公网NAT网关
本文介绍百度智能云“配置公网NAT网关”的方法(含操作指导视频),您可以参考视频中的关键步骤指导,使用智能云产品或是自助解决问题,请点击此处观看视频《BCC实例通过公网NAT网关访问公网》。
说明:
如视频指导中的部分界面元素或操作方式发生变化,请以智能云控制台界面为准。本视频重点演示功能操作流程,界面的细微变化不影响流程的整体呈现。
公网NAT网关支持用户的私有子网中的BCC、DCC、BBC实例连接Internet网络或其他百度智能云服务。
说明:
- 在配置SNAT条目前,请确保公网NAT网关所在的VPC中已经添加了公网NAT路由。
- 公网NAT网关,必须配置SNAT规则,才能实现通过公网NAT网关的公网IP访问互联网。
公网NAT网关支持SNAT和DNAT功能。
- SNAT:源网络地址转换,为VPC内无公网IP的云服务器提供访问互联网的代理服务。此外,公网NAT网关的SNAT功能还可以作为一个简易防火墙使用,保护私有网络信息不直接暴露公网。
- DNAT:目的网络地址转换,将公网NAT网关上的公网IP映射给BCC实例使用,使BCC实例能够提供互联网服务,支持IP映射和端口映射。所有端口属于IP映射,相当于为目标BCC实例配置了一个弹性公网IP,任何访问该公网IP的请求都将转发到目标BCC实例上。具体端口属于端口映射,公网NAT网关会将以指定协议和端口访问该公网IP的请求转发到目标BCC实例的指定端口上。
增强型公网NAT网关按容量单位CU衡量公网NAT网关的性能,一个CU的性能参数:
- 新建连接数(cps):1000个/秒
- 并发连接数(conns):10000个
- 转发能力(bps):1Gbps
说明:增强型公网NAT网关每个CU可以绑定5个EIP,绑定的EIP总数上限为50个。
适用场景:
- 绑定单个EIP:云服务器访问 Internet,通过公网NAT网关实现内网IP转换为单个公网IP地址。
- 共享带宽:通过公网NAT网关与共享带宽配合使用,实现内网IP转换为多个公网IP地址。
配置前您需要了解:
- 每个VPC最多支持3个公网NAT网关。
- SNAT或DNAT可以绑定一个普通EIP或共享带宽中的多个IP,不支持既绑定普通EIP又绑定共享带宽包的IP。
- SNAT+DNAT的EIP小于等于公网NAT可绑定EIP的数量。
- 同一个公网IP可以同时既用于SNAT又用于DNAT。
24.3.15支持本功能,存量数据有需求可提工单申请 - 一个SNAT表最多可添加40个条目。
- 一个SNAT条目支持可关联的公网IP的数量50个。
- 一个DNAT表最多可添加100个端口转发条目。
创建公网NAT网关
- 在VPC实例列表页,选择已创建的VPC实例,点击进入详情页面。如果您需要在非默认VPC中创建公网NAT网关,首先需要在该VPC中创建一个子网。
- 导航栏选择“网络连接->NAT网关”,点击“创建 NAT网关”按键。
- 填写下列配置信息:
| 配置项 | 说明 |
|---|---|
| 付费方式 | 选择预付费或后付费 |
| 当前地域 | 支持北京、保定、广州、苏州、武汉、香港,通过左上角区域进行切换 |
| 所在网络 | 选择所在网络 |
| NAT网关名称 | 用户自定义公网NAT网关名称 |
| 类型 | 选择公网NAT网关类型,支持增强型 |
| 性能容量 | 选择NAT网关性能容量 |
| SNAT公网IP | 选择SNAT的公网连接类型,包括两种类型,弹性公网IP和共享带宽 |
| DNAT公网IP | 选择DNAT网关的公网连接类型,包括两种类型,弹性公网IP和共享带宽 |
| 描述 | 编辑公网NAT网关相关描述信息 |
| 资源分组 | 选择资源分组 |
| 购买时长 | 选择购买时长 |
| 自动续费 | 选择是否自动续费 |
- 按步骤完成支付即可完成公网NAT网关的创建。
配置公网NAT路由
- 导航栏选择“路由表”,点击路由表名称进入详情页。
- 点击“添加路由”。
- 配置需要访问Internet的子网所关联的路由表。
- 源网段 :需通过公网NAT网关访问Internet子网
- 输入目标网段:0.0.0.0/0
- 路由类型:选择“NAT网关”
- 下一跳实例:选择已创建的公网NAT网关ID。该子网内所有访问公网的流量的下一跳将全部指向该公网NAT网关实例。
说明:
- 通用型子网已支持使用公网NAT网关,不再支持新增NAT专属子网。
- 子网内有实例绑定EIP,添加NAT路由后,若EIP路由与NAT路由冲突,则会优先走EIP路由。
- 由于VPC内所有子网默认互通,在NAT专属子网和通用型子网内的BCC实例之间仍然可以连通。
- 若公网NAT网关未绑定EIP,则不能作为NAT路由的下一跳实例,需要先绑定EIP再配置NAT路由。
- 点击“确定”,完成路由器配置,关联此路由表的子网内的BCC访问Intenet时流量将指向公网NAT网关。
配置SNAT表
- 点击公网NAT实例名称或点击操作中的“设置SNAT“进入SNAT表页面。
- 点击SNAT列表上方的“添加SNAT条目“,出现添加SNAT条目弹框。
- 填写下列配置信息:
| 配置项 | 说明 |
|---|---|
| 条目名称 | 用户自定义条目名称 |
| 源网段 | 必填,该网段下的BCC实例将通过SNAT功能进行公网访问。说明:允许源网段重叠,但是不能完全重复,若重叠系统会根据最长掩码匹配规则确定优先为哪一条SNAT条目提供互联网代理服务。 |
| 公网IP地址 | 必选,在SNAT公网IP中选择用来提供互联网访问的公网IP |
- 点击“确认”,完成SNAT条目的添加。
说明:
- 在配置SNAT条目前,请确保公网NAT网关所在的VPC中已经添加了NAT路由。
- 增强型公网NAT网关,必须配置SNAT规则,才能实现通过公网NAT网关的公网IP访问互联网。
配置DNAT表
- 点击公网NAT实例名称或点击操作中的“设置DNAT“进入DNAT表页面。
- 点击DNAT列表上方的“添加DNAT条目“,出现添加DNAT条目弹框。
- 填写下列配置信息:
| 配置项 | 说明 |
|---|---|
| 条目名称 | 用户自定义条目名称 |
| 公网IP地址 | 必选,在DNAT公网IP中选择一个IP |
| 内网IP地址 | 必填,输入目标实例的内网IP |
| 协议 | 必选,转发端口的协议类型。默认“全部协议“,协议类型:全部协议、TCP、UDP |
| 源端口 | 必填,公网端口,进行端口转发的外部端口,取值范围1-65535之间的整数。说明:允许连续端口输入,如80-90. |
| 目标端口 | 必填,内网端口,进行端口转发的内部端口,取值范围1-65535之间的整数。说明:允许连续端口输入,如80-90. |
- 点击“确认”,完成 DNAT条目的添加。
说明:
- 在配置DNAT条目前,请确保公网NAT网关所在的VPC中已经添加了NAT路由。
- 在解绑EIP前,确保该EIP没有被任何DNAT条目占用。
查看绑定公网NAT的EIP列表
登录控制台“产品服务>弹性公网IP”的实例列表页,能够查看绑定公网NAT的EIP实例。EIP到期7天内,与公网NAT保持绑定,EIP 在到期超过7天后,自动与公网NAT解绑并释放EIP。
查看监控
- 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏中选择公网NAT网关,进入公网NAT网关实例列表。
- 选择实例后面的"监控",页面右侧出现监控浮窗。
- 点击"查看更多",进入实例详情页面的监控。
- 可以查看公网NAT网关监控信息和后端服务器监控信息。
- 在监控页面点击“报警详情”进入报警策略配置页面,可以管理公网NAT网关的报警策略,详细操作步骤请见BCM管理报警。
说明:
- 后端服务器数量少于10个时,默认展示所有后端服务器监控信息。用户可自定义选择需要展示的后端服务器监控信息,最多可选10个。
公网NAT网关支持TOPN统计
TOPN: 您可在选择时间范围、统计方式、监控项后,开启显示TOP功能并点击最左侧的刷新按钮,此时系统根据您的选择,自动展示流量占比排名前10的后端服务器实例ID及IP。
统计方式: 平均值、最大值、最小值、和值。
监控项:入流量、出流量、入带宽、出带宽、入包速率、出包速率、连接数。
登录百度智能云【管理控制台】,选择【产品服务】--【网络】--【私有网络VPC】,在左侧导航栏中选择NAT网关,点击NAT网关实例名称,左侧导航栏选择监控,并查看“后端服务器监控信息”。
说明:
- 仅公网NAT网关支持TOPN,私网NAT网关暂不支持TOPN。
- 公网NAT网关状态为“运行中”,并且SNAT或DNAT状态为“可用”;
- 必须有网络流量经过公网NAT网关转换;
- 点刷新按钮后,流量图有延时,需等待大概3分钟左右后显示。
- 3天之内必须有数据,最大可以查询时间范围为30天。
- 系统支持以下三种时间选择方式: - 查询时间范围小于1小时(1-59分钟),例如:20:00发起一个查询任务,只能查18:56-19:55数据。 - 查询范围大于1小时,需要按1h整数倍数查,查询范围为1-12h。例如:20:00发起一个查询任务,查时间范围为1-12小时,只能查19:00前的数据。 - 查询范围大于1小时,且非整数倍的,可以结合查询时间范围小于1小时(1-59分钟)来解决查询1小时内的数据。
网关流控
百度智能云网关流控可实现对流经公网NAT网关的IP进行出、入向IP限速和连接数限制,可配合TOPN功能发现异常流量的IP,使用网关流控功能进行干预,方便运维并及时进行干预。
登录百度智能云【管理控制台】,选择【产品服务】--【网络】--【私有网络VPC】,在左侧导航栏中选择公网NAT网关,点击公网NAT网关实例名称,左侧导航栏选择网关流控进行创建。
说明: