一、NAT網(wǎng)關(guān)概述

在玩轉(zhuǎn)阿里云：應(yīng)用上云，網(wǎng)絡(luò)先行一文中，較為概括地講述了云數(shù)據(jù)中心網(wǎng)絡(luò)各網(wǎng)絡(luò)產(chǎn)品，有關(guān)NAT網(wǎng)關(guān)的描述如下：

當(dāng)企業(yè)業(yè)務(wù)需要較多ECS服務(wù)器時(shí)，同時(shí)也需要多個EIP，同時(shí)，將IP地址直接暴露在外網(wǎng)也是不安全的。那能不能多個ECS服務(wù)器，使用同一個EIP又不暴露服務(wù)器呢？

為此，開發(fā)出 NAT網(wǎng)關(guān)產(chǎn)品 。通過NAT網(wǎng)關(guān)的SNAT功能實(shí)現(xiàn)訪問外網(wǎng)，通過NAT網(wǎng)關(guān)的DNAT功能實(shí)現(xiàn)外網(wǎng)訪問ECS實(shí)例。

云數(shù)據(jù)中心網(wǎng)絡(luò)產(chǎn)品的架構(gòu)關(guān)系體現(xiàn)為如下幾種：

（1） EIP--ECS ：ECS直接掛接EIP，ECS既可以主動訪問互聯(lián)網(wǎng)，互聯(lián)網(wǎng)絡(luò)也可以主動訪問ECS，是一種雙向通信，EIP和ECS的關(guān)系是1：1。

（2） EIP -- NAT -- ECS ：ECS通過SNAT訪問互聯(lián)網(wǎng)，通過DNAT實(shí)現(xiàn)互聯(lián)網(wǎng)訪問ECS。在進(jìn)行DNAT時(shí)，可以將EIP不同的端口映射到不同ECS的相應(yīng)端口上。（NAT不具有負(fù)載分擔(dān)流量的能力）

（3） EIP -- SLB --ECS ：EIP關(guān)聯(lián)在SLB上，從互聯(lián)網(wǎng)訪問ECS服務(wù)時(shí)，實(shí)際上輸入的是EIP地址和端口號，SLB監(jiān)聽到請求消息，則通過負(fù)載算法調(diào)度到相應(yīng)的ECS上，ECS作出響應(yīng)再通過SLB返回到互聯(lián)網(wǎng)。這種方式，ECS不具有主動訪問外網(wǎng)的能力。

事實(shí)上，企業(yè)業(yè)務(wù)網(wǎng)絡(luò)要比這復(fù)雜，比如，要使得公網(wǎng)出入口統(tǒng)一，并使用同一EIP，而且ECS也能主動訪問外網(wǎng)。下面就討論這一場景。

二、統(tǒng)一公網(wǎng)出入口IP

官網(wǎng)給出了最佳實(shí)踐：

通過增強(qiáng)型公網(wǎng) NAT 實(shí)現(xiàn)云上統(tǒng)一公網(wǎng)出入口 IP
https://bp.aliyun.com/detail/294

1.概述

# 業(yè)務(wù)需求
由于業(yè)務(wù)的特殊性，要求業(yè)務(wù)滿足以下條件：
（1）業(yè)務(wù)具有高可用性，避免單 ECS 實(shí)例故障導(dǎo)致的業(yè)務(wù)中斷。
（2）兩臺 ECS 實(shí)例均可以主動訪問互聯(lián)網(wǎng)。
（3）互聯(lián)網(wǎng)訪問 ECS 實(shí)例使用的公網(wǎng) IP 與 ECS 實(shí)例主動訪問互聯(lián)網(wǎng)使用的公網(wǎng) IP
一致。
# 方案實(shí)現(xiàn)
可以聯(lián)動增強(qiáng)型公網(wǎng) NAT 網(wǎng)關(guān)、CLB 和 EIP 實(shí)現(xiàn)上述需求：
（1）公網(wǎng) NAT 網(wǎng)關(guān)的 DNAT 功能與 CLB 組合使用可以增強(qiáng)業(yè)務(wù)的高可用性，當(dāng)其中一臺 ECS 實(shí)例出現(xiàn)故障時(shí)，CLB 會自動屏蔽故障的 ECS 實(shí)例，并將請求分發(fā)給正常運(yùn)行的 ECS 實(shí)例，保證業(yè)務(wù)系統(tǒng)仍能正常工作。
（2）公網(wǎng) NAT 網(wǎng)關(guān)的 SNAT 功能可以實(shí)現(xiàn) ECS 實(shí)例主動訪問互聯(lián)網(wǎng)。
（3）公網(wǎng) NAT 網(wǎng)關(guān)的 DNAT 功能和 SNAT 功能同時(shí)使用一個 EIP，可以實(shí)現(xiàn) CLB 的后端服務(wù)器 ECS 實(shí)例訪問互聯(lián)網(wǎng)的出入口 IP 一致，有利于您更高效地管理互聯(lián)網(wǎng)業(yè)務(wù)。

2.CADT架構(gòu)部署

使用官網(wǎng)給出的模板：

說明：

（1）訪問鏈路：

A. 互聯(lián)網(wǎng)訪問ECS的鏈路（用戶輸入EIP的地址）是：EIP --> 增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)（DNAT）--> CLB --> ECS；

B. ECS訪問互聯(lián)網(wǎng)的鏈路： ECS-->增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)（SNAT）--> EIP 。

相應(yīng)地，架構(gòu)圖中線的規(guī)劃：

A.EIP和增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)是雙向通信，使用雙向箭頭；

B.增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)到CLB，再到ECS，是入方向，使用單向箭頭；

C.ECS-->增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)是出方向，使用單向虛線箭頭。

（2）增強(qiáng)型公網(wǎng)NAT網(wǎng)關(guān)在CADT上，無法配置SNAT和DNAT，需要在后端控制臺上進(jìn)行配置，則以文本的形式標(biāo)注出SNAT、DNAT規(guī)則。

（3）CLB--ECS連線上，配置監(jiān)聽端口。

3.安裝配置

部署成功后，需要先在ECS上安裝httpd（可在不連外網(wǎng)的情況下直接安裝）

先安裝好httpd，以便CLB的正常監(jiān)聽80端口。

# 安裝httpd
yum install -y httpd
systemctl start httpd

最為關(guān)鍵的是配置DNAT和SNAT：

DNAT的配置：EIP的ip地址--CLB的私網(wǎng)地址，端口為80。
SNAT的配置：VPC的粒度--EIP的ip地址。

4.釋放資源

釋放資源，如果只有部分釋放成功，可以檢查問題后，再次進(jìn)行釋放。

三、從0開始搭建環(huán)境

通過模板來做還是挺順利的，可以做新學(xué)參考。

如果要了解更多，那么，最好的方式便是從0開始做實(shí)驗(yàn)，依照要求繪制一樣的架構(gòu)圖，卻發(fā)現(xiàn)ecs-01到增強(qiáng)型公網(wǎng)nat網(wǎng)關(guān)的連線，可以配置SNAT。

DNAT無法配置，則需要在部署成功后控制臺中配置。

部署成功后，查看NAT網(wǎng)關(guān)的SNAT的條目，映射關(guān)系為ECS的私網(wǎng)IP --> EIP地址。

經(jīng)測試后，也能實(shí)現(xiàn)具體的業(yè)務(wù)。

在官方模板中使用了 展示連線 ，所以不支持配置。同時(shí)，在架構(gòu)圖中使用了文本說明：SNAT規(guī)則，使得架構(gòu)圖較為清晰。