NAT网关(NAT Gateway)可以提供网络地址转换服务,分为公网NAT网关和VPC NAT网关。公网NAT网关提供公网地址转换服务,而VPC NAT网关提供私网地址转换服务,您可以根据业务需求灵活选择。

公网NAT网关

公网NAT网关是一款企业级针对公网访问的安全网关产品,提供NAT代理(SNAT和DNAT)功能,具有100 Gbps的转发能力及跨可用区的容灾能力。

NAT网关图解

背景信息

  • 如果您的云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网上从而有被攻击的风险,您可以选用公网NAT网关为您的业务提供安全防护能力。
  • 如果您的业务具有突增的访问公网的流量需求,您可以选用公网NAT网关为您提供灵活和弹性的扩容能力,并且只需要按使用量付费,节省企业成本。
  • 如果您有大量访问公网的机器,您可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。

产品功能

公网NAT网关支持SNAT和DNAT功能,功能说明如下:
功能 说明 相关文档
SNAT功能 为VPC内无公网IP的ECS实例提供访问公网的代理服务。 使用SNAT访问公网
DNAT功能 将公网NAT网关上绑定的弹性公网IP(Elastic IP Address,简称EIP)映射给VPC内的ECS实例使用,使ECS实例可以面向公网提供服务。 通过DNAT实现主机面向公网提供服务

使用规则

  • 公网NAT网关要求您在创建时选择一个VPC,并且需要指定VPC内的交换机,建议您为NAT网关创建独立的交换机,以便支持后续网络的规划。
  • 公网NAT网关会从您指定的交换机中分配一个弹性网卡ENI(Elastic Network Interface),该ENI会关联创建一个安全组,此安全组您可以查看但是无法修改。更多信息,请参见弹性网卡概述
  • 公网NAT网关默认的吞吐能力是5 Gbps,如果需要更大的吞吐能力,请提交工单
  • 公网NAT网关支持多可用区容灾,您创建时指定的交换机是主可用区所在的交换机,备可用区的交换机无需您在创建时选择。

使用场景

  • 搭建访问公网服务的SNAT网关

    您可以创建公网NAT网关,并为其绑定EIP,然后通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。具体操作,请参见使用SNAT访问公网

    您也可以为公网NAT网关绑定多个EIP,绑定成功后,ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行。避免出现在单EIP场景下,EIP故障导致的全业务中断。
    说明 指定多个EIP配置至SNAT IP地址池时,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议您将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。 具体操作,请参见加入与移出共享带宽
    搭建高可用的SNAT网关
  • 搭建提供公网服务的DNAT网关
    您可以创建公网NAT网关,并为其绑定EIP,然后配置公网NAT网关的DNAT功能。配置成功后,VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。 具体操作,请参见通过DNAT实现主机面向公网提供服务
    说明 端口映射和IP映射的说明如下:
    • 端口映射:公网NAT网关会将以指定协议和端口访问EIP的请求转发到目标ECS实例的指定协议和端口上。
    • IP映射:公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。
    搭建提供公网服务的DNAT网关
  • 共享公网带宽

    如果部署在ECS实例的应用需要面向公网提供服务,您需要为该应用购买公网带宽。为了应对业务流量可能发生的变化,在购买公网带宽时需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时,为每个应用购买冗余带宽会造成资源和成本的浪费。

    您可以创建NAT网关,并为NAT网关绑定EIP,然后将绑定到NAT网关的EIP加入到同一共享带宽中,不仅可以帮助您统一管理和监控公网流量,还可以帮助您降低公网带宽使用成本。 共享公网带宽

VPC NAT网关

VPC NAT网关能够为VPC内的ECS实例提供网络地址转换服务,使多个ECS实例可以通过中转私网地址(即NAT IP地址)访问您的本地IDC或其他VPC。ECS实例也可以通过使用VPC NAT网关的中转私网地址对外提供私网访问服务。

产品功能

VPC NAT网关支持SNAT和DNAT功能,功能说明如下:
功能 说明 相关文档
SNAT功能 通过NAT IP地址为VPC内IP的ECS实例提供访问外部网络代理服务。 创建SNAT实现源私网IP地址转换
DNAT功能 通过将NAT IP地址和端口映射转换为VPC内ECS实例的IP和端口,使ECS实例对外提供私网访问服务。 创建DNAT实现目的私网IP地址转换

使用规则

  • VPC NAT网关要求您在创建时选择VPC,并且需要指定VPC内的交换机。为了便于路由配置,建议您使用独立交换机。
  • NAT IP地址是在SNAT功能或DNAT功能中用于源或目的地址转换的IP地址。VPC NAT网关创建成功后,系统会使用VPC NAT网关所在交换机的网段作为默认NAT IP地址段,使用默认NAT IP地址段中的一个IP地址作为默认NAT IP地址。您可以在默认地址段中添加NAT IP地址,也可以新建地址段并添加NAT IP地址。

使用场景

  • 混合云使用指定地址互访场景
    随着金融证券行业云上业务规模的扩大,多网络间进行私网互通时,会遇到被监控机构要求使用固定私网地址访问的场景。您可以使用VPC NAT网关的SNAT功能和DNAT功能实现固定私网地址访问的场景。 混合云互访
  • VPC互访地址冲突
    由于早期网络规划或业务合并,可能存在云上需要互通的两个业务VPC地址冲突的情况。您可以为两个业务VPC各配置一个VPC NAT网关并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能将源地址转换为VPC NAT网关的中转地址,被访问的业务VPC通过DNAT功能使用VPC NAT网关的中转私网地址对外提供私网服务,从而实现地址冲突的两个业务VPC互访。 VPC互访

NAT网关产品优势

NAT网关拥有以下优势:
  • 安全防护

    NAT网关的SNAT功能具有安全防护的能力,只有当VPC内的ECS实例主动访问外部才可以建立连接进行通信,而外部无法主动访问VPC内的ECS实例。SNAT功能会屏蔽VPC内ECS实例对外的端口,保护VPC内的ECS实例免受外部的入侵和攻击。

  • 高性能

    NAT网关是基于阿里云自研分布式网关,使用SDN技术推出的一款虚拟网络硬件。NAT网关支持100 Gbps的转发能力,为大规模公网应用提供支撑。

  • 节约成本

    NAT网关的规格、EIP的规格和个数均可以随时升降,轻松应对业务变化,同时NAT网关还可以按使用量计费。

  • 区域高可用性

    NAT网关跨可用区部署,可用性高。单个可用区的故障都不会影响NAT网关的业务连续性。

相关产品