检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
应用程序BUG,没有关闭socket。出现在网络中断后。一般是进程死循环或等待其他条件。可以重启对应进程。 FIN-WAIT-2 从远程TCP等待连接中断请求 网络中断过,需要12分钟左右自行恢复。 SYN-SENT 再发送连接请求后等待匹配的连接请求 TCP连接请求失败。一般是服务端CPU占用率过高,处理不及时导致。DDos攻击也会出现此情况。
私网NAT网关简介 什么是私网NAT网关? 私网NAT网关(Private NAT Gateway),能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器)提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则,可将源、目的网段地址转换为中转IP,通过使用中转
添加DNAT规则 操作场景 公网NAT网关创建后,通过添加DNAT规则,则可以通过映射方式将您VPC内的云主机对互联网提供服务。 一个云主机的一个端口对应一条DNAT规则,一个端口只能映射到一个EIP,不能映射到多个EIP。如果您有多个云主机需要为互联网提供服务,则需要创建多条DNAT规则。
购买公网NAT网关 操作场景 如果您要通过公网NAT网关访问公网或为公网提供服务,则需要购买公网NAT网关。 约束与限制 同一个公网NAT网关下的多条规则可以复用同一个弹性公网IP,不同网关下的规则必须使用不同的弹性公网IP。 一个VPC支持关联多个公网NAT网关。 SNAT、D
示例1:创建公网NAT网关并配置SNAT规则 场景描述 本章节指导用户通过调用API来创建SNAT规则。API的调用方法请参见如何调用API。 前提条件 已创建VPC和子网,具体参见创建云服务器所需要的VPC和子网。 确认VPC下没有默认路由(“华北-北京四”区域无此限制)。 创建规则时,要求网关状态status
示例2:创建公网NAT网关并配置DNAT规则 操作场景 本章节指导用户通过调用API来创建DNAT规则。API的调用方法请参见如何调用API。 前提条件 已创建VPC和子网,具体参见创建云服务器所需要的VPC和子网。 确认VPC下没有默认路由(“华北-北京四”区域无此限制)。 创建规则时,要求网关状态status
cidr must be a subset of subnet's cidr. VPC侧SNAT规则中的cidr必须是子网网段的子集 如果为VPC配置SNAT规则,CIDR必须是子网的子集。例如:子网为192.168.0.0/24,CIDR可填写192.168.0.0/25。 400 NAT
弹性云服务器使用公网NAT网关和直接绑定弹性公网IP有区别吗? 公网NAT网关提供SNAT和DNAT功能,可允许多台弹性云服务器共享弹性公网IP。 弹性云服务器直接绑定弹性公网IP为独占IP的方式。 当同一个弹性云服务器同时设置了SNAT和弹性公网IP时,会优先使用弹性公网IP进行转发。
删除中转IP 操作场景 当您不需要某个中转IP时,可以进行删除操作。 操作步骤 进入私网NAT网关列表页。 在“中转IP”页签,单击目标中转IP操作列的“释放”。 单击“确定”。 当中转IP已关联SNAT或DNAT规则时,无法删除。此时,如果要删除中转IP,请先释放该中转IP所关联的所有规则。
基于云连接和SNAT实现跨区域内网访问公网服务器加速 应用场景 当客户要加速访问境外时,可以使用虚拟专用网络(VPN)、云连接、NAT网关(添加SNAT规则)、EIP在客户本地侧和境外侧之间建立网络连通且提高访问速度。 例如:客户希望通过云下数据中心(IDC)的ECS可以访问非洲
连接IDC或其他虚拟私有云 连接IDC 当您需要VPC内的多个云主机与用户IDC进行连通时,可通过在中转VPC与用户IDC间创建云专线/VPN来实现。 高质量连通选择云专线,具体请参见开通云专线。 低成本连通选择VPN,具体请参见开通VPN。 连接其他VPC 当您需要VPC内的多
步骤6:添加默认路由 操作场景 从第二个网关开始,需要在新路由表中创建0.0.0.0/0指向公网NAT网关的默认路由。 操作步骤 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。 在系统首页,选择“网络 > 虚拟私有云”。 在左侧导航栏选择“路由表”。 在路由表列表中,单击需要添加路由规则的路由表名称。
DNAT规则可以配置服务器访问指定网站吗? 不可以。NAT网关不具备访问控制功能,只能根据规则转送流量。如果需要设置限制访问的网站,您可以配置安全组和ACL规则进行限制。具体请参考安全组配置示例和网络ACL配置示例。 父主题: DNAT规则
哪些端口无法访问? 表1中提供了部分运营商判断的高危端口,这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口,在受限区域仍然无法访问,此时建议您将端口修改为其他非高危端口。 表1 高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025
通过公网NAT网关访问远端服务器概率性失败该如何处理? 弹性云服务器通过SNAT访问公网上服务器,出现TCP建链失败的情况,可通过以下方法进行排查。 执行以下命令,查看远端服务器是否开启了“tcp_tw_recycle”。 sysctl -a|grep tcp_tw_recycle
准备工作 在使用公网NAT网关服务前,您需要完成以下准备工作。 注册账号与实名认证 如果您已有一个华为账号并开通华为云,同时完成了实名认证,请跳到下一个任务。如果您还没有华为账号,请参考以下步骤创建。 打开https://www.huaweicloud.com/,单击“注册”。
入门指引 当单网关性能达到瓶颈,如SNAT支持最大100万连接不够使用或最高20Gbit/s带宽转换能力无法满足业务需求时,推荐使用多网关来横向扩展容量,同时可达到更好的隔离性。 通过本文档,您可以学习到如何部署公网NAT网关多实例。 图1 入门流程 准备工作 在使用NAT网关服
步骤4:创建路由表 操作场景 公网NAT网关多实例依赖VPC多路由表功能,所以需要在VPC中创建第二张路由表。 如果自定义路由表配额不足,请通过提交工单申请扩大路由表的配额。 前提条件 VPC下路由表配额充足。 操作步骤 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。
步骤5:购买公网NAT网关 操作场景 在业务VPC下,购买第二个公网NAT网关。 前提条件 VPC中完成第二张路由表的创建,且已关联第二个子网。 操作步骤 登录管理控制台。 在管理控制台左上角单击,选择区域和项目。 在页面左上角单击图标,打开服务列表,选择“网络 > NAT网关”。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
