公網NAT網關是一款阿里云全托管的網絡地址轉換網關,通過轉換和隱藏云服務地址,防止地址直接暴露,實現安全訪問互聯網,提升網絡安全性。公網NAT網關還具有自動彈性、高性能、高可用、靈活計費等特性,可以幫助您更好地管理公網訪問流量。
背景信息
公網NAT網關的網絡拓撲如下圖所示。您可以選用公網NAT網關,滿足您以下業務場景需求:
如果您的云上網絡只希望主動訪問公網上的業務,而不希望云上的業務直接暴露在公網上從而有被攻擊的風險,您可以選用公網NAT網關為業務提供安全防護能力。
如果您的業務具有突增的訪問公網的流量需求,您可以選用公網NAT網關為您提供靈活和彈性的擴容能力,并且只需要按使用量付費,節省企業成本。
如果您有大量訪問公網的機器,您可以通過公網NAT網關統一公網出口,并通過公網NAT網關準確和精細化的運維監控能力管理企業訪問公網的流量。
為什么選擇公網NAT網關
選擇公網NAT網關,您可以使業務運行具有以下特性:
安全
避免地址對外暴露,通過SNAT規則限制入向連接,精細化出向規則管控。
彈性高性能
自動彈性伸縮,隨業務彈性擴容,滿足流量陡增;超高性能,滿足超大業務上云需求。
穩定高可用
支持主備可用區容災,可用區級別故障時仍能保障業務運行,實現業務高可用。
靈活計費
按量付費,降低使用成本;共享公網IP資源,節省公網帶寬和IP持有成本。
深度可觀測
豐富多維度的流量監控指標,支持會話日志、VPC流日志,滿足用戶合規、運維訴求。
產品功能
功能 | 說明 | 相關文檔 |
SNAT | 為專有網絡VPC(Virtual Private Cloud)內無公網IP的云服務資源提供訪問公網的代理服務。 | |
DNAT | 將公網NAT網關上綁定的彈性公網IP(Elastic IP Address,簡稱EIP)映射給VPC內的ECS實例或不具備公網IP的云服務資源使用,使其可以面向公網提供服務。 | - |
自動彈性 | 公網NAT網關支持自動彈性伸縮,隨業務彈性擴容。公網NAT網關默認提供5 Gbps的流量處理能力,10萬/秒的新建連接速率,200萬/分的并發連接數,其中流量處理能力可根據業務變化自動彈性至15 Gbps。 | |
主備可用區容災 | 公網NAT網關現已支持主備可用區容災,其中備可用區由阿里云選擇。當主可用區發生故障導致實例流量全部丟失時,系統會自動觸發主備切換,實現備可用區的容災,整個切換過程最長不超過10分鐘。如果您需要更高的容災能力,建議根據業務需求部署多個NAT網關,以獲得更高的業務可靠性。 | - |
會話日志 | NAT網關支持會話日志能力,當您為NAT網關創建SNAT條目,有流量經過NAT網關時,SNAT會話將以日志的形式進行記錄,便于您進行溯源和監控。 | |
豐富的監控指標 | 公網NAT網關支持查看26個監控指標,可以實時監控公網NAT網關實例的運行情況,幫您提高業務的穩定性。 |
應用場景
搭建訪問公網服務的SNAT網關
您可以創建公網NAT網關,并為其綁定EIP,然后通過公網NAT網關的SNAT功能,實現VPC內的多個ECS實例共享EIP上網,節省公網IP資源。具體操作,請參見使用公網NAT網關SNAT功能訪問互聯網。
您也可以為公網NAT網關綁定多個EIP,綁定成功后,ECS實例會隨機通過SNAT地址池中的EIP訪問公網。當其中一個EIP被攻擊時,ECS實例可以隨機使用其他EIP訪問公網,最大程度保障業務的正常運行。避免出現在單EIP場景下,EIP故障導致的全業務中斷。
說明指定多個EIP配置至SNAT IP地址池時,業務連接會通過哈希算法分配到多個EIP,由于每個連接的流量不同,可能會出現多EIP業務流量不均勻的情況,建議您將每個EIP加入到同一個共享帶寬中以避免單EIP帶寬達到上限導致業務受損。具體操作,請參見加入與移出共享帶寬。
搭建提供公網服務的DNAT網關
您可以創建公網NAT網關,并為其綁定EIP,然后配置公網NAT網關的DNAT功能。配置成功后,VPC內的ECS實例可以通過端口映射或IP映射面向公網提供服務。
說明端口映射和IP映射的說明如下:
端口映射:公網NAT網關會將以指定協議和端口訪問EIP的請求轉發到目標ECS實例的指定協議和端口上。
IP映射:公網NAT網關會將所有訪問EIP的請求都轉發到目標ECS實例上,目標ECS實例也可以使用該公網IP主動訪問公網。如果公網NAT網關既配置了DNAT IP映射方式,又配置了SNAT條目,則ECS實例會優先通過DNAT IP映射方式的公網IP訪問公網。
多NAT網關高可用部署
您可以在VPC中的不同可用區創建多個公網NAT網關,當某個可用區公網NAT網關故障時,您部署在本可用區的服務可以通過其他可用區的公網NAT網關繼續工作。
使用說明
創建公網NAT網關時,您需要指定公網NAT網關要關聯的VPC和交換機。公網NAT網關創建成功后,建議您為公網NAT網關創建獨立的交換機,預留足夠的IP地址以便支持后續的網絡規劃。
公網NAT網關支持主備可用區容災,您創建時指定的交換機是主可用區所在的交換機,備可用區的交換機無需您在創建時選擇。
公網NAT網關的創建流程,請參見購買公網NAT網關。
通過組合購買公網NAT網關和EIP的方式,將創建的EIP自動綁定到創建的公網NAT網關。具體操作,請參見VPC全通模式組合購買公網NAT網關和彈性公網IP。
公網NAT網關默認提供的流量處理能力是5 Gbps,可根據業務變化自動彈性至15 Gbps,如果需要更大的流量處理能力、新建連接速率和并發連接數,請聯系客戶經理申請。
指標 新建連接速率 并發連接數 處理流量 默認指標 10萬 200萬 5 Gbps,可自動彈性至15 Gbps 涉及以上指標的含義如下:- 新建連接速率:每秒處理的新建連接數量。
- 并發連接數:每分鐘內并發連接的數量。
- 處理流量:每小時的總處理流量(包括入流量和出流量)。
使用限制
實例限制
資源 | 默認限制 | 提升配額 |
一個VPC支持創建的公網NAT網關的數量 | 5個。 | |
一個公網NAT網關支持綁定EIP的數量 | 20個。 說明 從2022年09月19日起,新創建的公網NAT網關綁定一個EIP時將占用NAT網關所在交換機的一個私網IP (已有NAT網關實例不受影響),請確保NAT網關所在交換機內私網IP地址充足,如果NAT網關所在的交換機沒有可用的空閑私網地址時,將無法綁定新的EIP。 | |
VPC中存在目標網段為0.0.0.0/0的自定義路由,是否支持在該VPC創建公網NAT網關 | 支持。 | 不涉及。 |
SNAT限制
資源 | 默認限制 | 提升配額 |
一個公網NAT網關支持創建SNAT條目的數量 | 40個。 | |
以交換機粒度創建SNAT條目后,訪問公網的帶寬是否會受到EIP帶寬峰值的限制 | 是。 說明 如果與公網NAT網關綁定的EIP加入到共享帶寬中,則訪問公網的帶寬會受到共享帶寬的帶寬峰值的限制。 | 不涉及。 |
SNAT條目中IP數量對公網NAT網關最大并發連接數的限制 | 當VPC內無公網IP的ECS實例通過公網NAT網關訪問公網上同一個目的IP和端口時,NAT網關的最大并發連接數為N×55000,其中N是SNAT條目配置的EIP數量。 | |
SNAT條目IP帶寬限制 | 創建SNAT條目時配置多個EIP,業務連接會通過哈希算法分配到多個EIP,由于每個連接的流量不同,可能出現多EIP的業務流量不均勻,建議您將每個EIP都加入到同一個共享帶寬中以避免單EIP帶寬達到上限導致業務受損。加入SNAT IP地址池的EIP的最大帶寬沒有限制。 具體操作,請參見創建SNAT IP地址池。 |
DNAT限制
資源 | 默認限制 | 提升配額 |
一個公網NAT網關支持創建的DNAT條目的數量 | 100個。 | |
是否支持為綁定了EIP的ECS實例創建DNAT條目 | 單彈性網卡不支持。 如需為該ECS實例創建DNAT條目,請先將ECS實例與EIP解綁,然后再為該ECS實例創建DNAT條目。具體操作,請參見將EIP與云資源解綁和創建和管理DNAT條目。 說明 如果存量ECS實例綁定了EIP,且處于公網NAT網關的DNAT條目中,則ECS實例優先通過綁定的EIP進行公網通信。 | 不涉及。 |
是否支持為持有固定公網IP的ECS實例創建DNAT條目 | 單彈性網卡不支持。 如需為該ECS實例創建DNAT條目,請先將ECS實例的固定公網IP轉換為EIP,然后將ECS實例與EIP解綁,最后再為該ECS實例創建DNAT條目。關于如何將固定公網IP轉換為EIP,請參見專有網絡ECS實例的固定公網IP轉換為EIP。 說明 如果存量ECS實例持有固定公網IP,且處于公網NAT網關的DNAT條目中,則ECS實例優先通過固定公網IP進行公網通信。 | 不涉及。 |