nat网关是什么
nat网关,即NAT Gateway,是提供网络地址转换服务的产品。分为公网NAT网关和VPC NAT网关。公网NAT网关提供公网地址转换服务,而VPC NAT网关提供私网地址转换服务,您可以根据业务需求灵活选择。
公网NAT网关
公网NAT网关是一款企业级针对公网访问的安一些平台关产品,提供NAT代理(SNAT和DNAT)功能,具有100 Gbps的转发能力及跨可用区的容灾能力。
背景信息
- 如果您的云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网上从而有被攻击的风险,您可以选用公网NAT网关为您的业务提供安全防护能力。
- 如果您的业务具有突增的访问公网的流量需求,您可以选用公网NAT网关为您提供灵活和弹性的扩容能力,并且只需要按使用量付费,节省企业成本。
- 如果您有大量访问公网的机器,您可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。
产品功能
公网NAT网关支持SNAT和DNAT功能,功能说明如下:
使用规则
- 公网NAT网关要求您在创建时选择一个VPC,并且需要指定VPC内的交换机,建议您为NAT网关创建独立的交换机,以便支持后续网络的规划。
- 公网NAT网关会从您指定的交换机中分配一个弹性网卡ENI(Elastic Network Interface),该ENI会关联创建一个安全组,此安全组您可以查看但是无法修改。更多信息,请参见弹性网卡概述。
- 公网NAT网关默认的吞吐能力是5 Gbps,如果需要更大的吞吐能力,请提交工单。
- 公网NAT网关支持多可用区容灾,您创建时指定的交换机是主可用区所在的交换机,备可用区的交换机无需您在创建时选择。
使用场景
1、搭建访问公网服务的SNAT网关
您可以创建公网NAT网关,并为其绑定EIP,然后通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。具体操作,请参见使用SNAT访问公网。
您也可以为公网NAT网关绑定多个EIP,绑定成功后,ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行。避免出现在单EIP场景下,EIP故障导致的全业务中断。
2、搭建提供公网服务的DNAT网关
您可以创建公网NAT网关,并为其绑定EIP,然后配置公网NAT网关的DNAT功能。配置成功后,VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。具体操作,请参见通过DNAT实现主机面向公网提供服务。
3、共享公网带宽
如果部署在ECS实例的应用需要面向公网提供服务,您需要为该应用购买公网带宽。为了应对业务流量可能发生的变化,在购买公网带宽时需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时,为每个应用购买冗余带宽会造成资源和成本的浪费。
您可以创建NAT网关,并为NAT网关绑定EIP,然后将绑定到NAT网关的EIP加入到同一共享带宽中,不仅可以帮助您统一管理和监控公网流量,还可以帮助您降低公网带宽使用成本。
VPC NAT网关
VPC NAT网关能够为VPC内的ECS实例提供网络地址转换服务,使多个ECS实例可以通过中转私网地址(即NAT IP地址)访问您的本地IDC或其他VPC。ECS实例也可以通过使用VPC NAT网关的中转私网地址对外提供私网访问服务。
产品功能
VPC NAT网关支持SNAT和DNAT功能,功能说明如下:
使用规则
- VPC NAT网关要求您在创建时选择VPC,并且需要指定VPC内的交换机。为了便于路由配置,建议您使用独立交换机。
- NAT IP地址是在SNAT功能或DNAT功能中用于源或目的地址转换的IP地址。VPC NAT网关创建成功后,系统会使用VPC NAT网关所在交换机的网段作为默认NAT IP地址段,使用默认NAT IP地址段中的一个IP地址作为默认NAT IP地址。您可以在默认地址段中添加NAT IP地址,也可以新建地址段并添加NAT IP地址。
使用场景
1、混合云使用指定地址互访场景
随着金融证券行业云上业务规模的扩大,多网络间进行私网互通时,会遇到被监控机构要求使用固定私网地址访问的场景。您可以使用VPC NAT网关的SNAT功能和DNAT功能实现固定私网地址访问的场景。
2、VPC互访地址冲突
由于早期网络规划或业务合并,可能存在云上需要互通的两个业务VPC地址冲突的情况。您可以为两个业务VPC各配置一个VPC NAT网关并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能将源地址转换为VPC NAT网关的中转地址,被访问的业务VPC通过DNAT功能使用VPC NAT网关的中转私网地址对外提供私网服务,从而实现地址冲突的两个业务VPC互访。
NAT网关产品优势
NAT网关拥有以下优势:
安全防护
NAT网关的SNAT功能具有安全防护的能力,只有当VPC内的ECS实例主动访问外部才可以建立连接进行通信,而外部无法主动访问VPC内的ECS实例。SNAT功能会屏蔽VPC内ECS实例对外的端口,保护VPC内的ECS实例免受外部的入侵和攻击。
高性能
NAT网关是基于阿里云自研分布式网关,使用SDN技术推出的一款虚拟网络硬件。NAT网关支持100 Gbps的转发能力,为大规模公网应用提供支撑。
节约成本
NAT网关的规格、EIP的规格和个数均可以随时升降,轻松应对业务变化,同时NAT网关还可以按使用量计费。
区域高可用性
NAT网关跨可用区部署,可用性高。单个可用区的故障都不会影响NAT网关的业务连续性。
最后,推荐我们的管理工具给大家。