NAT网关(NAT Gateway)是一款企业级的公网网关,提供NAT代理(SNAT和DNAT)、高达10 Gbps级别转发能力以及跨可用区的容灾能力。

NAT网关图解

网关类型

NAT网关支持普通型NAT网关和增强型NAT网关。增强型NAT网关在普通型NAT网关的技术架构上作了升级,具有更优的弹性和更强的稳定性,帮助您更好的管理公网访问流量。

增强型NAT网关与普通型NAT网关的对比如下表所示。
表 1. 功能对比
功能项 增强型NAT网关 普通型NAT网关 相关文档
同VPC多NAT网关 支持 不支持 创建NAT网关
NAT网关关联交换机 支持 不支持
按使用量计费 支持 不支持 按使用量计费
按小时计费周期 支持 不支持 按量付费
处理TCP、UDP和ICMP分片包 支持 不支持
监控指标 22个 4个 查看监控
网关流量监控(TOP ECS) 支持 不支持 查看网关流量监控
NAT网关绑定多EIP 支持 支持 绑定EIP
SNAT功能 支持 支持 SNAT概述
一个SNAT列表创建多条SNAT条目 支持 支持 创建SNAT条目
一个SNAT列表绑定多个EIP 支持 支持
DNAT功能 支持 支持 DNAT概述
DNAT支持端口映射 支持 支持 创建DNAT条目
DNAT支持IP映射 支持 支持
包年包月计费 支持 支持 包年包月
按天的计费周期 不支持 支持 按量付费
表 2. 限制对比
限制项 增强型NAT网关 普通型NAT网关
一个VPC支持创建的NAT网关的数量 5个(可提交工单提升配额) 1个(无法调整)
一个公网IP是否支持同时用于SNAT表和DNAT表 白名单支持。如需使用,请提交工单 不支持(无法调整)
一个NAT网关支持添加的DNAT条目的数量 100个(可自助提升配额。具体操作,请参见管理配额 100个(可自助提升配额。具体操作,请参见管理配额
一个NAT网关支持添加的SNAT条目的数量 40个(可自助提升配额。具体操作,请参见管理配额 40个(可自助提升配额。具体操作,请参见管理配额
一个SNAT条目支持关联的公网IP的数量 64个(无法调整) 64个(无法调整)
VPC中存在目标网段为0.0.0.0/0的自定义路由,是否支持为该VPC创建NAT网关 支持 不支持(必须删除0.0.0.0/0的自定义路由后,才支持为该VPC创建NAT网关)
交换机添加SNAT条目后,是否会受到EIP带宽峰值的限制 是(如果EIP已加入到共享带宽中,则交换机会受到共享带宽的带宽峰值的限制) 是(如果EIP已加入到共享带宽中,则交换机会受到共享带宽的带宽峰值的限制)
一个NAT网关支持绑定的EIP的数量 20个(可自助提升配额。具体操作,请参见管理配额 20个(可自助提升配额。具体操作,请参见管理配额
一个NAT网关支持绑定的按流量计费EIP的数量 10个(可自助提升配额。具体操作,请参见管理配额 10个(可自助提升配额。具体操作,请参见管理配额
NAT网关绑定的按流量计费EIP的最大带宽峰值 200 Mbps(无法调整) 200 Mbps(无法调整)
一个NAT网关实例的最大带宽限制 5 Gbps(如果绑定的EIP或者共享带宽的总带宽大于5 Gbps,请提交工单提升配额) NAT网关实例本身没有带宽限制,带宽限制取决于绑定到SNAT或DNAT规则中的EIP及EIP加入的共享带宽的带宽限制

例如:一个NAT网关创建了一个SNAT规则,SNAT规则绑定了5个按流量计费的EIP和2个500 Mbps的按带宽计费EIP,则该NAT网关的带宽限制为5*200 Mbps+2*500 Mbps=2000 Mbps,如果这7个EIP加入到同一个共享带宽,共享带宽的带宽限制为1000 Mbps,则NAT网关的带宽限制为1000 Mbps

一个EIP的最大并发数为55000
共享带宽中的单个EIP的峰值限制为200 Mbps
NAT带宽包用户不能绑定EIP
变配NAT网关关联的共享带宽的带宽峰值时,导致业务闪断(变配包括小于1 Gbps带宽峰值变配到大于1 Gbps带宽峰值或大于1 Gbps带宽峰值变配到小于1 Gbps带宽峰值)
存量的SNAT条目中减少IP数量导致业务闪断
存量的SNAT条目中增加IP数量导致业务闪断

实例规格

NAT网关提供小型、中性、大型和超大型-1规格。不同规格的NAT网关会影响SNAT最大连接数和SNAT每秒新建连接数,但不会影响DNAT性能。不同规格的NAT网关的对比如下表所示。
规格 SNAT最大连接数 SNAT每秒新建连接数
小型 1万 1千
中型 5万 5千
大型 20万 1万
超大型-1 100万 5万
在选择NAT网关规格时,请注意:
  • NAT网关的规格与共享带宽包的带宽大小、IP个数之间没有相互制约关系。
  • NAT网关在云监控控制台只提供最大连接数监控,不提供每秒新建连接数监控。
  • NAT网关SNAT的连接超时时间为900秒。
  • 为避免网络拥塞、公网抖动可能造成的SNAT连接超时,请确保您的业务应用有自动重连机制,这样可以提供更高的可用性。
  • NAT网关暂不支持报文分片。
  • 对于公网上同一个目的IP和端口,NAT网关配置的EIP数限制NAT网关的最大并发数,绑定单个EIP最大连接数为55000,绑定多个EIP可以提升为N*55000。
  • 当VPC内无公网IP的ECS实例通过NAT网关访问公网上同一个目的IP和端口的带宽大于2 Gbps时,建议您为NAT网关绑定4~8个公网IP并构建SNAT IP池,避免单个公网IP的端口数量限制可能产生的丢包。