一、NAT網(wǎng)關(guān)概述

在玩轉(zhuǎn)阿里云：應(yīng)用上云，網(wǎng)絡(luò)先行一文中，較為概括地講述了云數(shù)據(jù)中心網(wǎng)絡(luò)各網(wǎng)絡(luò)產(chǎn)品，有關(guān)NAT網(wǎng)關(guān)的描述如下：

當(dāng)企業(yè)業(yè)務(wù)需要較多ECS服務(wù)器時(shí)，同時(shí)也需要多個(gè)EIP，同時(shí)，將IP地址直接暴露在外網(wǎng)也是不安全的。那能不能多個(gè)ECS服務(wù)器，使用同一個(gè)EIP又不暴露服務(wù)器呢？

為此，開(kāi)發(fā)出 NAT網(wǎng)關(guān)產(chǎn)品 。通過(guò)NAT網(wǎng)關(guān)的SNAT功能實(shí)現(xiàn)訪問(wèn)外網(wǎng)，通過(guò)NAT網(wǎng)關(guān)的DNAT功能實(shí)現(xiàn)外網(wǎng)訪問(wèn)ECS實(shí)例。

云數(shù)據(jù)中心網(wǎng)絡(luò)產(chǎn)品的架構(gòu)關(guān)系體現(xiàn)為如下幾種：

（1） EIP--ECS ：ECS直接掛接EIP，ECS既可以主動(dòng)訪問(wèn)互聯(lián)網(wǎng)，互聯(lián)網(wǎng)絡(luò)也可以主動(dòng)訪問(wèn)ECS，是一種雙向通信，EIP和ECS的關(guān)系是1：1。

（2） EIP -- NAT -- ECS ：ECS通過(guò)SNAT訪問(wèn)互聯(lián)網(wǎng)，通過(guò)DNAT實(shí)現(xiàn)互聯(lián)網(wǎng)訪問(wèn)ECS。在進(jìn)行DNAT時(shí)，可以將EIP不同的端口映射到不同ECS的相應(yīng)端口上。（NAT不具有負(fù)載分擔(dān)流量的能力）

（3） EIP -- SLB --ECS ：EIP關(guān)聯(lián)在SLB上，從互聯(lián)網(wǎng)訪問(wèn)ECS服務(wù)時(shí)，實(shí)際上輸入的是EIP地址和端口號(hào)，SLB監(jiān)聽(tīng)到請(qǐng)求消息，則通過(guò)負(fù)載算法調(diào)度到相應(yīng)的ECS上，ECS作出響應(yīng)再通過(guò)SLB返回到互聯(lián)網(wǎng)。這種方式，ECS不具有主動(dòng)訪問(wèn)外網(wǎng)的能力。

事實(shí)上，企業(yè)業(yè)務(wù)網(wǎng)絡(luò)要比這復(fù)雜，比如，要使得公網(wǎng)出入口統(tǒng)一，并使用同一EIP，而且ECS也能主動(dòng)訪問(wèn)外網(wǎng)。下面就討論這一場(chǎng)景。

二、統(tǒng)一公網(wǎng)出入口IP

官網(wǎng)給出了最佳實(shí)踐：

复制通過(guò)增強(qiáng)型公網(wǎng) NAT 實(shí)現(xiàn)云上統(tǒng)一公網(wǎng)出入口 IP
https://bp.aliyun.com/detail/294

1.概述

复制# 業(yè)務(wù)需求
由于業(yè)務(wù)的特殊性，要求業(yè)務(wù)滿(mǎn)足以下條件：
（1）業(yè)務(wù)具有高可用性，避免單 ECS 實(shí)例故障導(dǎo)致的業(yè)務(wù)中斷。
（2）兩臺(tái) ECS 實(shí)例均可以主動(dòng)訪問(wèn)互聯(lián)網(wǎng)。
（3）互聯(lián)網(wǎng)訪問(wèn) ECS 實(shí)例使用的公網(wǎng) IP 與 ECS 實(shí)例主動(dòng)訪問(wèn)互聯(lián)網(wǎng)使用的公網(wǎng) IP
一致。
# 方案實(shí)現(xiàn)
可以聯(lián)動(dòng)增強(qiáng)型公網(wǎng) NAT 網(wǎng)關(guān)、CLB 和 EIP 實(shí)現(xiàn)上述需求：
（1）公網(wǎng) NAT 網(wǎng)關(guān)的 DNAT 功能與 CLB 組合使用可以增強(qiáng)業(yè)務(wù)的高可用性，當(dāng)其中一臺(tái) ECS 實(shí)例出現(xiàn)故障時(shí)，CLB 會(huì)自動(dòng)屏蔽故障的 ECS 實(shí)例，并將請(qǐng)求分發(fā)給正常運(yùn)行的 ECS 實(shí)例，保證業(yè)務(wù)系統(tǒng)仍能正常工作。
（2）公網(wǎng) NAT 網(wǎng)關(guān)的 SNAT 功能可以實(shí)現(xiàn) ECS 實(shí)例主動(dòng)訪問(wèn)互聯(lián)網(wǎng)。
（3）公網(wǎng) NAT 網(wǎng)關(guān)的 DNAT 功能和 SNAT 功能同時(shí)使用一個(gè) EIP，可以實(shí)現(xiàn) CLB 的后端服務(wù)器 ECS 實(shí)例訪問(wèn)互聯(lián)網(wǎng)的出入口 IP 一致，有利于您更高效地管理互聯(lián)網(wǎng)業(yè)務(wù)。

2.CADT架構(gòu)部署

使用官網(wǎng)給出的模板：

說(shuō)明：

（1）訪問(wèn)鏈路：

A. 互聯(lián)網(wǎng)訪問(wèn)ECS的鏈路（用戶(hù)輸入EIP的地址）是：EIP --> 增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)（DNAT）--> CLB --> ECS；

B. ECS訪問(wèn)互聯(lián)網(wǎng)的鏈路： ECS-->增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)（SNAT）--> EIP 。

相應(yīng)地，架構(gòu)圖中線的規(guī)劃：

A.EIP和增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)是雙向通信，使用雙向箭頭；

B.增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)到CLB，再到ECS，是入方向，使用單向箭頭；

C.ECS-->增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)是出方向，使用單向虛線箭頭。

（2）增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)在CADT上，無(wú)法配置SNAT和DNAT，需要在后端控制臺(tái)上進(jìn)行配置，則以文本的形式標(biāo)注出SNAT、DNAT規(guī)則。

（3）CLB--ECS連線上，配置監(jiān)聽(tīng)端口。

3.安裝配置

部署成功后，需要先在ECS上安裝httpd（可在不連外網(wǎng)的情況下直接安裝）

先安裝好httpd，以便CLB的正常監(jiān)聽(tīng)80端口。

复制# 安裝httpd
yum install -y httpd
systemctl start httpd

最為關(guān)鍵的是配置DNAT和SNAT：

复制DNAT的配置：EIP的ip地址--CLB的私網(wǎng)地址，端口為80。
SNAT的配置：VPC的粒度--EIP的ip地址。

4.釋放資源

釋放資源，如果只有部分釋放成功，可以檢查問(wèn)題后，再次進(jìn)行釋放。

三、從0開(kāi)始搭建環(huán)境

通過(guò)模板來(lái)做還是挺順利的，可以做新學(xué)參考。

如果要了解更多，那么，最好的方式便是從0開(kāi)始做實(shí)驗(yàn)，依照要求繪制一樣的架構(gòu)圖，卻發(fā)現(xiàn)ecs-01到增強(qiáng)型公網(wǎng)nat網(wǎng)關(guān)的連線，可以配置SNAT。

DNAT無(wú)法配置，則需要在部署成功后控制臺(tái)中配置。

部署成功后，查看NAT網(wǎng)關(guān)的SNAT的條目，映射關(guān)系為ECS的私網(wǎng)IP --> EIP地址。

經(jīng)測(cè)試后，也能實(shí)現(xiàn)具體的業(yè)務(wù)。

在官方模板中使用了 展示連線 ，所以不支持配置。同時(shí)，在架構(gòu)圖中使用了文本說(shuō)明：SNAT規(guī)則，使得架構(gòu)圖較為清晰。