NAT 网关(NAT Gateway)是阿里云全托管的网络地址转换网关,通过转换和隐藏云服务地址,防止地址直接暴露,提升网络安全性。
产品类型
公网 NAT 网关可以绑定 EIP 实现公网访问,VPC NAT 网关不支持。但 NAT 网关本身不决定流量的走向,仅负责地址转换。数据包是否会被发送到 NAT 网关,以及地址转换后流向何处,由 VPC 的路由表控制。
公网 NAT 网关 - 公网访问
公网 NAT 网关可以将 VPC 内的私网 IPv4 地址转换为 EIP,实现多服务器共享EIP访问公网。
服务器访问公网 使用公网 NAT 网关的 SNAT 功能,可实现多个 ECS 实例共享 EIP 访问公网,节省成本的同时提升安全性。  | 多 VPC 共用 NAT 访问公网 使用 VPC 对等连接或云企业网 CEN 实现 VPC 互连,可实现多个 VPC 共用公网 NAT 网关访问公网。  |
VPC NAT 网关 - 私网访问
VPC NAT 网关可以将 VPC 内的私网 IPv4 地址转换为 NAT IP,解决地址冲突网络的互访或满足使用指定地址访问的诉求。
私网冲突解决 网段重叠的 VPC 无法互连,可以使用 VPC NAT 网关对冲突的私网地址进行转换。  |
指定地址访问 金融证券等受监管行业,云上业务使用 VPC NAT 网关,确保通过固定的、指定的私网IP地址访问本地IDC。  |
性能与高可用
高可用能力
NAT 网关支持跨可用区容灾和单可用区容灾两种部署模式,创建时通过容灾类型选择。
当前支持单可用区容灾 NAT 网关的地域包括:德国(法兰克福)、英国(伦敦)。如需使用,请联系客户经理申请。
跨可用区容灾 NAT 网关跨可用区冗余部署,单可用区故障时自动容灾切换,适用于 ECS 等实例分布在多个可用区、需要共享同一 NAT 网关访问公网。  | 单可用区容灾 NAT网关部署在单一可用区内,只保障本可用区高可用,适用于业务集中在某一个可用区、使用独立 NAT 网关访问公网。  |
跨可用区容灾(默认) | 单可用区容灾 | |
部署方式 | 主备两个可用区各部署一套实例,备可用区由阿里云选择 | 仅在用户指定的可用区内部署,可用区内设备级冗余 |
容灾能力 | 可用区故障时自动切换 | 阿里云确保本可用区内的高可用能力 |
费用 | 基准价 | 实例费约为跨可用区的 50%,CU 费约为 80% |
适用场景 | ECS 等实例分布在多个可用区、需要共享同一 NAT 网关访问公网 | 业务集中在某一个可用区、使用独立 NAT 网关访问公网 |
自动弹性
NAT 网关提供跨可用区容灾和单可用区容灾两种部署模式,性能指标如下。
部署模式 | 性能指标 | 新建连接速率(CPS) | 吞吐量(包括入流量和出流量) | 并发连接数 | 包处理速率(PPS) |
跨可用区容灾 | 初始指标 | 2万 | 5 Gbps | 50万 | 80万 |
弹性上限 | 10万 | 15 Gbps | 200万 | 250万 | |
单可用区容灾 | 初始指标 | 2万 | 10 Gbps | 50万 | 80万 |
弹性上限 | 10万 | 20 Gbps | 200万 | 250万 |
当NAT网关的性能超过最大指标时,业务访问将面临丢包风险。如需更高性能,请联系商务经理进行申请。
在实际业务场景中,NAT网关的性能受到实例包长(网络数据包的平均大小)、连接类型(长连接或短连接)、网络架构等多种因素的影响。因此,实例的实际性能表现可能存在偏差。建议您结合自身业务特点,提前进行压力测试以评估实例性能,并合理配置监控项,以确保业务的平稳运行。