【视频】实验二：ECS通过SNAT访问CLB|学习笔记

开发者学堂课程【企业运维之云上网络原理与实践课程：【视频】实验二：ECS通过SNAT访问CLB】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/991/detail/14978

【视频】实验二：ECS通过SNAT访问CLB

内容介绍：

一、产品介绍

二、NAT网关

三、共享带宽

四、云上产品&数据中心产品

五、云上网络综合实验

一、产品介绍

1、EIP介绍

EIP是可以独立购买和持有的公网IP地址资源，可以随意解绑或者绑定，可绑定ECS/NAT/SLB/ENI，让ECS具备互联网访问能力。有一个havip，下面可以挂两个ecs，两个ecs一主一备，再去访问havip的时候，默认会转到主的ecs，如果主挂了的话，就会转到备。云上到处都是高可用思维，购买的时候默认就是多线BGP，EIP是独立购买持有，能够任意的弹性解绑，具备一些免费安全的功能。

2、EIP高级特性

多线BGP（默认）

EIP单线宽带

EIP Anycast

香港精品EIP

89线：超多ISP线路

50Gbps：超大带宽峰值

1000Gbps：超高防护能力

独立持有的公网IP地址资源，可以灵活的绑定和解绑

支持绑定多种云资源(ECS/NAT/SLB/ENI)

可加入共享带宽，支持超大弹性（单共享带宽实例最大500Gbps)

免费DDoS防护(大部分地域可达5Gbps)

丰富的高级功能(连续lP/指定IP/网卡可见模式/秒级监控等)

3、EIP和ECS自带公网IP的功能差异

如果去公网，假设说是公共的地，其实也是在小区里面，在所在的城市里面，会有专门一个地方去负责地址转换，由小区的快递员直接送到，直接外层封装给负责转换的地址，把原地址进行转换，这时候就变成了一层。云上通信，绝大部分都是双层的，走外层，内层不变，到地址转换的话，就是一层，因为原地址已经进行转换，转换为公网IP，ERP有很多特性，比如说可以申请连续的，基于资源进行选择，比如某个IP释放了，在一段时间内再申请去使用之前的IP也可以。

◆差异化的带宽类型 (单线/BGP多线(默认) /Anycast)

◆和天猫双1 1同品质BGP多线带宽

◆公网IP数量全球第二， 公网质量全国第一

4、精品EIP特点

精品EIP指的是香港地域，香港的region用的还是比较多的，香港region和大陆之间默认情况下，需要经过一些跨境运营商，网络质量会受到影响，提供的方案就是精品EIP

（1）产品优势

EIP的优势如下:

●独立购买与持有

您可以单独持有一个EIP， 作为您账号下一个独立的资源存在，无需与其它计算资源或存储资源绑定购买。

●弹性绑定

您可以在需要时将EIP绑定到指定的资源上，在不需要时将EIP解绑并释放，避免不必要的计费。

●灵活配置的网络能力

您可以根据业务需求随时调整EIP的带宽峰值，带宽峰值的修改即时生效。

●计费灵活。成本低

多种计费策略，支持包年包月、按固定带宽和按使用流量计费。EIP加入共享带宽后可以障低带宽成本。

（2）线路类型

EIP实例的线路类型包括BGP (多线)和BGP (多线)_精品线路， 两者的对比如下所示。

普通EIP BGP多线与精品EIP区别（例如:普通EIP是普通公路，精品EIP是高速公路）

通过底层网络直连回国内，不绕行国际运营商出口，网络时延降低60%+.抖动/丢包少;

5、Anycast EIP

任播弹性公网IP ( Anycast Elastic IP Address， 简称Anycast EIP)是一款覆盖全球多个地域的公网可用性提升产品， 依托阿里云优质的BGP带宽和全球传输网络，实现全球多个地域的网络入口就近接入，提升公网访问质量。

Anycast EIP是可以独立购买和持有的公网IP地址资源。每一个Anycast EIP实例会被分配一个可访问公网的IP地址 ，此IP地址可在整个接 入区域内发布，不受地域限制。

在将此IP地址与后端资源进行绑定后，接入区域内的用户流量将通过该IP地址从就近接入点进入阿里云网络。

进入阿里云网络后，Anycast EIP可以智能选择路由并自动完成网络调度，将用户的网络访问请求送达至后端资源节点，提升用户的公网访问体验。

假如说业务在北京，他在云上绑定一个EIP，假设说其他地方例如美国、伦敦、马来西亚用户想要去访问，会跨越千山万水走公网从北京上云，因为地址是北京的，从北京上云去访问特别远，中间的网络质量会不是太好。于是提供了在不同的region去访问同一个Eip，这个eip会就近上云，比如说伦敦的用户可以直接在伦敦的节点上云。于是有了冷土豆和热土豆的概念，简单来说冷土豆就是尽快上云，回包尽快下云，总之大部分在云上跑，时间更有保障。热土豆就是普通的EIP，到最后的时候才会上云。

冷土豆: Anycast EIP

热土豆: EIP

Anycast EIP主要针对除中国内地以外区域的公网可用性提升，暂不支持中国内地接入点。

Anycast EIP具有易使用、高安全，稳定可靠、低抖动的优势。

6、EIP产品概述-多线BGP:覆盖全球的优质互联网线路

互联网行业用户，如社交/游戏/生活服务(购物/出行/外卖)/娱乐媒体等可在云上部署应用或web服务，并通过EIP为其终端用户提供Internet访问服务。

如果上公网的话，用户很可能访问不同的网络，如移动，电信，联通等不同地址的网络，如果上公网访问的线路是什么？如果厂商和各大运营商都有联系，都通过BGP路由把地址放出去的话，那么就可以找到想要的线路，可以进行智能分配地址在哪个地方，如果没有写通线路的话，那就只能通过别的运营商去绕。所以阿里云支持很多条BGP。

7、EIP产品的核心优势

（1）线路丰富

全球多达89条覆盖的优质BGP线路，中国大陆公网质量最优，各地域均提供电信/联通/移动等至少8条线路直连覆盖;保障去包和回包都在比较优质的路线上面

（2）IP充足

公网IP数量全球排名第二，仅次于AWS

可提供连续IP地址段分配

可提供指定IP地址申请

（3）节省成本

支持ENI网卡绑定，可通过单服务器多网卡提升服务器利用率，快速扩容，降低成本;

唯一一个支持共享带宽的产品，通过多IP共享一份带宽， 可节省至少20%+成本;

计费灵活，提供按带宽/按流量的预/后付费方式，满足企业规划弹性需要

8、EIP运维的常见问题

（1）EIP可以绑定到哪些云资源?

目前，EIP支持绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例、专有网络类型的辅助弹性网卡、NAT网关和高可用虚拟IP上。

（2）新申请的EIP的分配策略是什么?

默认是随机分配EIP，但对于频繁申请又释放的用户，会优先分配之前使用过的EIP。

（3）为什么无法访问EIP?

无法访问EIP的原因如下:

• EIP没有绑定到云资源。

• ECS实例配置了安全策略。例如ECS实例所在的安全组策略禁止80端口的访问，则无法访问该EIP的80端口。

• IP已经欠费

（4）一个EIP同时能绑定多个云资源吗?

不能，一个EIP同时只能绑定一个云资源。

（5）EIP是否支持跨区域绑定?

不支持。

EIP和要绑定的云资源必须在同一个地域。例如华北2 (北京)的EIP不能绑定到华东1 (杭州) 的云资源上。Anycast是可以的，在指定区域提供这种功能，就会在指定的交互区域，通过互联把地址传输过去，这时用户访问的时候可以早一点路由到云上。对于EIP，如果是北京地区就只能绑定北京的ECS。

（6）EIP是否支持跨可用区绑定?

支持。

EIP没有可用区属性，云资源只要和EIP属于同一个地域，EIP都可以绑定该云资源。

和刚才所说的小区需要送到中转机构，eip可能默认在XGW上，这个xgw的小区和所在的小区的可用区可能是不一样的。小区相当于ECS，北京的十几个区域就有十几个可用区，一个小区是一个ecs，一个朝阳区里面有很多可用区，ERP可能是落到不同可用区的，朝阳区的ecs买的EIP，完成转换的xgw可能是在东城区的。

二、NAT网关

有了EIP为什么还需要Nat网关，第一个原因假设说有100多个ecs，都要上公网，不可能每个ecs都去购买EIP的，可以统一做一个snat，把某一个网段转化成地址池，这也是传统物联网常用做法.Ecs直接绑定eip，每一个地址池有好多EIP，某一个eip被攻击，通过哈希算法也会波及到其他的EIP。

1、NAT网关产品概述-行业客户面临的核心痛点

（1）ECS无公网地址无法访问公网

大量无公网地址ecs有公网访问的需求

不想为所有的ecs申请绑定eip

（2）直接暴露ecs容易被攻击

暴露ecs的绑定eip方式容易被攻击

不希望公网的出口被公网访问

（3）公网出口不统一

对外暴露统一的公网出口(acl场景)

运维管理少量的对公网地址

（4）自建nat网关的问题

自建nat网关的弹性扩展能力不足

运维管理成本高

2、NAT网关产品概念-产品概念、总体架构

NAT网关(NAT Gateway) 是一款企业级的VPC公网网关，提供NAT代理(SNAT、DNAT)、跨可用区的容灾能力。NAT网关与共享带宽包配合使用，可以组合成为高性能、配置灵活的企业级网关。

关于共享带宽：Internet绑定EIP，nat需要公网地址，绑定以后需要使用共享带宽和共享流量，原因是每个EIP高峰期是不一样的，有的EIP在白天是高峰期，到200M，为了应付高峰期，购买200M带宽，有的eip业务是在晚上高峰期200M，为了应付高峰期，又要扩容到200M，但是这属于浪费，白天的时候资源总和不会超过300M，晚上也不会超过300M，其实直接购买300M即可，购买一个300M的共享带宽把两个加进去就省钱了。共享带宽就是为了应付eip的突发，放到池子里面，很大概率高峰期是不同的。通过这个例子可以发现，最早云计算就是做这件事的，很多企业自己的服务器为了应付高峰造成了cpu内存浪费，资源池化就是为了充分利用好控制资源。

             

3、NAT网关产品概述——核心优势

NAT网关(NAT Gateway)是-款企业级的VPC公网网关，提供SNAT和DNAT功能，支持绑定多IP，具备Tbps级别的集群转发能力和region级别的高可用性。

NAT网关与EIP需要配合使用，组合成高性能、配置灵活的企业级网关。

（1）简单易用&便捷开通

作为企业级VPC公网网关，NAT网关提供SNAT和DNAT功能。无需用户基于云服务器自己搭建，功能灵活、简单易用、稳定可靠

（2）高性能

基于阿里云自研分布式网关，使用SDN技术虚拟化推出的一款虚拟网络硬件。NAT网关支持Tbs级别的转发能力，为大规模公网应用提供支撑。百万级别的并发访问。

（3）高可用

NAT网关跨可用区部署，可用性高。单个可用区的任何故障都不会影响NAT网关的业务连续性。NAT网关下面有不同的交换机，不同交换机的ecs都可以通过NAT去转换，把业务分在不同可用区下面，如果一个可用区挂掉，以后另一个可用区还能继续接管。

（4）共享带宽&省成本

支持绑定多个EIP，EIP可加入份共享带宽中，对于应用存在流量错峰效应的业务，可有效降低带宽成本。

4、NAT网关产品概述——核心优势&应用场景一

如果您的云上网络只希望主动访问公网上的业务，而不希望云上的业务直接暴露在公网上从而有被攻击的风险，您可以选用公网NAT网关为业务提供安全防护能力。

如果您的业务具有突增的访问公网的流量需求，您可以选用公网NAT网关为您提供灵活和弹性的扩容能力，并且只需要按使用量付费，节省企业成本。

如果您有大量访问公网的机器，您可以通过公网NAT网关统一公网出口， 并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。

招建访问公网服务的SNAT网关。

您可以创建公司NAT网关，并为其绑定EIP，然后通过公网NAT网关的SNAT功能，实现VPC内的多个ECS实例共享EIP上网，节省公司IP资源。具体操作， 请参见使用公网NAT网关SNAT功能访司互联网。

您也可以为公网NAT网关绑定多个EIP。绑定成功后ECS实例会随机通过SNAT地址池中的EIP访问公网，当其中一个EIP被攻击时， ECS实例可以随机使用其他EIP访问公网，最大程度保障业务的正常运行。避免出现在单EIP场景下，EIP故障导致的全业务中断。

说明：指定多个EIP配置至SNAT IP地址池时，业务连接会通过哈希算法分配到多个EIP，由于每个连接的流量不同，可能会出现多EIP业务流量不均匀的情况，建议您将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。具体操作，请参见加入与移出共享带宽。通过哈希算法分配EIP，可能会出现EIP流量不均匀，加上共享带宽就可以优化，允许某些突发，只要总量不超就可以。

5、NAT网关产品概述——核心优势&应用场景二

1.搭建提供公网服务的DNAT网关，您可以创建公网NAT网关，并为其绑定EIP，然后配置公网NAT网关的DNAT功能，配置成功后，VPC内的ECS实例可以通过端口映射或IP映射，面向公网提供服务具体操作请参见通过网关NAT网关DNAT功能实现ECS对外提供服务。

端口映射和IP映射的说明如下：

端口映射：公网NAT网关会将以指定协议和端口访问IP的请求转发到目标ECS实例的指定协议和端口上。

IP映射：公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上，目标ECS实例也可以使用该公网IP主动访问公网，如果公网NAT网关配置了DNAP IP映射方式，又配置了SNAT条目。则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。一对一映射，就相当于传统防护墙static的映射，从外面可以访问里面，从里面也可以访问外面，端口映射是不可以从里访问外的。

共享共网带宽：如果部署在ECS实例的应用，面向公网提供服务，您需要为该应用购买公网带宽。为了应对业务流量可能发生的变化，在购买公网带宽时，需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时，为每个应用购买冗余宽带会造成资源和成本的浪费。您可以创建公网NAT网关，并为公网NAT网关指定EIP，然后绑定到公网NAT网关的EIP加入到一共享带宽中，不仅可以帮助您统一管理和监控公司流量，还可以帮助您降低公网带宽使用成本。

6、产品部署流程

SNAT规则部署流程

（1）创建专有网络

（2）创建Vswitch

（3）购买NAT网关

①地域 ②VPC ③Vswitch

（4）绑定EIP/制定NAT IP

配置NAT IP或EIP

（5）创建SNAT规则

①ECS粒度 ②交换机粒度 ③VPC粒度

（6）配置路由

①公网NAT配置0.0.0.0.0/0路由 ②VPC NAT配置自定义路由策略

（7）测试访问

DNAT规则部署流程

（1）创建专有网络

（2）创建Vswitch

（3）购买NAT网关

①地域 ②VPC ③Vswitch

（4）绑定EIP/制定NAT IP

配置NAT IP或EIP

（5）创建DNAT规则

①Port映射 ②anyport

（6）配置路由

①公网NAT配置0.0.0.0.0/0路由 ②VPC NAT配置自定义路由策略

（7）测试访问

7.NAT典型案例

通过NATGW实现超大并发

背景:用户出云访问高并发业务，需要从ecs发起的大量的长连接，如果使用ecs的公网访问能力，用户ECS的并发连接数最大达到6.6w，为了解决此问题，用户开始使用nat网关做公网出口，并绑定了5个EIP，通过建立snat规则的时候选择使用多个公网地址的的功能(IP pool)，

最终用户vpc的并发能力可以达到5*55000个，并且这个统一的公网出口的并发能力还可以随着绑定的eip的数量增多线性的扩容;  

         

有些ecs的长链接特别多，但是每个eip的并发连接能力并没有那么多，所以使用一个EIP是不行的，带宽可以，但是连接数不够那就多绑定几个EIP，连接数就翻倍了。

8、VPC NAT介绍

VPC NAT网关能够为VPC内的ECS实例提供私网地址转换服务，使多个ECS实例可以通过中转私网地址(即NAT IP地址)访问您的本地数据中心IDC或其他VPC。

Vpc地址空间可以自由划分，有可能出现资源冲突，不同用户的vpc是可以使用一样的，就是在三个网段里面去取，不同vpc对应不同的交换机，交换机的网段可能会一样，如果vpc想要通信，那么大段尽量做的不一样，或者交换机可以交错开来，如果非要弄成一样的，那么通信的交换机网段就不要再弄成一样的。

线下ECS通过专线上云以后，需要一些特定的私有地址，这种情况下，要对私有地址再进行转换。

ECS实例也可以通过使用VPC NAT网关的中转私网地址对外提供私网访问服务。

应用场景

（1）混合云使用指定网址互访场景

随着金融证券行业云上业务规模的扩大，多网络间进行私网互通时会遇到被监控机构要求使用固定私网址访问的场景，您可以使用VPC NAT网关SNAT功能和DNAT功能，实现固定私网地址访问的场景。

（2）VPC互访地址冲突

由于旱期网络规划单一或后期的业务合并，云上可能存在需要互通的两个业务VPC地址冲突的情况，您可以为两个业务VPC各配置一个VPC NAT网关，并配置两个不冲突的中转私网地址，主动访问的业务VPC使用SNAT功能，将源地址转换为VPC NAT网关的中转地址，被访问的业务VPC通过DNAT功能使用，VPC NAT网关的中转私网地址对外提供私网服务，从而实现地质冲突的两个业务VPC互访。

9、NAT运维-常见问题

（1）ECS实例分配了固定公网IP且创建了SNAT条目，如何实现ECS实例优先通过SNAT的公网IP访问互联网?

您可以为ECS实例单独分配一块弹性网卡，并将固定公网IP转为EIP，然后将EIP绑定到弹性网卡，以实现ECS实例优先通过SNAT的公网IP访问互联网，互联网通过弹性网卡主动访问ECS实例。详细信息，请参见为已分配固定公网IP的ECS实例统一公网出口IP。

（2）EIP支持创建SNAT IP地址池吗?

支持。目前仅支持通过API创建SNAT IP地址池。详细信息，请参见创建SNAT IP地址池。

（3）NAT网关绑定EIP，为什么流量达不到带宽峰值?

NAT网关绑定的EIP数限制NAT网关的最大并发数，绑定单个EIP最大连接数为55000 当ECS通过NAT网关访问公网上同-一个目的IP和端口的带宽大于2Gbps时，建议您为NAT网关绑定4 ~ 8个EIP并构建SNAT IP地址池，避免单个EIP的端口数量限制可能产生的丢包。

（4）当多条SNAT条目的源网段重叠时，如何匹配SNAT条目的优先级?

系统会根据最长掩码匹配规则确定优先为哪一条SNAT条 目提供互联网代理服务。ECS的Public和eip不能同时拥有，如果在ecs里面配置NAT，NAT匹配上snat规则，那么是public和EIP走公网优先。EIP规则是大于snat规则优先的。如果想走snat规则，那就把EIP解绑掉。

●使用ECS粒度配置的SNAT条目中源网段的子网掩码为/32，长度最长，优先级最高，优先匹配。

●使用其他粒度配置的SNAT条目会根据源网段的子网掩码长度进行匹配，长度越长，优先级越高，越先匹配。

三、共享带宽

1、共享带宽产品概述-公网带宽面临的核心痛点

             

多个公网出口，维护复杂

买多份小公网带宽，带宽峰值受限

自行构建统一公网出口， 可靠性差

2、共享带宽产品介绍

不使用共享带宽：每台服务器单独购买公网带宽

共享带宽：同地域下多个弹性公网IP共享带宽，进而让绑定弹性公网IP的云服务共享

3.共享带宽产品特点

多个EIP加入共享带宽后即可实现同地域内多个ECS. NAT. SLB的带宽共享

4、共享带宽产品—部署方式

         

1、ECS实例绑定EIP

2、创建共享带宽实例

3、将EIP加入共享带宽

5、共享带宽产品—前提条件和注意事项

（1）前提条件

您已经创建了EIP，且EIP满足以下条件:

EIP的计费方式为按量计费。

EIP的地域与要加入的共享带宽的地域相同。

EIP的线路类型与要加入的共享带宽的线路类型一致。

购买以后带宽值就成了共享带宽的带宽值，后台看到的也是共享带宽的带宽值。

详细信息，请参见申请EIP。

（2）背景信息

EIP添加到共享带宽实例后:

EIP绑定的ECS实例、 SLB实例和NAT网关共享已购买的共享带宽。

EIP原本的带宽峰值无效，与共享带宽实例的带宽峰值相同.

EIP原本的计费方式无效。EIP变为一个公网IP, 不额外收取EIP的流量费和带宽费。

EIP的实例费与其是否加入共享带宽无关。

当EIP绑定至专有网络类型ECS实例时，将免除EIP实例费。

当EIP绑定至NAT网关、 SLB实例、辅助弹性网卡和高可用虚拟IP时，仍正常收取EIP实例费。

（3）说明

●如果您的EIP已经绑定了NAT网关，将该EIP添加到共享带宽实例中，会造成EIP的流量闪断，请谨慎操作。

单个共享带宽实例最多可添加100个EIP.如需添加更多EIP，请申请配额。详细信息，请参见管理配额。

四、云上产品&数据中心产品

1.VPC

Vpc做隔离、私密性、灵活自定义，绝大部分通信是通过外层跑，看不到里层报文，对应关系都是由管控区学习下发SDN思想。

VPC定义

VPC特点

VPC底层使用技术Coverlay&evxlan&SDN)

VPC组成部分

创建VPC步骤

VPC常见应用场景

VPC运维常见问题

2.EIP

访问方式有云上库访问资源方式，Vpc内库访和vpc之间互访以及不同region之间互访，不同地域之间互访，还有就是线下去访问云上，通过混合云网络专线VPN，也有可能通过公网，无非这几种方式。

EIP产品概述

精品EIP&BGP多线

购买EIP步骤&绑定资源

EIP运维常见问题

3.NAT

NAT绑定公网地址，需要单独的计费，所以要在某一台XGW单位上需要做相应的导流、限速之类的东西，这些对于ecs是无感知的，ECS出去是不知道要走什么地址。

NAT网关产品概述

NAT网关产晶优势

NAT典型应用场景

NAT网关创建流程

VPC NAT介绍

NAT网关运维常见问题

4.共享带宽

共享带宽产品概述

共享带宽产晶优势

共享带宽部署方式

共享带宽注意事项

5.综合实验

ECS通过SNAT+ EIP访问SLB的后端服务器(配置转发规则)

五、云上网络综合实验

1.实验概述

ECS客户端——NAT网关(SNAT)——CLB(转发策略)——访问不同的路径指向不同的后端服务器

CLB有公网地址访问以后到clb就要有后端，去配置三个后端，后端有转换规则，如果什么都不加，那就会访问默认的路径。

因为不同的ECS在不同的/a /b /c路径下配置不同的页面，访问的时候看到不同的页面就是访问了不同的ECS，访问的时候也可以通过本机访问，CLB本身是公网地址。

2.实验目的

（1）掌握VPC，交换机，NAT网关，EIP，CLB的常用配置

（2）理解VPC，EIP，NAT网关，CLB的基本工作原理

3.实验流程

四个ECS和NAT网关已经配置好了，EIP已经绑定到NAT上面了，Snat规则也配置了，如果不配置好模式，会有一些问题，如果具备路由网络交换功底，这种实验都是非常简单的，主要是去学习底层原理。

主账号登录，进入页面以后创建资源，RAM用户登录需要使用子用户名称和子用户密码进行登录，如果有兴趣可以用自己的主账号到控制台购买进行尝试，购买资源是很基础的东西。场景资源列表有CLb实例ID，Ecs公网地址，以及ECS登录密码，如下图所示

             

控制台登录以后要去登录具体产品的控制台，工具应用下搜索关键词。比如看一下ECS，多开几个ECS，进入云服务器ECS之后点击实例。

如果没有相关信息，一定要注意控制台需要选择地域，有的时候不止四台ECS，因为后面要建立SLB监听后端服务器组，所以可以提前改一下实例ID名称。

整体逻辑是要通过net去访问SLB的公网地址。点击进入第一个实例ID，输入cip.cc可以查看公网地址。

点击远程连接，点击立即登录，输入登录信息，在专有网络管理控制台，有NAT网关的相关内容。在公网NAT网关下可以看到描述、地域、状态、VPC等基本信息，带宽默认5120Mbps。还可以看绑定的弹性公网IP，建议不要强制解绑。解绑以后snat规则可能会消失。SNAT管理页面下，可以看到SNAT条目列表。

在专有网络管理控制平台，的专有网络页面下可以看VPC网段，指向net网关，可以看到VPC的基本信息资源管理，网段管理，云企业网跨账号授权和高级特性。

在路由表页面下，有系统路由条目动态路由条目自定义路由条目，默认的路由表就是一张，系统路由调路由条目，就是在这个VPC有几个交换机，每一个交换机的目标网段。创建net会绑定VPC会去指向NET，如果匹配上规则，就去公网NAT网关下的SNAT管理，ECS如果走它自己的公网，公网IP是优先的，但是这并不是想要的效果，因为想要走NET，点击转换为弹性公网IP，点击解绑弹性IP，这样的话就只有私网地址。

         

这时只能选择VNC远程连接登录，重置VNC密码，复制粘贴命令，然后代码出现以后去看一下私网地址160.96，是刚才snat的地址，现在的地址就是SNAT条目下面的地址，走NET。

以上说明已经可以进入公网了，后面就是去导SOB。

如果想要创建VPC，点击创建专有网络，前提是已经选好了地域，自定义名称填写相应网段，不能选择比规定网段大的网段，需要包在ipv4网段里面，不可以进行修改，每个交换机是它的子网段。资源组只是应用于管理目的，默认即可。交换机与可用区绑定，可用区与机房进行绑定，点击确定。需要建立多个交换机，网段可以写小一点，可以看到，路由表、交换机和云服务器的数量，然后也可以在里面添加云产品也可以购买ECS，如云服务器或者云数据库。创建后如下图所示

对于弹性公网IP，点击创建EIP，商品类型选择包年包月（优惠）或者按量付费，选择地域，线路类型默认是BGP（多线），前面介绍了精品EIP，网络类型是公网，安全防护为默认，选择带宽峰值，流量可以选择使用流量计费或者按固定带宽计费，主要看流量是否稳定，计费周期默认为按小时，最后点击立即购买，EIP就可以了，去相应控制台进行绑定。

对于公网NAT网关，创建NAT网关，付费模式默认为按量付费，选择好所属地域，所属专业网络关联交换机，计费类型默认为按使用量付费，计费周期默认为按小时，访问模式默认为VPC全通模式（SNAT），弹性公网IP可以选择已有或者新购弹性公网IP。建议自己摸索，不懂去浏览器访问help文档，每个产品的解释都有。

建立SNAT的规则，点击创建SNAT条目，可以选择SNAT条目的粒度，可以选择一个IP或者多个公网IP，nat在购买的时候绑定的VPC所有的ECS都通过net出去，包括VPC粒度，交换机粒度，ECS粒度，自定义网段粒度。如果选择VPC粒度，可以选择使用单IP或者使用多IP，如果更想精细化，可以选择交换机粒度。可以选择某一个交换机下面，去转换到某一个eip出去。ECS粒度，指定某一个ecs转换到EIP。自定义粒度网段，配置某一个网段内的实例ECS。

回到实验，刚刚做到可以登录公网。接下来实验的目的是要去访问SLB，进入SLB控制台，下面是传统的CLB。点击实例管理，在实例详细里面可以看到，只有私网地址，没有公网地址。借用刚刚客户端不用的地址去体会一下绑定EIP的过程。点击绑定弹性公网IP，所属资源组选择默认资源组，选择可用IP进行创建。

可以去访问一下弹性IP，其实这个时候的SLB什么都没有，没有后端、网页，因为没有进行配备。点击监听添加监听，选择负载均衡协议，点击http，监听端口8080，名字可以先不用写，点击下一步，监听请求转发至默认服务器组的后端服务器，默认服务器组是实例维度的，其它是监听维度的，添加想要使用的ECS，选择vpc，SLB后面的交换机是可以跨可用区的。假设第一台是默认的服务器组，权重不用配备，端口默认为80，下一步开启健康检查，进行提交。这个监听有一个默认服务器组，访问页面就到这个机器。

配置一下后端，看一下第一台后端，使用本机进行登录，在Address输入公网地址，Password输入云服务器ecs登录密码，保存一下。首先安装一个Nginx，做实验nginx是很常见的，很多网站都基于Nginx去做代理。

URL: http: //wnw.cip.cc/120.26.80.18（第一台的后端，SLB配置默认服务区指向它，安装nginx）

[root@izbp10qby18lwhb09zhcpaZ ~]# yum install -y nginx

Loaded plugins: fastestmirror

Determining fastest mirrors

lrwxrwxnwx 1 root root 25 Apr 21 21:28 index.html - ../../doc/HTNL/index.html

-nw-r-r- l root root 368 oct 19 2021 nginx-logo.png

lrwxrwxnwx 1 root root14 Apr 21 21:28 poweredby.png -nginx-logo.png

[rootgizbp10qby18lwhbe9zhcpaz html]# mv index.html index2.html

然后配置简单的页面，先试着访问一下，注意网址加8080

如果更改名字就不能访问了，主配置文件改成了2，配置一下这个文件

-rw-r--r-- l root root 365e oct 19 2021 404.html

-rw-r--r—-l root root 3693 0ct 192021 5ex.html

lrwxrwxnwx 1 root root 20 Apr 21 21:28 en-Us -> ../../doc/HTML/en-us

drwxr-xr-x 2 root root 4096 Apr 21 21:28 icons

lrwxrwxnwx 1 root root 18 Apr 21 21:28 img -> ../../doc/HTML/img

lrwxrwxrwx 1 root root25 Apr 21 21:28 index2.ht l -> ../../doc/HTNL/index.html

-rw-r-r-- l root root 368 oct 19 2021 nginx-logo.png

lrwxrwxrwx 1 root root 14 Apr 21 21:28 pomeredby.png - nginx-logo.png

[rootgizbp10qby18lwhb09zhcpaz html]# vin index.html

[rootgiZbpl0qby18lwhb09zhcpaz htmlj#

[rootgizbp10qby18lwhb09zhcpaz htmlj#

[rootaizbp10qby18lwhb09zhcpaz html]# nginx -s reload

[rooteizbp10qby18lwhbe9zhcpaz html]#.

可以在本机浏览器登录一下120.26.81.134.8080，会出现以下内容

this is the default index html

Welcome to the Nginx world!!

aaaaaaadaa

Welcomt to Alibaba Clod!!!

Welcomt to Alibaba Cloud!!

Welcomt to Alibaba Cloud!!!

Welcomt to Alibaba Cloud!!

Welcomt to Alibaba Cloud!!

Welcomt to Alibaba Cloud!!

ECS通过公网走SNAT，本机从公网访问。再登录一下ECS，curl一下，出现客户端，通过net规则地址出去访问sob公网地址。

配置转发规则

监听里面配置转发策略，创建虚拟服务器组，自定义虚拟服务器组的名称，例如group1，添加服务器后端，选择vpc，点击创建。再去创建一个虚拟服务器，名为group2每创建一个服务器组，就要去对应一个后端，在转发策略的时候不同的路径操纵着不同的服务器组（后端），端口设置为80，点击创建，保存。

再创建一个虚拟服务器组，可以名为group3，此为第三台后端，重复上述操作，虚拟服务器组创建完毕以后回到监听，去配置转发策略，URL设置为a和a/，虚拟服务器组选择group1，数据对应第一台后端，点击添加转发策略。

再去配置转发策略URL设置为b和b/，虚拟服务器组选择group2，添加转发策略。

再去配置转发策略URL设置C和C/，虚拟服务器组选择group3，添加转发策略。后端也要进行设置。

访问a/

server [

Listen       80;

Listen       [::]:80;

server _name  _;

Root        /usr/share/nginx/html;

location /a

root /usr/share/nginx/html;

index index.html;

location / {

root /usr/share/nginx/html;

index index.html;

)

访问b/

server {

Listen        80;

Listen        [::]:80;

server _name  _;

Root         /usr/share/nginx/html;

locayion /b·

root /usr/share/nginx/html;

index index.html;

访问c/

server {

Listen         80;

Listen         [::]:80;

server_name   _;

Root          /usr/share/nginx/html;

location /c

root /usr/share/nginx/html;

index index.html;

先进入主页面是nginx配置文件，访问/a的时候就去访问/a下面的目录，没有/a就去建立一个/a目录，保存以后nginx重启一下，访问/a就是访问htm下面的文件，去nginx页面刷新查看。

同样去配置/b和/c，address输入121.40.247.130，输入用户名和密码，配置b的情况，输入代码vim/etc/nginx/nginx.conf，转发路径是访问SOB加上不同的路径转入不同的后端，不同后端配置不同的页面。默认页面改不改都可以，可以先创建一个b的目录建立一个html，输入代码cd/user/share/nginx/html/

查看/a的内容，输入网址120.26.81.134.8080/a/

查看/b的内容，输入网址120.26.81.134.8080/b/

不同的目录之后，会转换到不同的后端，页面来自于后端。

最后配置/c，address输入121.41.12.252，重复操作，进行验证。默认服务器组是实例维度的，可以直接访问，默认直接去第一台后端。

查看/c的内容，输入网址120.26.81.134.8080/c/

整个过程就是ECS客户端走snat网关，匹配SNAT规则，转换成公网IP，默认路由选择VPC，默认的vpc就相当于举例子里面的志愿者手上，他看到去的是公网地址，而不是私网地址，如果没有nat网关，就不能配置EIP，就去配置XGW做一个转换。

如果nat有seesion了，不用每次都走匹配转换，转换之后访问SOB到后端。