NAT网关

一、NAT网关概述

在玩转阿里云：应用上云，网络先行一文中，较为概括地讲述了云数据中心网络各网络产品，有关NAT网关的描述如下：

当企业业务需要较多ECS服务器时，同时也需要多个EIP，同时，将IP地址直接暴露在外网也是不安全的。那能不能多个ECS服务器，使用同一个EIP又不暴露服务器呢？

为此，开发出 NAT网关产品 。通过NAT网关的SNAT功能实现访问外网，通过NAT网关的DNAT功能实现外网访问ECS实例。

云数据中心网络产品的架构关系体现为如下几种：

（1） EIP--ECS ：ECS直接挂接EIP，ECS既可以主动访问互联网，互联网络也可以主动访问ECS，是一种双向通信，EIP和ECS的关系是1：1。

（2） EIP -- NAT -- ECS ：ECS通过SNAT访问互联网，通过DNAT实现互联网访问ECS。在进行DNAT时，可以将EIP不同的端口映射到不同ECS的相应端口上。（NAT不具有负载分担流量的能力）

（3） EIP -- SLB --ECS ：EIP关联在SLB上，从互联网访问ECS服务时，实际上输入的是EIP地址和端口号，SLB监听到请求消息，则通过负载算法调度到相应的ECS上，ECS作出响应再通过SLB返回到互联网。这种方式，ECS不具有主动访问外网的能力。

事实上，企业业务网络要比这复杂，比如，要使得公网出入口统一，并使用同一EIP，而且ECS也能主动访问外网。下面就讨论这一场景。

二、统一公网出入口IP

官网给出了最佳实践：

通过增强型公网 NAT 实现云上统一公网出入口 IP
https://bp.aliyun.com/detail/294

1.概述

# 业务需求
由于业务的特殊性，要求业务满足以下条件：
（1）业务具有高可用性，避免单 ECS 实例故障导致的业务中断。
（2）两台 ECS 实例均可以主动访问互联网。
（3）互联网访问 ECS 实例使用的公网 IP 与 ECS 实例主动访问互联网使用的公网 IP
一致。
# 方案实现
可以联动增强型公网 NAT 网关、CLB 和 EIP 实现上述需求：
（1）公网 NAT 网关的 DNAT 功能与 CLB 组合使用可以增强业务的高可用性，当其中一台 ECS 实例出现故障时，CLB 会自动屏蔽故障的 ECS 实例，并将请求分发给正常运行的 ECS 实例，保证业务系统仍能正常工作。
（2）公网 NAT 网关的 SNAT 功能可以实现 ECS 实例主动访问互联网。
（3）公网 NAT 网关的 DNAT 功能和 SNAT 功能同时使用一个 EIP，可以实现 CLB 的后端服务器 ECS 实例访问互联网的出入口 IP 一致，有利于您更高效地管理互联网业务。

2.CADT架构部署

使用官网给出的模板：

说明：

（1）访问链路：

A. 互联网访问ECS的链路（用户输入EIP的地址）是：EIP --> 增强型公网NAT网关（DNAT）--> CLB --> ECS；

B. ECS访问互联网的链路： ECS-->增强型公网NAT网关（SNAT）--> EIP 。

相应地，架构图中线的规划：

A.EIP和增强型公网NAT网关是双向通信，使用双向箭头；

B.增强型公网NAT网关到CLB，再到ECS，是入方向，使用单向箭头；

C.ECS-->增强型公网NAT网关是出方向，使用单向虚线箭头。

（2）增强型公网NAT网关在CADT上，无法配置SNAT和DNAT，需要在后端控制台上进行配置，则以文本的形式标注出SNAT、DNAT规则。

（3）CLB--ECS连线上，配置监听端口。

3.安装配置

部署成功后，需要先在ECS上安装httpd（可在不连外网的情况下直接安装）

先安装好httpd，以便CLB的正常监听80端口。

# 安装httpd
yum install -y httpd
systemctl start httpd

最为关键的是配置DNAT和SNAT：

DNAT的配置：EIP的ip地址--CLB的私网地址，端口为80。
SNAT的配置：VPC的粒度--EIP的ip地址。

4.释放资源

释放资源，如果只有部分释放成功，可以检查问题后，再次进行释放。

三、从0开始搭建环境

通过模板来做还是挺顺利的，可以做新学参考。

如果要了解更多，那么，最好的方式便是从0开始做实验，依照要求绘制一样的架构图，却发现ecs-01到增强型公网nat网关的连线，可以配置SNAT。

DNAT无法配置，则需要在部署成功后控制台中配置。

部署成功后，查看NAT网关的SNAT的条目，映射关系为ECS的私网IP --> EIP地址。

经测试后，也能实现具体的业务。

在官方模板中使用了 展示连线 ，所以不支持配置。同时，在架构图中使用了文本说明：SNAT规则，使得架构图较为清晰。