公網NAT網關、彈性IP帶寬、VPC內彈性云主機與VPC是什么樣的關系？

• VPC是虛擬私有云，通過邏輯方式進行網絡隔離，提供安全、隔離的網絡環境。
• 公網NAT網關能夠為VPC內的彈性云主機提供訪問外網的能力。
• 彈性IP是可以提供互聯網上合法的靜態IP地址的服務，VPC的吞吐量由彈性IP帶寬決定。
• 彈性云主機是VPC內的運行實例，使用公網NAT網關訪問外網。

哪些端口無法訪問？

出于安全因素(su)考慮，部分運(yun)營商(shang)會對下列端(duan)口進行攔(lan)截，導(dao)致無法訪問(wen)。建議避(bi)免使用下列端(duan)口：

協議	不支持端口
TCP	42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996
UDP	135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996

彈性云主機使用NAT網關和直接綁定彈性IP有區別嗎？

公網NAT網關提供(gong)SNAT和DNAT功(gong)能，可(ke)允(yun)許多臺彈(dan)性云主機共享(xiang)彈(dan)性IP。

彈(dan)性云主機直接(jie)綁定彈(dan)性IP為獨占IP的方式。

當同(tong)一個(ge)彈(dan)性(xing)云主(zhu)機(ji)同(tong)時設置了SNAT和彈(dan)性(xing)IP時，會(hui)優先使用(yong)彈(dan)性(xing)IP進行(xing)轉(zhuan)發。

當同一個彈(dan)(dan)性(xing)(xing)(xing)云主機(ji)同時(shi)設置了DNAT和彈(dan)(dan)性(xing)(xing)(xing)IP時(shi)，入云方(fang)向的(de)彈(dan)(dan)性(xing)(xing)(xing)IP取(qu)決于客戶端用戶的(de)自主選擇(ze)（DNAT規(gui)則綁(bang)定的(de)彈(dan)(dan)性(xing)(xing)(xing)IP或ECS直(zhi)接綁(bang)定的(de)彈(dan)(dan)性(xing)(xing)(xing)IP），而出(chu)云方(fang)向優先使用彈(dan)(dan)性(xing)(xing)(xing)云主機(ji)直(zhi)接綁(bang)定的(de)彈(dan)(dan)性(xing)(xing)(xing)IP，所以如果入云和出(chu)云使用的(de)彈(dan)(dan)性(xing)(xing)(xing)IP不一致，流量會不通。

不(bu)建(jian)議彈性(xing)云主機同(tong)時使用公網NAT網關和(he)直接綁(bang)定(ding)彈性(xing)IP。

通過公網NAT網關訪問Internet失敗該如何處理？

用戶通(tong)(tong)過公網NAT網關訪問Internet失敗，可(ke)能(neng)是(shi)由于VPC路由表(biao)(biao)配置(zhi)錯誤引起的，可(ke)以(yi)通(tong)(tong)過以(yi)下方法重新配置(zhi)VPC路由表(biao)(biao)。

1. 找到VPC對應的子網關聯的路由表。
2. 查看路由表是否有到NAT網關的路由，如果不包含，請添加對應的路由。
3. 如果用戶自行修改到公網NAT網關的路由，請確保路由的目的地址包含待訪問的目的地址。

公網NAT網關是否支持更換VPC？

不支持。

公網(wang)NAT網(wang)關在購買時選定VPC，不(bu)支持后續(xu)進行更(geng)換。

公網NAT網關是否支持IPV6？

目前公網NAT網關不支持IPV6協(xie)議。

基于公網NAT網關的用戶網絡，可以配置哪些安全策略實現訪問限制？

基于公網NAT網關的用戶網絡(luo)，可以通過配置安(an)全組和網絡(luo)ACL實現訪問限制(zhi)。

• 安全組是一個邏輯上的分組，為具有相同安全保護需求并相互信任的云主機提供訪問策略。安全組創建后，用戶可以在安全組中定義各種訪問規則，當云主機加入該安全組后，即受到這些訪問規則的保護。
• 網絡ACL是一個子網級別的可選安全層，通過與子網關聯的出方向/入方向規則控制出入子網的數據流。

安全(quan)(quan)組對彈性云(yun)主機進行(xing)防(fang)護，網(wang)絡ACL對子網(wang)進行(xing)防(fang)護，兩(liang)者結合起來(lai)，可以實現(xian)更精(jing)細(xi)、更復雜的(de)安全(quan)(quan)訪問(wen)控制。

安全(quan)組與網絡ACL的詳情，請參見(jian)虛擬私有云用戶指南。

公網NAT網關配置完成后，網絡不通如何處理？

問題描述

您創建了(le)一(yi)個公(gong)網(wang)(wang)NAT網(wang)(wang)關(guan)，并按照步驟配(pei)置了(le)SNAT、DNAT規則(ze)，但是您的(de)云主機不(bu)能訪問(wen)互聯(lian)(lian)網(wang)(wang)或不(bu)能為(wei)互聯(lian)(lian)網(wang)(wang)提供(gong)服(fu)務。配(pei)置了(le)公(gong)網(wang)(wang)NAT網(wang)(wang)關(guan)的(de)網(wang)(wang)絡(luo)是否可以連通(tong)互聯(lian)(lian)網(wang)(wang)與路(lu)由表配(pei)置、安(an)全組配(pei)置、網(wang)(wang)絡(luo)ACL配(pei)置等多(duo)個環(huan)節(jie)(jie)相關(guan)聯(lian)(lian)。任(ren)意一(yi)個環(huan)節(jie)(jie)出現問(wen)題，都會導致網(wang)(wang)絡(luo)不(bu)通(tong)。本節(jie)(jie)操作介(jie)紹公(gong)網(wang)(wang)NAT網(wang)(wang)關(guan)配(pei)置完成后，網(wang)(wang)絡(luo)不(bu)通(tong)時的(de)排查思路(lu)。

排查思路

后文列舉(ju)了一些排查思路(lu)，幫助(zhu)您快(kuai)速找到問(wen)題(ti)的原因，如果解決完某(mou)個可能原因仍未(wei)解決問(wen)題(ti)，請繼(ji)續(xu)排查其他可能原因。

檢查路由表是否配置指向公網NAT網關網關的默認路由

1. 登錄管理控制臺。
2. 在管理控制臺左上角單擊，選擇區域和項目。
3. 在系統首頁，選擇“網絡 > 虛擬私有云”。
4. 在左側導航欄選擇“路由表”。
5. 在路由表列表中，單擊公網NAT網關所在VPC的路由表名稱。
6. 檢查路由列表中是否存在指向公網NAT網關的默認路由（0.0.0.0/0）。

? 如果未存在默認(ren)(ren)路由，請在路由表中添加(jia)指向公網NAT網關的默認(ren)(ren)路由。

i. 單擊(ji)“添加路(lu)由”，按照(zhao)提示配置參(can)數(shu)。

表 參數說明

參數	參數說明
目的地址	目的地址網段。配置為0.0.0.0/0。
下一跳類型	下一跳資源類型選擇“NAT網關”。
下一跳	下一跳資源選擇創建的公網NAT網關。
描述	路由的描述信息，非必填項。描述信息內容不能超過255個字符，且不能包含“<”和“>”。

ii. 單(dan)擊“確定”，完成(cheng)添加。

? 如果(guo)存(cun)在默認路(lu)由，但是未指(zhi)向公網(wang)NAT網(wang)關(guan)(guan)，請在路(lu)由表中添加指(zhi)向公網(wang)NAT網(wang)關(guan)(guan)的路(lu)由或(huo)者新(xin)增路(lu)由表并添加指(zhi)向公網(wang)NAT網(wang)關(guan)(guan)的默認路(lu)由。

• 路由表中添加指向公網NAT網關的路由詳細步驟：

1. 單擊“添加路由”，按照提示配置參數。

表 參數說明

參數	參數說明
目的地址	目的地址網段。
下一跳類型	下一跳資源類型選擇“NAT網關”。
下一跳	下一跳資源選擇創建的公網NAT網關。
描述	路由的描述信息，非必填項。描述信息內容不能超過255個字符，且不能包含“<”和“>”。

2. 單擊“確定”，完成添加。

• 新增路由表并添加指向公網NAT網關的默認路由：

1. 在路由表列表頁面右上角，單擊“創建路由表”，按照提示配置參數。

表 參數說明

參數	說明	取值樣例
路由表名稱	路由表的名稱，必填項。路由表的名稱只能由中文、英文字母、數字、“_”、“-”和“.”組成， 且不能有空格，長度不能大于64個字符。	rtb-001
所屬VPC	選擇路由表歸屬的VPC，必填項。	vpc-001
描述	路由表的描述信息，非必填項。描述信息內容不能超過255個字符，且不能包含“<”和“>”。	-
添加路由	路由規則信息。路由規則可以在此處添加，單擊“繼續添加”。添加目的地址為“0.0.0.0/0”， 下一跳資源類型選擇“NAT網關”，下一跳資源選擇創建的公網NAT網關。	-

2. 單擊“確定”，完成創建。

系統出現信息提示頁面，您(nin)可根(gen)據提示選(xuan)擇立即關聯(lian)子(zi)網。

3. 單擊“關聯子網”，進入路由表詳情頁面的“關聯子網”頁簽。
4. 單擊“關聯子網”，選擇需要關聯的子網。
5. 單擊“確定”，完成關聯。

檢查彈性云主機是否綁定了彈性IP

當(dang)同一(yi)個彈(dan)性云主機同時(shi)設置了SNAT和彈(dan)性IP時(shi)，會優先使用彈(dan)性IP進行(xing)轉發。

當同一個彈(dan)性(xing)(xing)云主機同時設置了DNAT和彈(dan)性(xing)(xing)IP時，入(ru)云方向的彈(dan)性(xing)(xing)IP取決于客戶端(duan)用戶的自主選(xuan)擇（DNAT規則(ze)綁定的彈(dan)性(xing)(xing)IP或ECS直接綁定的彈(dan)性(xing)(xing)IP），而出云方向優先使用彈(dan)性(xing)(xing)云主機直接綁定的彈(dan)性(xing)(xing)IP，所(suo)以如果入(ru)云和出云使用的彈(dan)性(xing)(xing)IP不一致(zhi)，流量(liang)會不通。

如果(guo)彈(dan)性云(yun)主(zhu)機(ji)綁定了彈(dan)性IP，請為彈(dan)性云(yun)主(zhu)機(ji)解(jie)綁彈(dan)性IP。

1. 登錄管理控制臺。
2. 在管理控制臺左上角單擊，選擇區域和項目。
3. 選擇“計算 > 彈性云主機”。
4. 在彈性云主機列表，查看“IP地址”列，檢查彈性云主機是否綁定了彈性IP。

? 如果彈性云主機未綁定彈性IP，請檢查下一項。

? 如果彈性(xing)(xing)云(yun)主(zhu)(zhu)機綁(bang)定了彈性(xing)(xing)IP，請(qing)為彈性(xing)(xing)云(yun)主(zhu)(zhu)機解綁(bang)彈性(xing)(xing)IP。

檢查安全組規則

如(ru)果安(an)(an)全組沒有放(fang)通彈性云(yun)(yun)主(zhu)機訪(fang)問(wen)和對外提供服(fu)務使(shi)用的端(duan)口，需(xu)要在(zai)彈性云(yun)(yun)主(zhu)機實例對應的安(an)(an)全組中(zhong)添加(jia)放(fang)行該端(duan)口的規則。

1. 登錄管理控制臺。
2. 在管理控制臺左上角單擊，選擇區域和項目。
3. 選擇“計算 > 彈性云主機”。
4. 在彈性云主機列表，單擊待檢查安全組規則的彈性云主機名稱。
5. 選擇“安全組”頁簽，展開安全組規則。
6. 檢查入方向規則和出方向規則是否已經配置放行彈性云主機使用端口的規則。

? 如果已配置放(fang)行(xing)彈性云主機使用端口規則，請檢查下一項。

? 如果未配(pei)置放(fang)行彈(dan)性云主機(ji)使(shi)用端口的規則，請單擊(ji)“配(pei)置規則”，進(jin)入安全(quan)組詳情頁。

在安全組詳(xiang)情頁，單擊“入方向規則(ze)(ze)”或“出方向規則(ze)(ze)”，分別(bie)根據(ju)彈(dan)性云主機使用的端口添加入方向規則(ze)(ze)或出方向規則(ze)(ze)。

檢查網絡ACL是否放通子網流量

檢查VPC的(de)子網(wang)是否關(guan)聯(lian)了網(wang)絡ACL，如果(guo)關(guan)聯(lian)了網(wang)絡ACL，請(qing)檢查“ 網(wang)絡ACL”規則(ze)。

1. 登錄管理控制臺。
2. 在管理控制臺左上角單擊，選擇區域和項目。
3. 在系統首頁，選擇“網絡 > 虛擬私有云”。
4. 在左側導航欄選擇“子網”。
5. 查看NAT網關對應的子網是否關聯了網絡ACL。

顯示具(ju)體的網絡(luo)ACL名(ming)稱(cheng)說明已關(guan)聯網絡(luo)ACL。

6. 單擊網絡ACL名稱查看網絡ACL的詳細信息。
7. 檢查入方向規則和出方向規則是否添加了放通子網流量的規則。

如(ru)果未添(tian)加(jia)放通子(zi)(zi)網流(liu)量的規則(ze)，請添(tian)加(jia)入(ru)方向(xiang)、出(chu)方向(xiang)規則(ze)放通子(zi)(zi)網流(liu)量或者將(jiang)網絡ACL與子(zi)(zi)網取(qu)消(xiao)關聯。

檢查彈性公網IP的帶寬是否超限

公(gong)(gong)網NAT網關綁定(ding)了彈性IP時，通過帶(dai)寬(kuan)提供公(gong)(gong)網和(he)公(gong)(gong)網NAT網關間(jian)的訪問(wen)流量。

如果出(chu)現網(wang)絡不通，請排(pai)查彈性IP帶(dai)寬是否(fou)超(chao)過帶(dai)寬最(zui)大(da)上限。

檢查公網NAT網關業務量是否超過規格上限

1. 登錄管理控制臺。
2. 在管理控制臺左上角單擊，選擇區域和項目。
3. 選擇“管理與監管 > 云監控服務”。
4. 單擊頁面左側的“云服務監控”，選擇“NAT網關”。
5. 單擊“操作”列的“查看監控指標”，查看公網NAT網關的監控指標詳情。
6. 檢查公網NAT網關SNAT連接數是否超過NAT網關規格上限。

? 如(ru)果SNAT連接數未超過公網NAT網關規格上限，請檢查下一項。

? 如果SNAT連接數(shu)超過公(gong)網NAT網關規格(ge)上限，請提升公(gong)網NAT網關規格(ge)。

檢查公網NAT網關狀態是否異常

1. 登錄管理控制臺。
2. 在管理控制臺左上角單擊，選擇區域和項目。
3. 選擇“網絡 > NAT網關”。
4. 在公網NAT網關列表，檢查公網NAT網關狀態是否異常。