公网NAT网关是一款针对公网访问的企业级安全网关产品,提供NAT代理功能(SNAT和DNAT),具有100 Gbps的转发能力及跨可用区的容灾能力。公网NAT网关具有高性能、自动弹性、灵活计费、精细化运维等特性,可以帮助您更好地管理公网访问流量。

背景信息

公网NAT网关的网络拓扑如下图所示。您可以选用公网NAT网关,满足您以下业务场景需求:
  • 如果您的云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网上从而有被攻击的风险,您可以选用公网NAT网关为业务提供安全防护能力。
  • 如果您的业务具有突增的访问公网的流量需求,您可以选用公网NAT网关为您提供灵活和弹性的扩容能力,并且只需要按使用量付费,节省企业成本。
  • 如果您有大量访问公网的机器,您可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。
NAT网关图解

产品特性

  • 高性能
    具有较强的突发性能,并可通过工单提升更大性能,适应高并发业务场景。
  • 高可用
    支持多可用区容灾,某个可用区故障时仍能保障业务运行,实现业务高可用性。
  • 精细化运维
    展示TOP流量,精确定位突发流量的ECS;丰富多维度的流量监控指标。
  • 高弹性
    采用先进的技术架构,灵活的弹性能力满足企业脉冲流量的需求。

性能规格

公网NAT网关具有较强的突发性能(按使用量计费的公网NAT网关),并可通过工单提升更大性能。

规格 最大连接数 最大新建规格 吞吐量
默认规格 200万 10万 5 Gbps,可自动弹性至15 Gbps
提交工单最大可提升的额度 1000万 100万 100 Gbps

产品功能

功能 说明 相关文档
SNAT 为专有网络VPC(Virtual Private Cloud)内无公网IP的ECS实例提供访问公网的代理服务。 使用公网NAT网关SNAT功能访问互联网
DNAT 将公网NAT网关上绑定的弹性公网IP(Elastic IP Address,简称EIP)映射给VPC内的ECS实例使用,使ECS实例可以面向公网提供服务。 通过公网NAT网关DNAT功能实现ECS对外提供服务
丰富的监控指标 公网NAT网关支持查看22个监控指标,可以实时监控公网NAT网关实例的运行情况,帮您提高业务的稳定性。 公网NAT网关监控与运维
同VPC多公网NAT网关 同一个VPC内支持创建多个公网NAT网关,您可以通过不同的公网NAT网关转发去往不同目的地址的流量,并可以针对不同的公网NAT网关做不同的安全防护,实现更精细化地部署公网访问网络。

您也可以在不同的公网NAT网关上指定相同的SNAT(访问公网服务)或DNAT(提供公网服务)条目,然后通过配置路由来指定流量的网关出口。

注意
  • 新申请的公网NAT网关如果要接管已有公网NAT网关的流量,需要重新配置路由,在配置过程中会导致业务闪断,请注意在业务低峰时间做切换。
  • 当您在公网NAT实例上同时创建了SNAT和DNAT,VPC内的ECS实例通过该公网NAT实例的SNAT能力去访问同NAT实例内的DNAT服务时无法连通。如果您需要ECS实例去访问同一个VPC内的DNAT服务,建议您新建一个公网NAT网关,然后将DNAT和SNAT分别创建在不同的公网NAT网关实例上。
同VPC内多公网NAT网关部署方案

应用场景

  • 搭建访问公网服务的SNAT网关

    您可以创建公网NAT网关,并为其绑定EIP,然后通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。具体操作,请参见使用公网NAT网关SNAT功能访问互联网

    您也可以为公网NAT网关绑定多个EIP,绑定成功后,ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行。避免出现在单EIP场景下,EIP故障导致的全业务中断。
    说明 指定多个EIP配置至SNAT IP地址池时,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议您将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。具体操作,请参见加入与移出共享带宽
    搭建高可用的SNAT网关
  • 搭建提供公网服务的DNAT网关
    您可以创建公网NAT网关,并为其绑定EIP,然后配置公网NAT网关的DNAT功能。配置成功后,VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。具体操作,请参见通过公网NAT网关DNAT功能实现ECS对外提供服务
    说明 端口映射和IP映射的说明如下:
    • 端口映射:公网NAT网关会将以指定协议和端口访问EIP的请求转发到目标ECS实例的指定协议和端口上。
    • IP映射:公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。
    搭建提供公网服务的DNAT网关
  • 共享公网带宽

    如果部署在ECS实例的应用需要面向公网提供服务,您需要为该应用购买公网带宽。为了应对业务流量可能发生的变化,在购买公网带宽时需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时,为每个应用购买冗余带宽会造成资源和成本的浪费。

    您可以创建公网NAT网关,并为公网NAT网关绑定EIP,然后将绑定到公网NAT网关的EIP加入到同一共享带宽中,不仅可以帮助您统一管理和监控公网流量,还可以帮助您降低公网带宽使用成本。共享公网带宽

使用原则

  • 创建公网NAT网关时,您需要指定公网NAT网关要关联的VPC和交换机。公网NAT网关创建成功后,系统会为公网NAT网关分配一个交换机内的空闲私网IP地址。建议您为公网NAT网关创建独立的交换机,以便支持后续网络的规划。
    • 公网NAT网关支持多可用区容灾,您创建时指定的交换机是主可用区所在的交换机,备可用区的交换机无需您在创建时选择。
    • 公网NAT网关的创建流程,请参见购买公网NAT网关
    • 通过组合购买公网NAT网关和EIP的方式,将创建的EIP自动绑定到创建的公网NAT网关。具体操作,请参见VPC全通模式组合购买公网NAT网关和弹性公网IP
  • 公网NAT网关会从您指定的交换机中分配一个弹性网卡ENI(Elastic Network Interface),该ENI会关联创建一个安全组,此安全组您可以查看但是无法修改。更多信息,请参见弹性网卡概述
  • 公网NAT网关默认的吞吐能力是5 Gbps,可根据使用量弹性扩大至15 Gbps,如果需要更大的吞吐能力,请提交工单

使用限制

实例限制

资源 默认限制 提升配额
一个VPC支持创建的公网NAT网关的数量 5个。 提交工单
一个公网NAT网关支持绑定EIP的数量 20个。
您可以通过以下任意方式自助提升配额:
VPC中存在目标网段为0.0.0.0/0的自定义路由,是否支持在该VPC创建公网NAT网关 支持。 不涉及。

SNAT限制

资源 默认限制 提升配额
一个公网NAT网关支持创建SNAT条目的数量 40个。
您可以通过以下任意方式自助提升配额:
一个SNAT条目支持关联的EIP数量 64个。 无法提升配额。
以交换机粒度创建SNAT条目后,访问公网的带宽是否会受到EIP带宽峰值的限制 是。
说明 如果与公网NAT网关绑定的EIP加入到共享带宽中,则访问公网的带宽会受到共享带宽的带宽峰值的限制。
不涉及。
SNAT条目中IP数量对公网NAT网关最大并发连接数的限制 当VPC内无公网IP的ECS实例通过公网NAT网关访问公网上同一个目的IP和端口时,NAT网关的最大并发连接数为N×55000,其中N是SNAT条目配置的EIP数量。
SNAT条目IP带宽限制 创建SNAT条目时配置多个EIP,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能出现多EIP的业务流量不均匀,建议您将每个EIP都加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。加入SNAT IP地址池的EIP的最大带宽没有限制。

具体操作,请参见创建SNAT IP地址池

DNAT限制

资源 默认限制 提升配额
一个公网NAT网关支持创建的DNAT条目的数量 100个。
您可以通过以下任意方式自助提升配额:
是否支持为绑定了EIP的ECS实例创建DNAT条目 单弹性网卡不支持。

如需为该ECS实例创建DNAT条目,请先将ECS实例与EIP解绑,然后再为该ECS实例创建DNAT条目。具体操作,请参见解绑云资源创建和管理DNAT条目

说明 如果存量ECS实例绑定了EIP,且处于公网NAT网关的DNAT条目中,则ECS实例优先通过绑定的EIP进行公网通信。
不涉及。
是否支持为持有固定公网IP的ECS实例创建DNAT条目 单弹性网卡不支持。

如需为该ECS实例创建DNAT条目,请先将ECS实例的固定公网IP转换为EIP,然后将ECS实例与EIP解绑,最后再为该ECS实例创建DNAT条目。关于如何将固定公网IP转换为EIP,请参见专有网络ECS实例的固定公网IP转换为EIP

说明 如果存量ECS实例持有固定公网IP,且处于公网NAT网关的DNAT条目中,则ECS实例优先通过固定公网IP进行公网通信。
不涉及。

相关产品