一、NAT網關概述

在玩轉阿里云：應用上云，網絡先行一文中，較為概括地講述了云數據中心網絡各網絡產品，有關NAT網關的描述如下：

當企業業務需要較多ECS服務器時，同時也需要多個EIP，同時，將IP地址直接暴露在外網也是不安全的。那能不能多個ECS服務器，使用同一個EIP又不暴露服務器呢？

為此，開發出 NAT網關產品 。通過NAT網關的SNAT功能實現訪問外網，通過NAT網關的DNAT功能實現外網訪問ECS實例。

云數據中心網絡產品的架構關系體現為如下幾種：

（1） EIP--ECS ：ECS直接掛接EIP，ECS既可以主動訪問互聯網，互聯網絡也可以主動訪問ECS，是一種雙向通信，EIP和ECS的關系是1：1。

（2） EIP -- NAT -- ECS ：ECS通過SNAT訪問互聯網，通過DNAT實現互聯網訪問ECS。在進行DNAT時，可以將EIP不同的端口映射到不同ECS的相應端口上。（NAT不具有負載分擔流量的能力）

（3） EIP -- SLB --ECS ：EIP關聯在SLB上，從互聯網訪問ECS服務時，實際上輸入的是EIP地址和端口號，SLB監聽到請求消息，則通過負載算法調度到相應的ECS上，ECS作出響應再通過SLB返回到互聯網。這種方式，ECS不具有主動訪問外網的能力。

事實上，企業業務網絡要比這復雜，比如，要使得公網出入口統一，并使用同一EIP，而且ECS也能主動訪問外網。下面就討論這一場景。

二、統一公網出入口IP

官網給出了最佳實踐：

通過增強型公網 NAT 實現云上統一公網出入口 IP
https://bp.aliyun.com/detail/294

1.概述

# 業務需求
由于業務的特殊性，要求業務滿足以下條件：
（1）業務具有高可用性，避免單 ECS 實例故障導致的業務中斷。
（2）兩臺 ECS 實例均可以主動訪問互聯網。
（3）互聯網訪問 ECS 實例使用的公網 IP 與 ECS 實例主動訪問互聯網使用的公網 IP
一致。
# 方案實現
可以聯動增強型公網 NAT 網關、CLB 和 EIP 實現上述需求：
（1）公網 NAT 網關的 DNAT 功能與 CLB 組合使用可以增強業務的高可用性，當其中一臺 ECS 實例出現故障時，CLB 會自動屏蔽故障的 ECS 實例，并將請求分發給正常運行的 ECS 實例，保證業務系統仍能正常工作。
（2）公網 NAT 網關的 SNAT 功能可以實現 ECS 實例主動訪問互聯網。
（3）公網 NAT 網關的 DNAT 功能和 SNAT 功能同時使用一個 EIP，可以實現 CLB 的后端服務器 ECS 實例訪問互聯網的出入口 IP 一致，有利于您更高效地管理互聯網業務。

2.CADT架構部署

使用官網給出的模板：

說明：

（1）訪問鏈路：

A. 互聯網訪問ECS的鏈路（用戶輸入EIP的地址）是：EIP --> 增強型公網NAT網關（DNAT）--> CLB --> ECS；

B. ECS訪問互聯網的鏈路： ECS-->增強型公網NAT網關（SNAT）--> EIP 。

相應地，架構圖中線的規劃：

A.EIP和增強型公網NAT網關是雙向通信，使用雙向箭頭；

B.增強型公網NAT網關到CLB，再到ECS，是入方向，使用單向箭頭；

C.ECS-->增強型公網NAT網關是出方向，使用單向虛線箭頭。

（2）增強型公網NAT網關在CADT上，無法配置SNAT和DNAT，需要在后端控制臺上進行配置，則以文本的形式標注出SNAT、DNAT規則。

（3）CLB--ECS連線上，配置監聽端口。

3.安裝配置

部署成功后，需要先在ECS上安裝httpd（可在不連外網的情況下直接安裝）

先安裝好httpd，以便CLB的正常監聽80端口。

# 安裝httpd
yum install -y httpd
systemctl start httpd

最為關鍵的是配置DNAT和SNAT：

DNAT的配置：EIP的ip地址--CLB的私網地址，端口為80。
SNAT的配置：VPC的粒度--EIP的ip地址。

4.釋放資源

釋放資源，如果只有部分釋放成功，可以檢查問題后，再次進行釋放。

三、從0開始搭建環境

通過模板來做還是挺順利的，可以做新學參考。

如果要了解更多，那么，最好的方式便是從0開始做實驗，依照要求繪制一樣的架構圖，卻發現ecs-01到增強型公網nat網關的連線，可以配置SNAT。

DNAT無法配置，則需要在部署成功后控制臺中配置。

部署成功后，查看NAT網關的SNAT的條目，映射關系為ECS的私網IP --> EIP地址。

經測試后，也能實現具體的業務。

在官方模板中使用了 展示連線 ，所以不支持配置。同時，在架構圖中使用了文本說明：SNAT規則，使得架構圖較為清晰。