice
