Gunakan gateway NAT Internet untuk mengakses Internet - NAT Gateway

Gateway NAT Internet meningkatkan keamanan dengan menerjemahkan dan menyembunyikan alamat IP pribadi layanan cloud Anda, sehingga mencegah eksposur langsungnya.

Setelah membuat gateway NAT Internet dan mengaitkannya dengan EIP, Anda dapat:

Mengonfigurasi SNAT: Memungkinkan beberapa instance ECS berbagi EIP untuk akses Internet arah keluar, sehingga menghemat sumber daya IP publik.
Mengonfigurasi DNAT: Mengizinkan instance ECS menyediakan layanan ke Internet melalui pemetaan port atau pemetaan IP.

SNAT - Akses internet

DNAT - Sediakan layanan web ke internet

Gateway NAT Internet mendukung dua mode pemulihan bencana. Anda dapat memilih Disaster Recovery saat membuat gateway tersebut.

Mode pemulihan bencana zona tunggal tersedia di semua wilayah yang mendukung gateway NAT Internet. Untuk menggunakan mode ini, hubungi manajer akun Anda agar mode tersebut diaktifkan.

Cross-zone disaster recovery: Gateway NAT ditempatkan di beberapa zona untuk redundansi. Jika suatu zona gagal, lalu lintas secara otomatis dialihkan (failover). Mode ini cocok untuk skenario di mana sumber daya Anda, seperti instance ECS, tersebar di beberapa zona dan perlu berbagi gateway NAT Internet untuk mengakses Internet.
Single-zone disaster recovery: Gateway NAT ditempatkan dalam satu zona dan menyediakan ketersediaan tinggi hanya dalam zona tersebut. Mode ini cocok untuk skenario di mana layanan Anda terkonsentrasi di satu zona dan menggunakan gateway NAT Internet khusus untuk akses Internet.

SNAT - Akses internet

Menetapkan EIP ke setiap instance ECS untuk akses Internet mahal. Fitur SNAT pada gateway NAT Internet memungkinkan beberapa instance ECS berbagi EIP untuk akses arah keluar. Hal ini mengurangi biaya dan meningkatkan keamanan dengan menyembunyikan alamat IP asli instance Anda serta membatasi koneksi arah masuk.

Cara kerja

Contoh berikut menunjukkan bagaimana instance ECS dengan alamat IP pribadi 192.168.1.100 mengakses Internet.

Penerusan rute: VPC meneruskan paket permintaan ke gateway NAT Internet berdasarkan entri rute yang sesuai di tabel rutenya.
SNAT (Source Network Address Translation): Saat gateway NAT menerima paket tersebut, gateway menerjemahkan alamat IP sumber 192.168.1.100 menjadi EIP yang dikaitkan dengan gateway tersebut, sesuai aturan SNAT. Gateway juga mencatat pemetaan antara tupel lima asli (protokol, IP sumber, port sumber, IP tujuan, port tujuan) dan tupel lima hasil terjemahan (protokol, EIP, port sumber publik, IP tujuan, port tujuan).
Arah keluar ke Internet: Gateway mengirimkan paket dengan alamat hasil terjemahan ke Internet. Permintaan berasal dari EIP, bukan dari alamat IP pribadi instance ECS.

Saat server tujuan di Internet mengembalikan paket respons, gateway menggunakan pemetaan sesi untuk memulihkan alamat IP pribadi asli dan meneruskan paket kembali ke instance ECS.

Prioritas aturan SNAT

Penerapan entri SNAT bergantung pada aturan berikut:

Lalu lintas Internet arah keluar dari VPC harus diarahkan dengan benar ke gateway NAT Internet. Artinya, dalam tabel rute VPC, entri rute untuk blok CIDR tujuan di Internet harus memiliki gateway NAT Internet sebagai lompatan berikutnya (next hop).
- Konfigurasi otomatis: Jika tidak ada rute 0.0.0.0/0 di tabel rute sistem VPC, sistem secara otomatis menambahkan rute tersebut saat gateway NAT Internet pertama dibuat di VPC tersebut.
- Konfigurasi manual: Jika Anda menggunakan tabel rute kustom, atau jika rute 0.0.0.0/0 sudah ada di tabel rute sistem, Anda harus menambahkan atau memodifikasi entri rute kustom secara manual. Kami menyarankan Anda mengikuti prinsip hak istimewa minimal dengan mengonfigurasi blok CIDR tujuan menjadi blok CIDR publik spesifik yang perlu diakses.
- Prioritas rute: Jika beberapa rute memiliki tumpang tindih blok CIDR tujuan, lalu lintas diteruskan berdasarkan prinsip Pencocokan awalan terpanjang.

Prioritas IP egress: IP publik statis atau EIP yang dikaitkan dengan instans > Pemetaan IP DNAT (Any Port) > EIP yang dikaitkan dengan entri SNAT. Lihat Centralized Egress IP untuk menyesuaikan arsitektur jaringan Anda.
Prioritas entri SNAT: Jika beberapa entri SNAT memiliki tumpang tindih blok CIDR sumber, aturan dengan subnet mask yang paling panjang akan didahulukan. Misalnya, blok CIDR sumber entri SNAT tingkat ECS memiliki subnet mask /32, yang merupakan mask paling panjang dan karenanya memiliki prioritas tertinggi.

1. Buat gateway NAT dan kaitkan EIP

Gateway NAT Internet harus memiliki EIP yang dikaitkan agar berfungsi. Anda dapat mengaitkan hingga 20 EIP dengan gateway NAT Internet. Buka halaman Quota Management untuk meminta peningkatan kuota.

Mulai 19 September 2022, mengaitkan EIP dengan gateway NAT Internet yang baru dibuat mengonsumsi satu alamat IP pribadi dari vSwitch gateway tersebut. Perubahan ini tidak memengaruhi instance gateway NAT yang sudah ada. Pastikan vSwitch memiliki cukup alamat IP pribadi yang tersedia; jika tidak, pengaitan akan gagal.

Konsol

Buka halaman pembelian NAT Gateway - Internet NAT Gateway.

Billing Method: Pay-as-you-go.
Region: Pilih wilayah tempat Anda ingin membuat gateway NAT Internet.
Network and Zone: Pilih VPC dan vSwitch untuk gateway NAT Internet. vSwitch yang dipilih digunakan untuk menetapkan alamat IP pribadi ke gateway NAT. Mengaitkan EIP mengonsumsi satu alamat IP pribadi dari vSwitch ini. Anda tidak dapat mengubah pengaturan ini setelah gateway dibuat.
Disaster Recovery: Pilih mode pemulihan bencana untuk gateway NAT.
- Cross-zone disaster recovery (Default): Menempatkan gateway di zona primer dan sekunder. Jika zona primer gagal, lalu lintas secara otomatis dialihkan ke zona sekunder.
- Single-zone disaster recovery: Menempatkan gateway dalam zona yang dipilih, dengan ketersediaan tinggi dijamin melalui redundansi tingkat perangkat. Biaya instans adalah 50% dari mode lintas zona, dan biaya CU adalah 80%.
EIP: Pilih opsi berdasarkan apakah Anda memiliki EIP yang sudah ada.
- Select EIP: Pilih EIP yang tidak dikaitkan dengan instans apa pun.
- Purchase EIP: Pilih opsi ini jika Anda tidak memiliki EIP yang tersedia. Secara default, EIP BGP (Multi-ISP) dengan metode penagihan bayar-per-lalu-lintas dibuat. Anda dapat mengatur Maximum Bandwidth sesuai kebutuhan bisnis Anda.
  
  Untuk mengaitkan EIP BGP (Multi-ISP)_Premium atau EIP dengan metode penagihan berbeda, terlebih dahulu ajukan permohonan EIP, lalu pilih Select EIP saat pembuatan.
- Configure Later: Gateway NAT dibuat tanpa akses Internet.
  
  Setelah gateway NAT dibuat, temukan instans target dan klik Associate Now di kolom EIP. Anda kemudian dapat memilih EIP yang sudah ada atau membeli dan mengaitkan EIP baru.

API

Panggil CreateNatGateway untuk membuat gateway NAT Internet.
Panggil ModifyNatGatewayAttribute untuk memodifikasi konfigurasi gateway NAT Internet.
Panggil AssociateEipAddress untuk mengaitkan EIP.

2. Konfigurasikan entri SNAT

Konsol

Buka halaman Internet NAT Gateway. Temukan instans target, klik Configure SNAT di kolom Actions, lalu klik Create SNAT Entry.

SNAT Entry: Cakupan aturan SNAT. Pilih cakupan berdasarkan kebutuhan manajemen Anda.
- Specify VPC: Semua instance ECS di VPC dapat mengakses Internet melalui aturan SNAT yang dikonfigurasi.
- Select vSwitch: Konfigurasikan aturan SNAT pada tingkat vSwitch. Semua instance ECS di vSwitch yang dipilih dapat mengakses Internet melalui entri SNAT ini. vSwitch yang dipilih menentukan cakupan aturan SNAT dan independen dari vSwitch yang dipilih saat Anda membuat gateway NAT.
- Specify ECS Instance/ENI: Hanya instance ECS atau ENI yang ditentukan yang dapat mengakses Internet.
- Specify Custom CIDR Block: Menyediakan akses Internet untuk sumber daya dalam blok CIDR yang ditentukan.
Select EIP: Dari daftar drop-down, pilih EIP untuk menyediakan akses Internet.
- Jika tidak ada EIP yang tersedia, klik Purchase and Associate EIP di daftar drop-down dan selesaikan pembelian di kotak dialog yang muncul.
- Anda dapat memilih beberapa EIP. Algoritma hash mendistribusikan koneksi di antara EIP tersebut. Karena lalu lintas bervariasi untuk setiap koneksi, distribusi lalu lintas mungkin tidak merata di antara EIP. Kami menyarankan Anda menambahkan setiap EIP ke instance Internet Shared Bandwidth yang sama untuk menghindari gangguan layanan yang dapat terjadi ketika satu EIP mencapai batas bandwidth-nya.
EIP Affinity: Jika Anda memilih beberapa EIP dan fitur afinitas EIP dinonaktifkan, alamat IP pribadi dapat menggunakan EIP berbeda untuk mengakses satu alamat IP tujuan. Jika Anda mengaktifkan fitur ini, EIP yang sama akan digunakan. Namun, jika terlalu banyak koneksi bersamaan ke satu tujuan, alokasi port dapat gagal. Anda harus memantau metrik ErrorPortAllocationCount.

Setelah entri dibuat, Anda dapat mengklik Edit di kolom Actions untuk entri tersebut guna memodifikasi pengaturan EIP dan afinitas EIP.

API

Panggil CreateSnatEntry untuk membuat entri SNAT.
Panggil ModifySnatEntry untuk memodifikasi entri SNAT yang ditentukan.

3. Konfigurasikan rute

Konfigurasikan rute untuk memastikan lalu lintas dari instance ECS ke Internet diarahkan dengan benar ke gateway NAT.

Konsol

Buka halaman Konsol VPC - Tabel Rute. Di bilah navigasi atas, pilih wilayah tempat gateway NAT Internet ditempatkan. Temukan tabel rute yang dikaitkan dengan vSwitch instance ECS, lalu klik ID-nya untuk membuka halaman detail.

Konfigurasi otomatis: Jika Anda membuat gateway NAT Internet pertama di VPC dan vSwitch instance ECS dikaitkan dengan tabel rute sistem, entri rute dengan blok CIDR tujuan 0.0.0.0/0 dan gateway NAT sebagai lompatan berikutnya akan ditambahkan secara otomatis. Dalam kasus ini, tidak diperlukan tindakan tambahan.
Konfigurasi manual: Jika rute 0.0.0.0/0 sudah ada di VPC atau vSwitch dikaitkan dengan tabel rute kustom, Anda harus menambahkan rute kustom ke tabel rute yang sesuai. Tujuan rute harus berupa blok CIDR publik spesifik yang ingin diakses, dan lompatan berikutnya harus berupa gateway NAT.

API

Panggil CreateRouteEntry untuk menambahkan satu entri rute.
Panggil ModifyRouteEntry untuk memodifikasi lompatan berikutnya dari entri rute.

Verifikasi konektivitas jaringan

Masuk ke Instance ECS dan jalankan perintah berikut.

# Pastikan bahwa security group Instance ECS mengizinkan outbound traffic ke Internet.
# Uji konektivitas ke Internet.
ping www.aliyun.com

# Lihat Alamat IP publik egress saat ini. Alamat tersebut seharusnya merupakan EIP yang terkait dengan gerbang NAT.
curl ifconfig.me

DNAT - Menyediakan layanan publik

Jika sebuah instans ECS perlu menyediakan layanan web, menetapkan EIP secara langsung ke instans tersebut akan membuka semua port-nya, sehingga meningkatkan risiko keamanan. Dengan menggunakan fitur DNAT dari Gateway NAT Internet, Anda hanya dapat meneruskan port tertentu atau seluruh traffic dari EIP Gateway NAT ke instans ECS. Hal ini menjaga alamat IP pribadi instans tetap tersembunyi. Sebelum mengonfigurasi entri DNAT, pastikan instans ECS tidak memiliki EIP yang terasosiasi dengannya.

Cara kerja

Contoh berikut menunjukkan bagaimana sebuah instans ECS dengan alamat IP pribadi 192.168.1.100 menyediakan layanan ke Internet.

Klien mengakses layanan: Alamat IP tujuan paket data adalah EIP yang terasosiasi dengan Gateway NAT Internet dan digunakan untuk menyediakan layanan tersebut.
DNAT (Destination Network Address Translation): Setelah Gateway NAT menerima paket tersebut, gateway menerjemahkan EIP tujuan menjadi alamat IP pribadi instans ECS berdasarkan aturan DNAT. Gateway juga mencatat pemetaan alamat ini.
Layanan diakses: Paket dengan alamat yang telah diterjemahkan diteruskan ke instans ECS tujuan.

Ketika instans ECS tujuan mengembalikan paket respons, paket tersebut diteruskan ke Gateway NAT Internet sesuai dengan entri rute. Gateway kemudian menerjemahkan kembali alamat IP sumber menjadi EIP berdasarkan tabel pemetaan sesi dan mengirimkan paket tersebut ke klien di Internet.

Jika hanya entri DNAT yang dikonfigurasi, IP sumber paket yang diterima oleh instans ECS adalah IP publik klien. Oleh karena itu, saat Anda mengonfigurasi aturan inbound untuk security group instans ECS, Anda harus menggunakan alamat IP sumber aktual (IP publik).

Konfigurasi entri DNAT

Bagian ini hanya menjelaskan cara mengonfigurasi entri DNAT. Untuk mempelajari cara membuat Gateway NAT, mengasosiasikan EIP, dan mengonfigurasi rute, lihat SNAT - Akses Internet.

Konsol

Buka halaman Internet NAT Gateway. Di bilah navigasi atas, pilih wilayah Gateway NAT Internet tersebut.
Klik Configure DNAT pada kolom Actions dari instans Gateway NAT Internet yang dituju, lalu klik Create DNAT Entry.
- Select EIP: Pilih EIP yang akan diakses oleh klien Internet. Anda dapat menggunakan EIP yang sama untuk entri DNAT maupun SNAT.
- Select Private IP Address: Pilih alamat IP pribadi dari server backend yang menyediakan layanan. Anda dapat memilihnya dengan menentukan instans ECS atau ENI, atau memasukkannya secara manual.
- Port Settings: Konfigurasikan pemetaan DNAT.
  - Any Port: Ini adalah pemetaan IP. Semua permintaan ke EIP ini diteruskan ke instans ECS tujuan, sehingga menduduki semua port.
    - Instans ECS tujuan juga dapat menggunakan EIP ini untuk mengakses Internet. EIP ini tidak dapat digunakan oleh entri DNAT atau SNAT lainnya.
    - Jika Gateway NAT Internet memiliki konfigurasi pemetaan IP DNAT sekaligus entri SNAT, instans ECS akan memprioritaskan penggunaan EIP dari pemetaan IP DNAT untuk akses Internet.
  - Custom Port: Ini adalah pemetaan port. Permintaan ke EIP dengan protokol dan port tertentu diteruskan ke port tertentu pada instans ECS tujuan. Konfigurasikan Public Port (port eksternal atau range port untuk penerusan), Private Port (port internal atau range port untuk penerusan), dan Protocol (protokol untuk port yang diteruskan).
    - Range port harus berada di antara 1 hingga 65535. Untuk menentukan range port, pisahkan port awal dan akhir dengan garis miring (/), misalnya 10/20. Jumlah port dalam range Public Port dan Private Port harus sama, dan keduanya harus berupa port tunggal atau range port dengan ukuran yang sama. Misalnya, jika Anda menetapkan Public Port ke 10/20, Anda harus menetapkan Private Port ke range dengan ukuran yang sama, misalnya 80/90.
    - Range port default untuk SNAT adalah 1025 hingga 65535. Jika entri SNAT sudah dibuat untuk EIP yang dipilih dan Anda perlu menetapkan Public Port untuk DNAT yang lebih besar dari 1024, Anda harus mengklik Remove Port Limits untuk menghindari konflik.
      
      Penting
      Mengaktifkan penggantian port dapat menyebabkan gangguan singkat pada beberapa koneksi SNAT yang sedang berjalan. Koneksi tersebut dapat dipulihkan dengan melakukan koneksi ulang. Lakukan dengan hati-hati.
Setelah entri dibuat, Anda dapat mengklik Edit pada kolom Actions untuk entri tersebut guna mengubah EIP, alamat IP pribadi, dan pengaturan port.

API

Panggil CreateForwardEntry untuk membuat entri DNAT.
Panggil ModifyForwardEntry untuk mengubah entri DNAT yang ditentukan.

Bersihkan sumber daya

Anda dikenai biaya instans untuk Gateway NAT Internet sejak saat dibuat hingga dilepas. Anda juga dikenai biaya unit kapasitas (CU) untuk traffic yang diprosesnya. Untuk menghindari biaya yang tidak perlu, ikuti langkah-langkah berikut guna membersihkan sumber daya yang tidak lagi Anda perlukan:

Konsol

Hapus entri: Pada tab SNAT dan DNAT di halaman detail instans, hapus entri yang telah dikonfigurasi.
Lepaskan dan release EIP: Pada tab Associated EIP di halaman detail instans, lepaskan EIP tersebut. Anda tetap dikenai biaya konfigurasi EIP jika hanya melepas binding-nya. Untuk menghentikan penagihan, Anda harus membuka konsol EIP dan melepas (release) EIP tersebut.

Jika Anda belum menghapus entri konfigurasi, Anda dapat memilih Disassociate.
Hapus Gateway NAT Internet: Di kolom Actions pada instans Gateway NAT Internet yang dituju, klik Delete.

Jika Anda belum melepas EIP atau menghapus entri konfigurasi, Anda dapat memilih Force Delete (Delete the NAT gateway and associated SNAT/DNAT entries). Sistem kemudian akan menghapus instans beserta sumber daya terkaitnya.

Anda dapat mengaktifkan proteksi pelepasan pada instans untuk mencegah penghapusan tidak disengaja. Sebelum menghapus instans, Anda harus menonaktifkan proteksi pelepasan tersebut.

API

Panggil DeleteSnatEntry dan DeleteForwardEntry untuk menghapus entri SNAT dan DNAT, masing-masing.
Panggil UnassociateEipAddress untuk melepas binding EIP.
Panggil DeleteNatGateway untuk menghapus Gateway NAT Internet.

Penggunaan di lingkungan produksi

Praktik terbaik

Perencanaan jaringan: Buat vSwitch khusus untuk Gateway NAT Internet dan sediakan cukup Alamat IP pribadi. Hal ini mencegah kehabisan IP yang dapat menghambat asosiasi EIP di masa mendatang.
Kontrol tingkat detil: Gunakan Entri SNAT tingkat vSwitch atau tingkat ECS. Ikuti prinsip Hak istimewa minimal dan berikan akses Internet hanya kepada sumber daya yang membutuhkannya.

Strategi pemulihan bencana

Gateway NAT Internet mendukung dua mode pemulihan bencana berikut. Anda dapat memilih mode tersebut menggunakan parameter Disaster Recovery saat pembuatan.

	Cross-zone recovery (default)	Single-zone recovery
Deployment mode	Gateway ditempatkan di zona primer dan zona sekunder. Zona sekunder dipilih oleh Alibaba Cloud.	Gateway ditempatkan di satu zona yang ditentukan pengguna dan menyediakan redundansi tingkat perangkat.
Failover	Failover otomatis terjadi jika terjadi kegagalan zona.	Tidak ada failover otomatis jika seluruh zona mengalami kegagalan.
Use cases	Layanan yang memerlukan pemulihan bencana lintas zona secara otomatis.	Ideal untuk layanan yang tidak memerlukan kemampuan lintas zona, bertujuan mengurangi biaya, atau harus membatasi dampak gangguan hanya pada satu zona.
Fees	Harga dasar	Biaya instans sekitar 50% dari mode lintas zona, dan biaya CU sekitar 80%.

EIP redundancy: Asosiasikan beberapa EIP ke Entri SNAT Anda. Jika salah satu EIP menjadi tidak tersedia karena serangan atau masalah lainnya, lalu lintas keluar secara otomatis dialihkan ke EIP lain yang tersedia.

Pencegahan risiko

Konfigurasi security group: Gateway NAT Internet melakukan translasi alamat, tetapi keamanan Instance ECS backend tetap bergantung pada security group dan ACL jaringan. Anda harus mengonfigurasi aturan grup keamanan masuk yang ketat untuk Instance ECS Anda dan hanya mengizinkan trafik pada Port yang diperlukan.
Pemantauan dan notifikasi: Konfigurasikan aturan notifikasi untuk metrik utama Gateway NAT, seperti koneksi bersamaan dan bandwidth arah masuk/keluar, agar menerima Notifikasi tepat waktu dan dapat melakukan penskalaan sumber daya sebelum terjadi bottleneck.
Batas koneksi: Jika layanan Anda memerlukan jumlah koneksi besar ke satu layanan publik (seperti gateway pembayaran), perhatikan batas maksimum koneksi bersamaan (N × 55.000, dengan N adalah jumlah EIP yang dikonfigurasi dalam Entri SNAT). Kami menyarankan Anda merencanakan jumlah EIP yang cukup sejak awal dan memantau metrik Failed Port Allocations.
ICMP echo reply: Fitur ini diaktifkan secara default. Saat Anda menggunakan perintah ping untuk deteksi, Anda akan menerima paket balasan normal dari Gateway NAT, tetapi hal ini tidak menjamin bahwa server backend berjalan dengan baik. Untuk skenario yang mengandalkan ping untuk Pemantauan tingkat detik, Anda harus menonaktifkan ICMP Retrieval pada halaman detail instans.
- Paket ICMP hanya diteruskan ke server backend jika DNAT dikonfigurasi dengan pemetaan Any Port.
- Pada skenario pemetaan Custom Port, probe ping akan gagal. Anda dapat menggunakan telnet <EIP> <Public Port> untuk langsung memeriksa port layanan yang dipetakan.

FAQ

Kegagalan akses internet SNAT

Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:

Konfigurasi rute: Pada halaman detail instans Internet NAT gateway, periksa bagian VPC routes that point to the NAT gateway untuk memastikan bahwa terdapat entri rute yang mengarah ke gateway tersebut.
Konfigurasi entri SNAT: Pada tab SNAT di halaman detail instans Internet NAT gateway, pastikan status entri SNAT adalah Available. Pastikan juga alamat sumber yang digunakan untuk mengakses Internet berada dalam blok Source CIDR Block.
Kontrol akses: Periksa apakah titik akhir publik yang Anda coba akses memiliki kebijakan kontrol akses yang dikonfigurasi, atau apakah EIP yang terkait dengan instans telah ditambahkan ke daftar putih.
Konfigurasi gateway IPv4: Saat digunakan bersama gateway IPv4, pastikan gateway NAT berada dalam Mode NAT dan konfigurasi routing telah dilakukan dengan benar.

Akses internet lambat atau timeout

Masalah ini biasanya disebabkan oleh hal-hal berikut:

Bandwidth tidak mencukupi: Lihat data pemantauan untuk EIP yang terkait dengan gateway NAT dan periksa penggunaan bandwidth. Jika penggunaannya mendekati 100%, tingkatkan bandwidth atau tambahkan lebih banyak EIP dan kaitkan dengan instans Internet Shared Bandwidth.
Batas koneksi terlampaui: Ketika jumlah koneksi bersamaan ke satu tujuan melebihi batas, sistem akan memutus koneksi karena alokasi port gagal. Lihat metrik ErrorPortAllocationCount dalam pemantauan gateway NAT. Jika nilai ini terus meningkat, tambahkan lebih banyak EIP ke aturan SNAT.

Gateway NAT dan traffic privat

Gateway NAT itu sendiri tidak menentukan jalur traffic; gateway hanya melakukan translasi alamat. Tabel rute VPC mengontrol apakah traffic dikirim ke gateway NAT dan ke mana traffic tersebut diarahkan setelah translasi.

Informasi lebih lanjut

Penagihan

Gateway NAT Internet dikenai biaya instans dan biaya Unit kapasitas (CU). EIP yang terkait memiliki aturan penagihan sendiri dan ditagih secara terpisah.

Kuota

Nama kuota	Deskripsi	Batas default	Tindakan
natgw_quota_nat_num_per_vpc	Jumlah gateway NAT yang dapat dibuat dalam satu VPC.	5	Buka halaman Quota Management atau Quota Center untuk mengajukan peningkatan kuota.
natgw_quota_eip_num_per_nat	Jumlah EIP yang dapat dikaitkan dengan setiap gateway NAT.	20
natgw_quota_snat_entry_num	Jumlah entri SNAT yang dapat dibuat untuk setiap gateway NAT.	40
natgw_quota_dnat_entry_num	Jumlah entri DNAT yang dapat dibuat untuk setiap gateway NAT.	100