公网NAT网关
公网NAT网关是一款阿里云全托管的网络地址转换网关,通过转换和隐藏云服务地址,防止地址直接暴露,实现安全访问互联网,提升网络安全性。公网NAT网关还具有自动弹性、高性能、高可用、灵活计费等特性,可以帮助您更好地管理公网访问流量。
背景信息
公网NAT网关的网络拓扑如下图所示。您可以选用公网NAT网关,满足您以下业务场景需求:
如果您的云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网上从而有被攻击的风险,您可以选用公网NAT网关为业务提供安全防护能力。
如果您的业务具有突增的访问公网的流量需求,您可以选用公网NAT网关为您提供灵活和弹性的扩容能力,并且只需要按使用量付费,节省企业成本。
如果您有大量访问公网的机器,您可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。
为什么选择公网NAT网关
选择公网NAT网关,您可以使业务运行具有以下特性:
安全
避免地址对外暴露,通过SNAT规则限制入向连接,精细化出向规则管控。
弹性高性能
自动弹性伸缩,随业务弹性扩容,满足流量陡增;超高性能,满足超大业务上云需求。
稳定高可用
支持主备可用区容灾,可用区级别故障时仍能保障业务运行,实现业务高可用。
灵活计费
按量付费,降低使用成本;共享公网IP资源,节省公网带宽和IP持有成本。
深度可观测
丰富多维度的流量监控指标,支持会话日志、VPC流日志,满足用户合规、运维诉求。
产品功能
功能 | 说明 | 相关文档 |
SNAT | 为专有网络VPC(Virtual Private Cloud)内无公网IP的云服务资源提供访问公网的代理服务。 | |
DNAT | 将公网NAT网关上绑定的弹性公网IP(Elastic IP Address,简称EIP)映射给VPC内的ECS实例或不具备公网IP的云服务资源使用,使其可以面向公网提供服务。 | - |
自动弹性 | 公网NAT网关支持自动弹性伸缩,随业务弹性扩容。公网NAT网关默认提供5 Gbps的流量处理能力,10万/秒的新建连接速率,200万/分的并发连接数,其中流量处理能力可根据业务变化自动弹性至15 Gbps。 | |
主备可用区容灾 | 公网NAT网关现已支持主备可用区容灾,其中备可用区由阿里云选择。当主可用区发生故障导致实例流量全部丢失时,系统会自动触发主备切换,实现备可用区的容灾,整个切换过程最长不超过10分钟。如果您需要更高的容灾能力,建议根据业务需求部署多个NAT网关,以获得更高的业务可靠性。 | - |
会话日志 | NAT网关支持会话日志能力,当您为NAT网关创建SNAT条目,有流量经过NAT网关时,SNAT会话将以日志的形式进行记录,便于您进行溯源和监控。 | |
丰富的监控指标 | 公网NAT网关支持查看26个监控指标,可以实时监控公网NAT网关实例的运行情况,帮您提高业务的稳定性。 |
应用场景
搭建访问公网服务的SNAT网关
您可以创建公网NAT网关,并为其绑定EIP,然后通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。具体操作,请参见使用公网NAT网关SNAT功能访问互联网。
您也可以为公网NAT网关绑定多个EIP,绑定成功后,ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行。避免出现在单EIP场景下,EIP故障导致的全业务中断。
说明指定多个EIP配置至SNAT IP地址池时,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议您将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。具体操作,请参见加入与移出共享带宽。
搭建提供公网服务的DNAT网关
您可以创建公网NAT网关,并为其绑定EIP,然后配置公网NAT网关的DNAT功能。配置成功后,VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。
说明端口映射和IP映射的说明如下:
端口映射:公网NAT网关会将以指定协议和端口访问EIP的请求转发到目标ECS实例的指定协议和端口上。
IP映射:公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。
多NAT网关高可用部署
您可以在VPC中的不同可用区创建多个公网NAT网关,当某个可用区公网NAT网关故障时,您部署在本可用区的服务可以通过其他可用区的公网NAT网关继续工作。
使用说明
创建公网NAT网关时,您需要指定公网NAT网关要关联的VPC和交换机。公网NAT网关创建成功后,建议您为公网NAT网关创建独立的交换机,预留足够的IP地址以便支持后续的网络规划。
公网NAT网关支持主备可用区容灾,您创建时指定的交换机是主可用区所在的交换机,备可用区的交换机无需您在创建时选择。
公网NAT网关的创建流程,请参见购买公网NAT网关。
通过组合购买公网NAT网关和EIP的方式,将创建的EIP自动绑定到创建的公网NAT网关。具体操作,请参见VPC全通模式组合购买公网NAT网关和弹性公网IP。
公网NAT网关默认提供的流量处理能力是5 Gbps,可根据业务变化自动弹性至15 Gbps,如果需要更大的流量处理能力、新建连接速率和并发连接数,请联系客户经理申请。
指标 新建连接速率 并发连接数 处理流量 默认指标 10万 200万 5 Gbps,可自动弹性至15 Gbps 涉及以上指标的含义如下:- 新建连接速率:每秒处理的新建连接数量。
- 并发连接数:每分钟内并发连接的数量。
- 处理流量:每小时的总处理流量(包括入流量和出流量)。
使用限制
实例限制
资源 | 默认限制 | 提升配额 |
一个VPC支持创建的公网NAT网关的数量 | 5个。 | |
一个公网NAT网关支持绑定EIP的数量 | 20个。 说明 从2022年09月19日起,新创建的公网NAT网关绑定一个EIP时将占用NAT网关所在交换机的一个私网IP (已有NAT网关实例不受影响),请确保NAT网关所在交换机内私网IP地址充足,如果NAT网关所在的交换机没有可用的空闲私网地址时,将无法绑定新的EIP。 | |
VPC中存在目标网段为0.0.0.0/0的自定义路由,是否支持在该VPC创建公网NAT网关 | 支持。 | 不涉及。 |
SNAT限制
资源 | 默认限制 | 提升配额 |
一个公网NAT网关支持创建SNAT条目的数量 | 40个。 | |
以交换机粒度创建SNAT条目后,访问公网的带宽是否会受到EIP带宽峰值的限制 | 是。 说明 如果与公网NAT网关绑定的EIP加入到共享带宽中,则访问公网的带宽会受到共享带宽的带宽峰值的限制。 | 不涉及。 |
SNAT条目中IP数量对公网NAT网关最大并发连接数的限制 | 当VPC内无公网IP的ECS实例通过公网NAT网关访问公网上同一个目的IP和端口时,NAT网关的最大并发连接数为N×55000,其中N是SNAT条目配置的EIP数量。 | |
SNAT条目IP带宽限制 | 创建SNAT条目时配置多个EIP,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能出现多EIP的业务流量不均匀,建议您将每个EIP都加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。加入SNAT IP地址池的EIP的最大带宽没有限制。 具体操作,请参见创建SNAT IP地址池。 |
DNAT限制
资源 | 默认限制 | 提升配额 |
一个公网NAT网关支持创建的DNAT条目的数量 | 100个。 | |
是否支持为绑定了EIP的ECS实例创建DNAT条目 | 单弹性网卡不支持。 如需为该ECS实例创建DNAT条目,请先将ECS实例与EIP解绑,然后再为该ECS实例创建DNAT条目。具体操作,请参见将EIP与云资源解绑和创建和管理DNAT条目。 说明 如果存量ECS实例绑定了EIP,且处于公网NAT网关的DNAT条目中,则ECS实例优先通过绑定的EIP进行公网通信。 | 不涉及。 |
是否支持为持有固定公网IP的ECS实例创建DNAT条目 | 单弹性网卡不支持。 如需为该ECS实例创建DNAT条目,请先将ECS实例的固定公网IP转换为EIP,然后将ECS实例与EIP解绑,最后再为该ECS实例创建DNAT条目。关于如何将固定公网IP转换为EIP,请参见专有网络ECS实例的固定公网IP转换为EIP。 说明 如果存量ECS实例持有固定公网IP,且处于公网NAT网关的DNAT条目中,则ECS实例优先通过固定公网IP进行公网通信。 | 不涉及。 |