全部产品
Search
文档中心

NAT 网关:什么是公网NAT网关

更新时间:Mar 15, 2024

公网NAT网关是一款针对公网访问的企业级安全网关产品,提供NAT代理功能(SNAT和DNAT),具有100 Gbps的转发能力及跨可用区的容灾能力。公网NAT网关还具有高性能、自动弹性、灵活计费、精细化运维等特性,可以帮助您更好地管理公网访问流量。

背景信息

公网NAT网关的网络拓扑如下图所示。您可以选用公网NAT网关,满足您以下业务场景需求:

  • 如果您的云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网上从而有被攻击的风险,您可以选用公网NAT网关为业务提供安全防护能力。

  • 如果您的业务具有突增的访问公网的流量需求,您可以选用公网NAT网关为您提供灵活和弹性的扩容能力,并且只需要按使用量付费,节省企业成本。

  • 如果您有大量访问公网的机器,您可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。

NAT网关图解

为什么选择公网NAT网关

选择公网NAT网关,您可以使业务运行具有以下特性:

  • 高性能
    具有较强的突发性能,并可通过工单提升更大性能,适应高并发业务场景。
  • 高可用
    支持多可用区容灾,某个可用区故障时仍能保障业务运行,实现业务高可用性。
  • 精细化运维
    展示top流量,精确定位突发流量的ECS;丰富多维度的流量监控指标。
  • 高弹性
    采用先进的技术架构,灵活的弹性能力满足企业脉冲流量的需求。

产品功能

功能

说明

相关文档

SNAT

为专有网络VPC(Virtual Private Cloud)内无公网IP的ECS实例提供访问公网的代理服务。

使用公网NAT网关SNAT功能访问互联网

公网NAT网关实例FAQ

DNAT

将公网NAT网关上绑定的弹性公网IP(Elastic IP Address,简称EIP)映射给VPC内的ECS实例使用,使ECS实例可以面向公网提供服务。

通过公网NAT网关DNAT功能实现ECS对外提供服务

丰富的监控指标

公网NAT网关支持查看26个监控指标,可以实时监控公网NAT网关实例的运行情况,帮您提高业务的稳定性。

公网NAT网关监控与运维

同VPC多公网NAT网关

同一个VPC内支持创建多个公网NAT网关,您可以通过不同的公网NAT网关转发去往不同目的地址的流量,并可以针对不同的公网NAT网关做不同的安全防护,实现更精细化地部署公网访问网络。

您也可以在不同的公网NAT网关上指定相同的SNAT(访问公网服务)或DNAT(提供公网服务)条目,然后通过配置路由来指定流量的网关出口。

重要
  • 新申请的公网NAT网关如果要接管已有公网NAT网关的流量,需要重新配置路由,在配置过程中会导致业务闪断,请注意在业务低峰时间做切换。

  • 当您在公网NAT实例上同时创建了SNAT和DNAT,VPC内的ECS实例通过该公网NAT实例的SNAT能力去访问同NAT实例内的DNAT服务时无法连通。如果您需要ECS实例去访问同一个VPC内的DNAT服务,建议您新建一个公网NAT网关,然后将DNAT和SNAT分别创建在不同的公网NAT网关实例上。

同VPC内多公网NAT网关部署方案

应用场景

  • 搭建访问公网服务的SNAT网关

    您可以创建公网NAT网关,并为其绑定EIP,然后通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。具体操作,请参见使用公网NAT网关SNAT功能访问互联网

    您也可以为公网NAT网关绑定多个EIP,绑定成功后,ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行。避免出现在单EIP场景下,EIP故障导致的全业务中断。

    说明

    指定多个EIP配置至SNAT IP地址池时,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议您将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。具体操作,请参见加入与移出共享带宽

    搭建高可用的SNAT网关

  • 搭建提供公网服务的DNAT网关

    您可以创建公网NAT网关,并为其绑定EIP,然后配置公网NAT网关的DNAT功能。配置成功后,VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。具体操作,请参见通过公网NAT网关DNAT功能实现ECS对外提供服务

    说明

    端口映射和IP映射的说明如下:

    • 端口映射:公网NAT网关会将以指定协议和端口访问EIP的请求转发到目标ECS实例的指定协议和端口上。

    • IP映射:公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。

    搭建提供公网服务的DNAT网关

  • 共享公网带宽

    如果部署在ECS实例的应用需要面向公网提供服务,您需要为该应用购买公网带宽。为了应对业务流量可能发生的变化,在购买公网带宽时需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时,为每个应用购买冗余带宽会造成资源和成本的浪费。

    您可以创建公网NAT网关,并为公网NAT网关绑定EIP,然后将绑定到公网NAT网关的EIP加入到同一共享带宽中,不仅可以帮助您统一管理和监控公网流量,还可以帮助您降低公网带宽使用成本。共享公网带宽

使用说明

  • 创建公网NAT网关时,您需要指定公网NAT网关要关联的VPC和交换机。公网NAT网关创建成功后,系统会为公网NAT网关分配一个交换机内的空闲私网IP地址。建议您为公网NAT网关创建独立的交换机,以便支持后续网络的规划。

    • 公网NAT网关支持多可用区容灾,您创建时指定的交换机是主可用区所在的交换机,备可用区的交换机无需您在创建时选择。

    • 公网NAT网关的创建流程,请参见购买公网NAT网关

  • 公网NAT网关默认的吞吐能力是5 Gbps,可根据使用量弹性扩大至15 Gbps,如果需要更大的吞吐能力,请联系客户经理申请。

  • 公网NAT网关具有较强的突发性能(按使用量计费的公网NAT网关),并可通过联系客户经理提升更大性能。

    指标新建连接速率并发连接数处理流量
    默认指标10万200万5 Gbps,可自动弹性至15 Gbps
    涉及以上指标的含义如下:
    • 新建连接速率:每秒处理的新建连接数量。
    • 并发连接数:每分钟内并发连接的数量。
    • 处理流量:每小时的总处理流量(包括入流量和出流量)。

使用限制

实例限制

资源

默认限制

提升配额

一个VPC支持创建的公网NAT网关的数量

5个。

您可以通过以下任意方式自助提升配额:

一个公网NAT网关支持绑定EIP的数量

20个。

说明

从2022年09月19日起,新创建的公网NAT网关绑定一个EIP时将占用NAT网关所在交换机的一个私网IP (已有NAT网关实例不受影响),请确保NAT网关所在交换机内私网IP地址充足,如果NAT网关所在的交换机没有可用的空闲私网地址时,将无法绑定新的EIP。

您可以通过以下任意方式自助提升配额:

VPC中存在目标网段为0.0.0.0/0的自定义路由,是否支持在该VPC创建公网NAT网关

支持。

不涉及。

SNAT限制

资源

默认限制

提升配额

一个公网NAT网关支持创建SNAT条目的数量

40个。

您可以通过以下任意方式自助提升配额:

一个SNAT条目支持关联的EIP数量

50个。

无法提升配额。

以交换机粒度创建SNAT条目后,访问公网的带宽是否会受到EIP带宽峰值的限制

是。

说明

如果与公网NAT网关绑定的EIP加入到共享带宽中,则访问公网的带宽会受到共享带宽的带宽峰值的限制。

不涉及。

SNAT条目中IP数量对公网NAT网关最大并发连接数的限制

当VPC内无公网IP的ECS实例通过公网NAT网关访问公网上同一个目的IP和端口时,NAT网关的最大并发连接数为N×55000,其中N是SNAT条目配置的EIP数量。

SNAT条目IP带宽限制

创建SNAT条目时配置多个EIP,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能出现多EIP的业务流量不均匀,建议您将每个EIP都加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。加入SNAT IP地址池的EIP的最大带宽没有限制。

具体操作,请参见创建SNAT IP地址池

DNAT限制

资源

默认限制

提升配额

一个公网NAT网关支持创建的DNAT条目的数量

100个。

您可以通过以下任意方式自助提升配额:

是否支持为绑定了EIP的ECS实例创建DNAT条目

单弹性网卡不支持。

如需为该ECS实例创建DNAT条目,请先将ECS实例与EIP解绑,然后再为该ECS实例创建DNAT条目。具体操作,请参见将EIP与云资源解绑创建和管理DNAT条目

说明

如果存量ECS实例绑定了EIP,且处于公网NAT网关的DNAT条目中,则ECS实例优先通过绑定的EIP进行公网通信。

不涉及。

是否支持为持有固定公网IP的ECS实例创建DNAT条目

单弹性网卡不支持。

如需为该ECS实例创建DNAT条目,请先将ECS实例的固定公网IP转换为EIP,然后将ECS实例与EIP解绑,最后再为该ECS实例创建DNAT条目。关于如何将固定公网IP转换为EIP,请参见专有网络ECS实例的固定公网IP转换为EIP

说明

如果存量ECS实例持有固定公网IP,且处于公网NAT网关的DNAT条目中,则ECS实例优先通过固定公网IP进行公网通信。

不涉及。

相关产品