使用NAT网关功能前,您需要了解以下基本概念。
NAT网关
NAT网关(NAT Gateway)是一款企业级的公网网关,提供NAT代理(SNAT和DNAT)、高达10 Gbps级别转发能力以及跨可用区的容灾能力。
NAT网关支持按规格计费和按使用量计费,两种方式对应的最大连接数和新建规格如下所示:
- 按固定规格计费NAT网关提供小型、中性、大型和超大型-1规格。不同规格的NAT网关会影响SNAT最大连接数和SNAT每秒新建连接数,但不会影响DNAT性能。不同规格的NAT网关的对比如下表所示。
规格 SNAT最大连接数 SNAT最大新建规格 小型 1万 1千 中型 5万 5千 大型 20万 1万 超大型-1 100万 5万 - 按使用量计费按使用量计费支持超大弹性能力:
规格 SNAT最大连接数 SNAT最大新建规格 吞吐量 默认规格 200万 10万 5 Gbps 提交工单最大可提升的额度 1000万 100万 100 Gbps
在选择NAT网关规格时,有以下特征和限制:
- NAT网关的规格与共享带宽包的带宽大小、IP个数之间没有相互制约关系。
- NAT网关在云监控控制台只提供最大连接数监控,不提供每秒新建连接数监控。
- NAT网关SNAT的连接超时时间为900秒。
- 为避免网络拥塞、公网抖动可能造成的SNAT连接超时,请确保您的业务应用有自动重连机制,这样可以提供更高的可用性。
- NAT网关暂不支持报文分片。
- 对于公网上同一个目的IP和端口,NAT网关配置的EIP数限制NAT网关的最大并发数,绑定单个EIP最大连接数为55000,绑定多个EIP可以提升为N*55000。
- 当VPC内无公网IP的ECS实例通过NAT网关访问公网上同一个目的IP和端口的带宽大于2 Gbps时,建议您为NAT网关绑定4~8个公网IP并构建SNAT IP池,避免单个公网IP的端口数量限制可能产生的丢包。
源网络地址转换SNAT
源网络地址转换SNAT(Source Network Address Translation)支持VPC内的多个没有公网IP的ECS实例通过同一公网IP访问公网。
您可以选择交换机和ECS两种粒度来设置SNAT功能:
- 交换机粒度
选择交换机为粒度创建SNAT条目后,指定交换机下的所有ECS实例都可以使用SNAT IP访问公网服务。
说明 如果ECS实例已经持有了公网IP(例如分配了固定公网IP、绑定了EIP或设置了DNAT IP映射),当该ECS实例发起公网访问请求时,会优先通过持有的公网IP访问公网,而不会使用SNAT IP访问公网。 - ECS实例粒度
选择ECS实例为粒度创建SNAT条目后,仅指定的ECS实例可以使用SNAT IP访问公网服务。
目的网络地址转换DNAT
目的网络地址转换DNAT(Destination Network Address Translation)可以实现专有网络VPC内的ECS实例面向公网提供服务。DNAT将DNAT IP(DNAT条目中设置的EIP)映射给VPC内的ECS实例使用,DNAT IP收到的请求将按照自定义的映射规则,转发给VPC内的ECS实例,使ECS实例可以面向公网提供服务。
您可以通过端口映射和IP映射两种方式设置DNAT功能:
- 端口映射
配置端口映射后,NAT网关会将以指定协议和端口访问DNAT IP的请求转发到目标ECS实例的指定协议和端口上。例如下表中的DNAT条目。
转发条目 公网IP 公网端口 私网IP 私网端口 协议 条目1 1.x.x.1 80 192.168.1.1 80 TCP 条目2 2.x.x.2 8080 192.168.1.2 8000 UDP - 条目1:NAT网关会将访问1.x.x.1的TCP 80端口的请求转发到192.168.1.1的TCP 80端口上。
- 条目2:NAT网关会将访问2.x.x.2的UDP 8080端口的请求转发到192.168.1.2的UDP 8000端口上。
- IP映射
配置IP映射后,NAT网关会将任何访问DNAT IP的请求都将转发到目标ECS实例上。例如下表中的DNAT条目。
转发条目 公网IP 公网端口 私网IP 私网端口 协议 条目3 3.x.x.3 Any 192.168.1.3 Any Any 条目3:NAT网关会将任何访问3.x.x.3的请求转发到192.168.1.3实例上。
相关文档: