公網NAT網關、彈性IP、VPC內彈性云主機與VPC是什么樣的關系？

公網NAT網關、彈性IP、VPC內彈性云主機與VPC之間的關系如下：

1. VPC提供安全隔離的用戶網絡環境，在VPC內，用戶可以自由配置子網、路由表、安全組等網絡資源。
2. 彈性IP是一種公網IP資源，可以與云主機綁定，為云主機提供公網訪問能力。彈性IP可以解綁并重新綁定到其他資源，例如公網NAT網關上，實現公網IP的靈活分配。
3. 公網NAT網關可以為VPC內的彈性云主機實例提供公網訪問能力。
4. VPC內彈性云主機是一種計算服務，可以為用戶提供可擴展的、安全的、高性能的虛擬服務器。ECS實例可以與彈性IP綁定，以實現公網訪問。也可通過NAT網關訪問公網。

總結：公網NAT網關用于提供虛擬私有云訪問互聯網的能力，彈性IP為云主機提供公網訪問能力，而VPC內彈性云主機則是用于提供計算能力的虛擬服務器。在實際應用中，這些資源可以相互配合，實現虛擬私有云中的云主機實例安全訪問互聯網的需求。

公網NAT網關如何實現高可用性？

天翼云公網NAT網關具備高可用性，支持秒級故障恢復收斂。

天翼云公網NAT網關部署在高可用物理服務器上，采用主備集群模式部署，集群內狀態數據實時同步，單網元發生故障時，系統會自動切換業務到集群內備用網元，業務秒級切換，支持用戶業務快速恢復。

哪些端口無法訪問？

為了您資源的安全性，不建議使用以下高危端口

TCP：20-22、42、53、135、137-139、444、445、593、1025、1068、1080、1433、1434、1521、3306、3127、3128、3129、3130、3389、4444、4789、5554、5800、5900、6379、7001、9996

UDP、135、137-139、1026-1028、1068、1433、1434、4789、5554、9996

彈性云主機使用公網NAT網關和直接綁定彈性IP有區別嗎？

區別主要是以下幾點：

1. 綁定數量：公網NAT網關提供SNAT和DNAT功能，可允許多臺彈性云主機共享彈性公網IP。彈性云主機直接綁定彈性公網IP為獨占IP的方式。
2. 如何選擇：

• 當云主機需要使用公網IP所有端口，直接與Internet互通時，建議云主機直接綁定彈性IP。云主機直接綁定彈性IP，如果云主機數量過多的話，會消耗較多公網IP。
• 希望保護VPC內虛擬網絡結構，并且希望多個云主機共用公網IP、通過端口號區分與Internet互通，建議使用公網NAT網關。
• 云主機使用公網NAT網關配置DNAT規則時，不建議云主機同時綁定公網IP，以免造成流量出、入方向走到不同的路徑。

3.如何使用彈性IP或者公網NAT網關訪問公網

點擊查看詳細使用說明。

對于可用區資源池存在2種方式訪問公網，如下：
方式1：目的地址最長掩碼匹配

根據客戶在路由表中的指向IPv4網關（彈性IP）、NAT網關的路由配置情況，進行目的地址最長掩碼匹配然后決定流量走IPv4網關（彈性IP）或者NAT網關。

方式2：公網IP優先

在同一個VPC內云主機同時綁定公網IP和SNAT規則時，客戶配置了指向IPv4網關（彈性IP）和NAT網關的路由規則。當路由目的地址相同時，優先通過IPv4網關（彈性IP）訪問公網；當路由目的地址不同時，進行目的地址最長掩碼匹配然后決定流量走IPv4網關（彈性IP）或者NAT網關。

NAT網關是否支持更換VPC？

暫不支持

NAT網關在購買時選定VPC，后續不支持修改，NAT網關雖可結合對等連接跨VPC提供地址轉換服務，但需互聯VPC無地址沖突，優先選擇需要訪問公網的目標計算實例所在VPC創建NAT網關，NAT網關創建步驟詳見管理NAT網關。

NAT網關是否支持IPV6？

不支持。

云主機如果希望使用IPV6地址與Internet互通，請使用IPV6網關產品，IPv6網關可以提供VPC網絡中的云主機實例使用IPv6訪問公網的能力，同時也允許終端使用IPv6通過互聯網訪問VPC網絡中的云主機實例，詳見IPV6網關配置指南。

基于NAT網關的用戶網絡，可以配置哪些安全策略實現訪問限制？

NAT網關提供隔離主機網絡的安全能力，但不支持做主機訪問的策略控制，如用戶需要對主機進行訪問限制，可以配置以下安全策略來實現訪問限制：

1. 網絡ACL：可以通過網絡ACL來配置子網出入流量的規則，限制特定協議、端口或IP地址的訪問。
2. 安全組：安全組是一種虛擬防火墻，可以在彈性云主機中配置。通過安全組，可以定義允許和拒絕的流量規則，限制特定協議、端口或IP地址的訪問。

安全組對彈性云主機進行防護，網絡ACL對子網進行防護，兩者結合起來，可以實現更精細、更復雜的安全訪問控制。

同時存在指向NAT網關的默認路由和指向IPv4網關的默認路由，路由優先級是什么樣的？

VPC的默認路由表中，如果同時存在指向IPv4網關的自定義路由，和指向NAT網關的自定義路由，由于指向IPv4網關的自定義路由優先級更高，流量會轉發到IPv4網關；

示例如下：假如VPC路由表中存在兩條自定義路由，目的地址為默認路由（0.0.0.0/0），下一跳為NAT網關；目的地址為默認路由（0.0.0.0/0），下一跳為IPv4網關。

如果線下IDC通過專線接入云上公網NAT網關，轉發時會匹配優先級更高的路由規則，此時流量會轉發至IPv4網關，無法抵達NAT網關；

如果VPC內的同一個子網下部分ECS綁定了EIP，部分ECS通過NAT網關出公網，會匹配子網的策略路由；將綁定了EIP的ECS流量轉發給IPv4網關，而未綁定EIP的ECS流量則轉發給NAT網關出公網。

公網NAT網關配置完成后，網絡不通如何處理？

公網NAT網關配置完成后，網絡不通可以通過以下步驟進行處理：

1. 檢查公網NAT網關狀態是否處于運行中，如果不是運行中，可以通過以下方法解除異常

• 公網NAT網關到期，顯示已到期，可以點擊續訂，讓公網NAT網關恢復正常。再次進行連接測試。
• 公網NAT網關按需欠費后，會處于凍結狀態，可以進行續費處理，讓公網NAT網關恢復正常。再次進行連接測試。

2. 檢查SNAT和DNAT規則配置是否正確：

• 在SNAT規則配置頁面確認SNAT規則是否已經配置生效，且確認彈性云主機在SNAT規則子網內，或源訪問地址在SNAT規則的源地址段內。如果SNAT規則未配置正確則無法訪問公網。如何配置SNAT規則，詳情請參見添加SNAT規則（新建鏈接）。
• 在DNAT規則配置頁面確認DNAT規則已經配置生效，DNAT規則配置未生效會訪問不通。關于如何配置DNAT規則，詳情請參見添加DNAT規則（新建鏈接）。

3. 檢查是否由于VPC路由表配置錯誤引起的，可以通過以下方法重新配置VPC路由表。

• 找到VPC對應的子網關聯的路由表。
• 查看路由表是否有到公網NAT網關的路由，如果不包含，請添加對應的路由。路由下一跳類型為NAT網關，下一跳為公網NAT網關名稱，目的地址是0.0.0.0/0。具體操作步驟參見創建公網NAT網關（新建鏈接），再次進行連接測試。

4. 檢查云主機安全組配置，如果安全組沒有放通彈性云主機訪問和對外提供服務使用的端口，需要在對應的安全組中添加放行該端口。

• 點擊云主機名稱，進入云主機詳情頁，選擇安全組頁簽，展開安全組規則。
• 出方向放通所有端口，地址為0.0.0.0/0，入方向端口放通DNAT綁定的應用端口，具體操作參加虛擬私有云-添加安全組規則。再次進行連接測試

5. 檢查網絡ACL設置，如果VPC的子網關聯了網絡ACL，可能導致網絡不同。

• 點擊子網名稱，進入子網詳情頁，選擇ACL頁簽，查看是否有綁定網絡ACL，檢查入方向規則和出方向規則是否添加了放通子網流量的規則。
• 如果未添加放通子網流量的規則，請添加入方向、出方向規則放通子網流量或者將網絡ACL與子網取消關聯。再次進行連接測試。

6. 檢查公網NAT網關業務量是否超過規格上限。

• 在云監控-云服務監控中找到公網NAT網關名稱，點擊查看監控指標，查看公網NAT網關業務指標情況
• 如果超過上限，可以點擊公網NAT網關操作欄的“變配”，變更公網NAT網關的規格。再次進行連接測試。

7. 檢查彈性IP是否超限。

• 在云監控中查看彈性IP的監控指標是否超限
• 如果超限，可以變更彈性IP的帶寬規格，再進行連接測試。

8. 檢查彈性云主機端口，以CentOS為例可使用以下命令行查看端口監聽是否正常。

netstat -ntulp |grep 云主機端口

如果端口沒有被正常監聽，請重新開啟彈性云主機端口。

9. 如果上述排查后，網絡依然不通，可以提交工單，聯系技術支持人員幫助解決。