此页面由 Cloud Translation API 翻译。

排查配置问题

本指南可帮助您解决 Cloud NAT 的常见问题。

常见问题

虚拟机无需 Cloud NAT 即可意外访问互联网

如果您的虚拟机 (VM) 实例或容器实例无需 Cloud NAT 即可访问互联网，但您不想让它们访问互联网，请检查以下问题：

确定虚拟机的网络接口是否具有外部 IP 地址。如果网络接口分配有外部 IP 地址，Google Cloud 会自动对来源与该接口的主内部 IP 地址匹配的数据包执行一对一 NAT。如需了解详情，请参阅 Cloud NAT 规范。

如需确定虚拟机是否具有外部 IP 地址，请参阅为现有实例更改或分配外部 IP 地址。
确保您的 Google Kubernetes Engine (GKE) 集群是一个专用集群。非专用集群中的每个节点虚拟机都具有外部 IP 地址，因此每个节点都可以使用 Virtual Private Cloud (VPC) 网络中下一个跃点为默认互联网网关而不依赖 Cloud NAT 的路由。如需了解详情，包括非专用集群如何与 Cloud NAT 网关互动，请参阅 Compute Engine 互动。
在 Virtual Private Cloud 网络中列出路由，查找可以通过不同于默认互联网网关的下一个跃点提供互联网连接的路由。例如：
- 下一个跃点是虚拟机、内部直通式网络负载均衡器或 Cloud VPN 隧道的自定义静态路由可能会间接提供互联网连接。例如，内部直通式网络负载均衡器的下一个跃点虚拟机或后端虚拟机本身可能有外部 IP 地址，或者 Cloud VPN 隧道可能连接到提供互联网访问的网络。
- Cloud Router 在您的 VPC 网络中通过本地网络获知的自定义动态路由可能会连接到提供互联网访问权限的网络。
请记住，您的 VPC 网络中的其他自定义路由的优先级可能高于其下一个跃点是默认互联网网关的路由。如需了解 Google Cloud 如何评估路由，请参阅路由适用范围和顺序。

不会生成任何日志

验证是否启用了 NAT 日志记录。
请仔细检查您的日志视图是否不会过滤掉您要查找的日志。如需了解相关说明，请参阅查看日志。
确保防火墙规则不会阻止流量。阻止出站流量的防火墙规则会在流量发送到 NAT 网关之前应用。您可以使用防火墙规则日志记录查看自定义出站规则是否会阻止出站流量。
查看 Cloud NAT 类型。流量的目标可能不会由 NAT 处理。

某些日志会被排除

验证是否启用了 NAT 日志记录，以及您的日志过滤条件是否未排除要保留的日志。您可以清除日志过滤条件，以免排除任何内容。
Cloud NAT 不会记录单个事件。如果出站流量庞大，NAT 日志记录会受限，与虚拟机的机器类型成正比。转换或错误日志可能会被舍弃，并且无法确定在限制期间省略的内容。

丢包的原因是资源不足

如果您看到使用 Cloud NAT 的虚拟机造成的数据包丢失，则可能是因为数据包丢失时没有足够的可用 NAT 源 IP 地址和源端口元组供虚拟机使用（端口耗尽）。5 元组（NAT 来源 IP 地址、来源端口和目标 3 元组）不能在 TCP TIME_WAIT 超时内重用。

如果没有足够的 NAT 元组可用，则 dropped_sent_packets_count 原因为 OUT_OF_RESOURCES。如需详细了解指标，请参阅使用虚拟机实例指标。

如需了解如何减少端口用量，请参阅减少端口用量。

如果您使用动态端口分配，请参阅以下部分，了解如何在使用动态端口分配时减少丢包问题。

配置动态端口分配时丢弃的包

动态端口分配用于检测某个虚拟机何时即将用尽端口，并将分配给该虚拟机的端口数加倍。这有助于确保端口不会浪费，但在分配的端口数量增加时，可能会导致数据包丢失。

如需减少丢包数，请考虑以下事项：

如果您可以缓慢地增加连接数量，Cloud NAT 就有更多的时间来分配更多的端口。
如果虚拟机正在进行 TCP 连接，您可以为虚拟机配置一个较大的 tcp_syn_retries 值，以便为系统提供更多时间来建立连接并提高连接成功的几率。

例如，对于 Linux 虚拟机，您可以查看当前设置：
```
  sysctl net.ipv4.tcp_syn_retries
  
```
如果需要，您可以增大该设置的值：
```
  sudo sysctl -w net.ipv4.tcp_syn_retries=NUM
  
```
注意：增加 tcp_syn_retries 的值可能会导致延迟，因为在多次重试后，系统会不断丢弃数据包，直到连接成功为止。
如果您有突发性工作负载，并且需要快速分配更多端口，那么您可能需要调整每个虚拟机的端口数下限。查看端口用量并相应地确定每个虚拟机的端口数下限。

丢包的原因是端点独立冲突

如果您发现使用公共 NAT 的虚拟机丟包，并且您已开启端点独立映射，则丟包可能是由端点独立冲突导致的。如果是，则 dropped_sent_packets_count 原因是 ENDPOINT_INDEPENDENT_CONFLICT。如需详细了解指标，请参阅使用虚拟机实例指标。

您可以使用以下方法降低端点独立冲突的可能性：

停用端点独立映射。这样，来自给定来源 IP 地址和端口的新连接可以使用不同于之前所用的 NAT 来源 IP 地址和端口。停用或启用端点独立映射不会中断已建立的连接。
提高每个虚拟机实例的 NAT 端口的默认数量下限，以便端口预留过程可以将更多 NAT 来源 IP 地址和端口元组分配给每个客户端虚拟机。这样可以降低为以下两个或更多客户端 IP 地址和临时来源端口元组分配相同的 NAT 来源 IP 地址和来源端口元组的可能性。

检查正在使用的临时来源端口的数量：

对于 Linux 虚拟机：

netstat -an | egrep 'ESTABLISHED|TIME_WAIT|CLOSE_WAIT' | wc -l

对于 Windows 虚拟机：

netstat -tan | findstr "ESTABLISHED TIME_WAIT CLOSE_WAIT" | find /c /v ""

将虚拟机实例配置为使用更多临时来源端口：
- 对于 Linux 虚拟机：
  - 您可使用以下命令查看已配置的端口范围：
```
cat /proc/sys/net/ipv4/ip_local_port_range
```
  - 您可以使用以下命令将 ip_local_port_range 设置为临时来源端口数最大值 (64,512)：
```
echo 1024 65535 > /proc/sys/net/ipv4/ip_local_port_range
```
- 对于 Windows 虚拟机：
  - 您可使用以下命令查看已配置的端口范围：
```
netsh int ipv4 show dynamicport tcp
netsh int ipv4 show dynamicport udp
```
  - 您可以使用以下命令将临时来源 TCP 和 UDP 端口的数量设置为可能的最大值 (64,512)：
```
netsh int ipv4 set dynamicport tcp start=1024 num=64512
netsh int ipv4 set dynamicport udp start=1024 num=64512
```
  - 在 Google Kubernetes Engine 节点上，您可以使用具有特权的 DaemonSet 来自动完成此配置。
对于 GKE 集群，请对发送到相关目标的数据包停用在每个节点上执行的来源 NAT。您可以使用以下两种方式之一来执行此操作：
- 部署 ip-masq-agent 并将相关目标添加到 nonMasqueradeCIDRs 列表中。
- 在创建集群时，使用 --disable-default-snat 标志为默认非伪装目标停用 SNAT。

需要分配更多 IP 地址

有时，您的虚拟机会因为您没有足够的 NAT IP 地址而无法访问互联网。有多重因素可能会导致此问题。有关详情，请参阅下表。

根本原因症状解决方案

您已手动分配地址，但根据当前端口使用情况，分配的地址还不足够。

根本原因	症状	解决方案
您已手动分配地址，但根据当前端口使用情况，分配的地址还不足够。	Google Cloud 控制台会显示一个错误，指示您需要再分配至少“X”个 IP 地址才能使所有实例都能够访问互联网。 `nat_allocation_failed` 指标的值为 `true`。	执行下列其中一项操作：最大限度地减少端口用量，如减少端口用量中所述。手动添加更多 IP 地址，如更改与 NAT 关联的外部 IP 地址中所述。
您已经超过了 NAT IP 地址的硬性限制。	`nat_allocation_failed` 指标的值为 `true`。	最大限度地减少端口用量，如减少端口用量中所述。

Google Cloud 控制台会显示一个错误，指示您需要再分配至少“X”个 IP 地址才能使所有实例都能够访问互联网。
nat_allocation_failed 指标的值为 true。

执行下列其中一项操作：

最大限度地减少端口用量，如减少端口用量中所述。
手动添加更多 IP 地址，如更改与 NAT 关联的外部 IP 地址中所述。

您已经超过了 NAT IP 地址的硬性限制。

nat_allocation_failed 指标的值为 true。

最大限度地减少端口用量，如减少端口用量中所述。

如需监控因 IP 地址数量不足而导致的失败操作，请为 nat_allocation_failed 指标创建提醒。如果 Google Cloud 无法为 NAT 网关中的任何虚拟机分配足够的 IP 地址，则此指标设置为 true。如需了解提醒政策，请参阅定义提醒政策。

减少端口用量

在无法分配或不需要更多 NAT IP 地址的情况下，您可以尽量减少每个虚拟机使用的端口数量。

如需减少端口用量，请完成以下步骤：

停用端点独立映射。
启用动态端口分配。如需使用动态端口分配，您需要设置每个虚拟机的端口数下限以及每个虚拟机的端口数上限。Cloud NAT 会自动分配数量介于端口数下限与上限（含边界值）之间的 NAT 来源 IP 地址和来源端口元组。如果使用较小的端口数下限值，那么在虚拟机上的活跃连接较少的情况下，可减少浪费的 NAT 来源 IP 地址和来源端口元组。如果在分配端口时遇到连接超时问题，请参阅减少使用动态端口分配时的丢包问题。
确定能够满足您需求的最小端口下限值。有几种方法可用来确定该值，大多数方法的决策过程都需要首先了解已用端口数 (compute.googleapis.com/nat/port_usage)。如需了解如何获取端口用量信息，请参阅查看端口用量。下面是确定端口数下限的两种示例方法：
- 考虑一组数量具有代表性的虚拟机在具有代表性的一段时长内的 compute.googleapis.com/nat/port_usage 的平均值。
- 考虑一组数量具有代表性的虚拟机在具有代表性的一段时长内最常出现的 compute.googleapis.com/nat/port_usage 值。
确定能够满足您需求的最小端口上限值。在该决策过程中，您也需要首先了解 compute.googleapis.com/nat/port_usage。确定端口数上限时，首先考虑一组数量具有代表性的虚拟机在具有代表性的一段时长内 compute.googleapis.com/nat/port_usage 的最大值。请注意，如果将此上限值设置得过高，可能会导致其他虚拟机无法接收 NAT 来源 IP 地址和来源端口元组。
若要找到适合的端口数下限和上限值，您需要进行迭代测试。如需了解更改端口数下限和上限值的步骤，请参阅如何在配置了动态端口分配时更改端口数下限或上限值。
查看 NAT 超时，了解其含义及其默认值。如果您需要快速创建与同一目标 3 元组的一系列 TCP 连接，请考虑减少 TCP 时间等待，以便 Cloud NAT 可以更快地重复使用 NAT 来源 IP 地址和来源端口元组。这样 Cloud NAT 便能更快地重用相同的 5 元组，而无需使用具有唯一性的 5 元组，后面这种情况可能需要为每个发送请求的虚拟机分配额外的 NAT 来源 IP 地址和来源端口元组。如需了解更改 NAT 超时的步骤，请参阅更改 NAT 超时。

常见问题解答

Cloud NAT 的地区限制

我可以在多个地区中使用同一个 Cloud NAT 网关吗？

不可以。Cloud NAT 网关不能与多个区域、VPC 网络或 Cloud Router 路由器相关联。

如果您需要为其他区域或 VPC 网络提供连接，请为其创建其他 Cloud NAT 网关。

Cloud NAT 网关使用的外部 NAT IP 地址是全球性还是地区性的？

Cloud NAT 网关使用地区性外部 IP 地址作为 NAT IP 地址。即使是地区性的，它们也可公开路由。如需了解可以分配 NAT IP 地址的不同方式，请参阅 NAT IP 地址。

当 Cloud NAT 能够使用和不能使用时

Cloud NAT 是否会应用于 GKE 节点虚拟机等具有外部 IP 地址的实例？

通常不会。如果虚拟机的网络接口具有外部 IP 地址，则 Google Cloud 始终对从网络接口的主要内部 IP 地址发送的数据包执行 1 对 1 NAT，而不使用 Cloud NAT。但是，Cloud NAT 仍然可以为通过同一网络接口的别名 IP 地址范围发送的数据包提供 NAT 服务。如需了解更多详情，请参阅 Cloud NAT 规范和 Compute Engine 交互。

公共 NAT 是否允许其网络接口缺少外部 IP 地址的来源虚拟机将流量发送到具有外部 IP 地址的目标虚拟机或负载均衡器（即使来源和目标位于同一 VPC 网络中）？

符合。网络路径涉及通过默认互联网网关将流量从 VPC 网络发出，然后在同一网络中接收。

当源虚拟机将数据包发送到目标时，公共 NAT 会在将数据包传送到第二个实例之前执行源 NAT (SNAT)。公共 NAT 会针对从第二个实例到第一个实例的响应执行目标 NAT (DNAT)。如需查看分步说明示例，请参阅基本公共 NAT 配置和工作流。

我可以使用专用 NAT 在同一 VPC 网络中的虚拟机之间进行通信吗？

不会，专用 NAT 不会对同一 VPC 网络中虚拟机之间的流量执行 NAT。

不支持垃圾传入连接

Cloud NAT 是否允许入站连接（例如 SSH）到没有外部 IP 地址的实例？

否，Cloud NAT 不支持垃圾传入连接。如需了解详情，请参阅 Cloud NAT 规范。但是，如果目标 IP 地址是 Cloud NAT 网关外部 IP 地址，并且其活跃端口映射到至少一个虚拟机实例，则 Google Cloud 的网络边缘可能会响应 ping。如需查看分配给 Cloud NAT 网关的 IP 地址，请使用 gcloud compute 路由器 get-nat-ip-info 命令。标记为 IN_USE 的外部 IP 地址可能会响应 ping。

如果您需要连接到没有外部 IP 地址的虚拟机，请参阅为内部专用的虚拟机选择连接选项。例如，在 Cloud NAT 示例 Compute Engine 设置过程中，您使用 Identity-Aware Proxy 连接到没有外部 IP 地址的虚拟机。

Cloud NAT 和端口

为什么虚拟机拥有固定数量的端口（默认为 `64` 个）？

Cloud NAT 网关为虚拟机提供 NAT 时，它会根据端口预留程序预留源地址和源端口元组。

如需了解详情，请参阅端口预留示例。

我可以更改为虚拟机预留的端口数下限吗？

符合。您可以在创建新的 Cloud NAT 网关时提高或降低每台虚拟机的端口数下限，也可以稍后通过修改此下限来实现此目的。每个 Cloud NAT 网关都会根据端口预留程序预留源地址和源端口元组。

如需详细了解如何降低端口数下限，请参阅下一个问题。

创建 Cloud NAT 网关后，我可以减少每台虚拟机的最小端口数吗？

可以；不过，降低最小端口数可能会导致端口预留程序为每台虚拟机预留更少的端口数。发生这种情况时，现有的 TCP 连接可能会被重置，并且必须重新建立连接。

将 NAT 映射从主要和次要范围切换到仅主要范围时，分配给每个实例的其他端口是否会立即释放？

不会。次要范围使用的其他任何端口会由实例保留，直到每个虚拟机的端口数下限设置值减小。当 Cloud NAT 配置为映射子网的次要（别名）范围时，Cloud NAT 会根据端口预留过程为每个实例至少分配 1024 个端口。

通过切换到仅主要范围，Cloud NAT 会保留已分配这些端口的实例的其他已分配端口。更改 Cloud NAT 仅应用于主要范围的范围后，分配给这些实例的实际端口数不会更改，直到每个虚拟机的端口数下限设置值也减小。

如需减小分配给这些实例的端口数量，请在切换到主要范围后，必须减小每个虚拟机的端口数下限设置值。减小该值之后，Cloud NAT 会自动下调每个实例分配的端口数量，从而减少端口消耗。

Cloud NAT 和其他 Google 服务

能否通过 Cloud NAT 访问 Google API 和服务？

当您为子网的主要 IP 范围启用 Cloud NAT 时，Google Cloud 会自动启用专用 Google 访问通道。如需了解详情，请参阅专用 Google 访问通道互动。

后续步骤

获取支持