公网NAT网关、弹性IP、VPC内弹性云主机与VPC是什么样的关系？

公网NAT网关、弹性IP、VPC内弹性云主机与VPC之间的关系如下：

1. VPC提供安全隔离的用户网络环境，在VPC内，用户可以自由配置子网、路由表、安全组等网络资源。
2. 弹性IP是一种公网IP资源，可以与云主机绑定，为云主机提供公网访问能力。弹性IP可以解绑并重新绑定到其他资源，例如公网NAT网关上，实现公网IP的灵活分配。
3. 公网NAT网关可以为VPC内的弹性云主机实例提供公网访问能力。
4. VPC内弹性云主机是一种计算服务，可以为用户提供可扩展的、安全的、高性能的虚拟服务器。ECS实例可以与弹性IP绑定，以实现公网访问。也可通过NAT网关访问公网。

总结：公网NAT网关用于提供虚拟私有云访问互联网的能力，弹性IP为云主机提供公网访问能力，而VPC内弹性云主机则是用于提供计算能力的虚拟服务器。在实际应用中，这些资源可以相互配合，实现虚拟私有云中的云主机实例安全访问互联网的需求。

公网NAT网关如何实现高可用性？

天翼云公网NAT网关具备高可用性，支持秒级故障恢复收敛。

天翼云公网NAT网关部署在高可用物理服务器上，采用主备集群模式部署，集群内状态数据实时同步，单网元发生故障时，系统会自动切换业务到集群内备用网元，业务秒级切换，支持用户业务快速恢复。

哪些端口无法访问？

为了您资源的安全性，不建议使用以下高危端口

TCP：20-22、42、53、135、137-139、444、445、593、1025、1068、1080、1433、1434、1521、3306、3127、3128、3129、3130、3389、4444、4789、5554、5800、5900、6379、7001、9996

UDP、135、137-139、1026-1028、1068、1433、1434、4789、5554、9996

弹性云主机使用公网NAT网关和直接绑定弹性IP有区别吗？

区别主要是以下几点：

1. 绑定数量：公网NAT网关提供SNAT和DNAT功能，可允许多台弹性云主机共享弹性公网IP。弹性云主机直接绑定弹性公网IP为独占IP的方式。
2. 如何选择：

• 当云主机需要使用公网IP所有端口，直接与Internet互通时，建议云主机直接绑定弹性IP。云主机直接绑定弹性IP，如果云主机数量过多的话，会消耗较多公网IP。
• 希望保护VPC内虚拟网络结构，并且希望多个云主机共用公网IP、通过端口号区分与Internet互通，建议使用公网NAT网关。

3.如何使用弹性IP或者公网NAT网关访问公网

点击查看详细使用说明。

对于可用区资源池存在2种方式访问公网，如下：
方式1：目的地址最长掩码匹配

根据客户在路由表中的指向IPv4网关（弹性IP）、NAT网关的路由配置情况，进行目的地址最长掩码匹配然后决定流量走IPv4网关（弹性IP）或者NAT网关。

方式2：公网IP优先

在同一个VPC内云主机同时绑定公网IP和SNAT规则时，客户配置了指向IPv4网关（弹性IP）和NAT网关的路由规则。当路由目的地址相同时，优先通过IPv4网关（弹性IP）访问公网；当路由目的地址不同时，进行目的地址最长掩码匹配然后决定流量走IPv4网关（弹性IP）或者NAT网关。

NAT网关是否支持更换VPC？

暂不支持

NAT网关在购买时选定VPC，后续不支持修改，NAT网关虽可结合对等连接跨VPC提供地址转换服务，但需互联VPC无地址冲突，优先选择需要访问公网的目标计算实例所在VPC创建NAT网关，NAT网关创建步骤详见管理NAT网关。

NAT网关是否支持IPV6？

不支持。

云主机如果希望使用IPV6地址与Internet互通，请使用IPV6网关产品，IPv6网关可以提供VPC网络中的云主机实例使用IPv6访问公网的能力，同时也允许终端使用IPv6通过互联网访问VPC网络中的云主机实例，详见IPV6网关配置指南。

基于NAT网关的用户网络，可以配置哪些安全策略实现访问限制？

NAT网关提供隔离主机网络的安全能力，但不支持做主机访问的策略控制，如用户需要对主机进行访问限制，可以配置以下安全策略来实现访问限制：

1. 网络ACL：可以通过网络ACL来配置子网出入流量的规则，限制特定协议、端口或IP地址的访问。
2. 安全组：安全组是一种虚拟防火墙，可以在弹性云主机中配置。通过安全组，可以定义允许和拒绝的流量规则，限制特定协议、端口或IP地址的访问。

安全组对弹性云主机进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。

同时存在指向NAT网关的默认路由和指向IPv4网关的默认路由，路由优先级是什么样的？

VPC的默认路由表中，如果同时存在指向IPv4网关的自定义路由，和指向NAT网关的自定义路由，由于指向IPv4网关的自定义路由优先级更高，流量会转发到IPv4网关；

示例如下：假如VPC路由表中存在两条自定义路由，目的地址为默认路由（0.0.0.0/0），下一跳为NAT网关；目的地址为默认路由（0.0.0.0/0），下一跳为IPv4网关。

如果线下IDC通过专线接入云上公网NAT网关，转发时会匹配优先级更高的路由规则，此时流量会转发至IPv4网关，无法抵达NAT网关；

如果VPC内的同一个子网下部分ECS绑定了EIP，部分ECS通过NAT网关出公网，会匹配子网的策略路由；将绑定了EIP的ECS流量转发给IPv4网关，而未绑定EIP的ECS流量则转发给NAT网关出公网。

公网NAT网关配置完成后，网络不通如何处理？

公网NAT网关配置完成后，网络不通可以通过以下步骤进行处理：

1. 检查公网NAT网关状态是否处于运行中，如果不是运行中，可以通过以下方法解除异常

• 公网NAT网关到期，显示已到期，可以点击续订，让公网NAT网关恢复正常。再次进行连接测试。
• 公网NAT网关按需欠费后，会处于冻结状态，可以进行续费处理，让公网NAT网关恢复正常。再次进行连接测试。

2. 检查SNAT和DNAT规则配置是否正确：

• 在SNAT规则配置页面确认SNAT规则是否已经配置生效，且确认弹性云主机在SNAT规则子网内，或源访问地址在SNAT规则的源地址段内。如果SNAT规则未配置正确则无法访问公网。如何配置SNAT规则，详情请参见添加SNAT规则（新建链接）。
• 在DNAT规则配置页面确认DNAT规则已经配置生效，DNAT规则配置未生效会访问不通。关于如何配置DNAT规则，详情请参见添加DNAT规则（新建链接）。

3. 检查是否由于VPC路由表配置错误引起的，可以通过以下方法重新配置VPC路由表。

• 找到VPC对应的子网关联的路由表。
• 查看路由表是否有到公网NAT网关的路由，如果不包含，请添加对应的路由。路由下一跳类型为NAT网关，下一跳为公网NAT网关名称，目的地址是0.0.0.0/0。具体操作步骤参见创建公网NAT网关（新建链接），再次进行连接测试。

4. 检查云主机安全组配置，如果安全组没有放通弹性云主机访问和对外提供服务使用的端口，需要在对应的安全组中添加放行该端口。

• 点击云主机名称，进入云主机详情页，选择安全组页签，展开安全组规则。
• 出方向放通所有端口，地址为0.0.0.0/0，入方向端口放通DNAT绑定的应用端口，具体操作参加虚拟私有云-添加安全组规则。再次进行连接测试

5. 检查网络ACL设置，如果VPC的子网关联了网络ACL，可能导致网络不同。

• 点击子网名称，进入子网详情页，选择ACL页签，查看是否有绑定网络ACL，检查入方向规则和出方向规则是否添加了放通子网流量的规则。
• 如果未添加放通子网流量的规则，请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。再次进行连接测试。

6. 检查公网NAT网关业务量是否超过规格上限。

• 在云监控-云服务监控中找到公网NAT网关名称，点击查看监控指标，查看公网NAT网关业务指标情况
• 如果超过上限，可以点击公网NAT网关操作栏的“变配”，变更公网NAT网关的规格。再次进行连接测试。

7. 检查弹性IP是否超限。

• 在云监控中查看弹性IP的监控指标是否超限
• 如果超限，可以变更弹性IP的带宽规格，再进行连接测试。

8. 检查弹性云主机端口，以CentOS为例可使用以下命令行查看端口监听是否正常。

netstat -ntulp |grep 云主机端口

如果端口没有被正常监听，请重新开启弹性云主机端口。

9. 如果上述排查后，网络依然不通，可以提交工单，联系技术支持人员帮助解决。