什麼是公網NAT Gateway -

公網NAT Gateway是一款阿里雲全託管的網路位址轉譯網關，通過轉換和隱藏雲端服務地址，防止地址直接暴露，實現安全訪問互連網，提升網路安全性。公網NAT Gateway還具有自動彈性、高效能、高可用、靈活計費等特性，可以協助您更好地管理公網訪問流量。

背景資訊

公網NAT Gateway的網路拓撲如下圖所示。您可以選用公網NAT Gateway，滿足您以下業務情境需求：

如果您的雲上網路只希望主動訪問公網上的業務，而不希望雲上的業務直接暴露在公網上從而有被攻擊的風險，您可以選用公網NAT Gateway為業務提供安全防護能力。
如果您的業務具有突增的訪問公網的流量需求，您可以選用公網NAT Gateway為您提供靈活和彈性的擴容能力，並且只需要按使用量付費，節省企業成本。
如果您有大量訪問公網的機器，您可以通過公網NAT Gateway統一公網出口，並通過公網NAT Gateway準確和精細化的營運監控能力管理企業訪問公網的流量。

為什麼選擇公網NAT Gateway

選擇公網NAT Gateway，您可以使業務運行具有以下特性：

安全

避免地址對外暴露，通過SNAT規則限制入向串連，精細化出向規則管控。
彈性高效能

自動Auto Scaling，隨業務彈性擴容，滿足流量陡增；超高效能，滿足超大業務上雲需求。
穩定高可用

支援主備可用性區域容災，可用性區域層級故障時仍能保障業務運行，實現業務高可用。
靈活計費

隨用隨付，降低使用成本；共用公網IP資源，節省公網頻寬和IP持有成本。
深度可觀測

豐富多維度流量監控指標，支援會話日誌、VPC流日誌，滿足使用者合規、營運訴求。

產品功能

功能	說明	相關文檔
SNAT	為Virtual Private Cloud（Virtual Private Cloud）內無公網IP的雲端服務資源提供訪問公網的代理服務。	使用公網NAT GatewaySNAT功能訪問互連網公網NAT Gateway對已有公網IP的ECS執行個體有什麼影響？
DNAT	將公網NAT Gateway上綁定的Elastic IP Address（Elastic IP Address，簡稱EIP）映射給VPC內的ECS執行個體或不具備公網IP的雲端服務資源使用，使其可以面向公網提供服務。	通過公網NAT GatewayDNAT功能實現ECS對外提供服務
自動彈性	公網NAT Gateway支援自動Auto Scaling，隨業務彈性擴容。公網NAT Gateway預設提供5 Gbps的流量處理能力，10萬/秒的建立串連速率，200萬/分的並發串連數，其中流量處理能力可根據業務變化自動彈性至15 Gbps。	使用說明
主備可用性區域容災	公網NAT Gateway現已支援主備可用性區域容災，其中備可用性區域由阿里雲選擇。當主可用性區域發生故障導致執行個體流量全部丟失時，系統會自動觸發主備切換，實現備可用性區域的容災，整個切換過程最長不超過10分鐘。如果您需要更高的容災能力，建議根據業務需求部署多個NAT Gateway，以獲得更高的業務可靠性。	-
會話日誌	NAT Gateway支援會話日誌能力，當您為NAT Gateway建立SNAT條目，有流量經過NAT Gateway時，SNAT會話將以日誌的形式進行記錄，便於您進行溯源和監控。	會話日誌
豐富的監控指標	公網NAT Gateway支援查看26個監控指標，可以即時監控公網NAT Gateway執行個體的運行情況，幫您提高業務的穩定性。	公網NAT Gateway監控與營運

應用情境

搭建訪問公網服務的SNAT Gateway
您可以建立公網NAT Gateway，並為其綁定EIP，然後通過公網NAT Gateway的SNAT功能，實現VPC內的多個ECS執行個體共用EIP上網，節省公網IP資源。具體操作，請參見使用公網NAT GatewaySNAT功能訪問互連網。
您也可以為公網NAT Gateway綁定多個EIP，綁定成功後，ECS執行個體會隨機通過SNAT位址集區中的EIP訪問公網。當其中一個EIP被攻擊時，ECS執行個體可以隨機使用其他EIP訪問公網，最大程度保障業務的正常運行。避免出現在單EIP情境下，EIP故障導致的全業務中斷。
說明
指定多個EIP配置至SNAT IP位址集區時，Business Connectivity會通過雜湊演算法分配到多個EIP，由於每個串連的流量不同，可能會出現多EIP業務流量不均勻的情況，建議您將每個EIP加入到同一個共用頻寬中以避免單EIP頻寬達到上限導致業務受損。具體操作，請參見加入與移出共用頻寬。
搭建提供公網服務的DNAT Gateway
您可以建立公網NAT Gateway，並為其綁定EIP，然後配置公網NAT Gateway的DNAT功能。配置成功後，VPC內的ECS執行個體可以通過連接埠映射或IP映射面向公網提供服務。具體操作，請參見通過公網NAT GatewayDNAT功能實現ECS對外提供服務。
說明
連接埠映射和IP映射的說明如下：
- 連接埠映射：公網NAT Gateway會將以指定協議和連接埠訪問EIP的請求轉寄到目標ECS執行個體的指定協議和連接埠上。
- IP映射：公網NAT Gateway會將所有訪問EIP的請求都轉寄到目標ECS執行個體上，目標ECS執行個體也可以使用該公網IP主動訪問公網。如果公網NAT Gateway既配置了DNAT IP映射方式，又配置了SNAT條目，則ECS執行個體會優先通過DNAT IP映射方式的公網IP訪問公網。
多NAT Gateway高可用部署
您可以在VPC中的不同可用性區域建立多個公網NAT Gateway，當某個可用性區域公網NAT Gateway故障時，您部署在本可用性區域的服務可以通過其他可用性區域的公網NAT Gateway繼續工作。

使用說明

建立公網NAT Gateway時，您需要指定公網NAT Gateway要關聯的VPC和交換器。公網NAT Gateway建立成功後，建議您為公網NAT Gateway建立獨立的交換器，預留足夠的IP地址以便支援後續的網路規劃。
- 公網NAT Gateway支援主備可用性區域容災，您建立時指定的交換器是主可用性區域所在的交換器，備可用性區域的交換器無需您在建立時選擇。
- 公網NAT Gateway的建立流程，請參見購買公網NAT Gateway。
公網NAT Gateway預設提供的流量處理能力是5 Gbps，可根據業務變化自動彈性至15 Gbps，如果需要更大的流量處理能力、建立串連速率和並發串連數，請聯絡客戶經理申請。
指標 建立串連速率 並發串連數 處理流量
預設指標 10萬 200萬 5 Gbps，可自動彈性至15 Gbps
涉及以上指標的含義如下：
- 建立串連速率：每秒處理的建立串連數量。
- 並發串連數：每分鐘內並發串連的數量。
- 處理流量：每小時的總處理流量（包括入流量和出流量）。

使用限制

執行個體限制

資源	預設限制	提升配額
一個VPC支援建立的公網NAT Gateway的數量	5個。	您可以通過以下任意方式自助提升配額：前往配額管理頁面提升配額，更多資訊，請參見管理NAT Gateway配額。前往配額中心提升配額。更多資訊，請參見建立配額提升申請。
一個公網NAT Gateway支援綁定EIP的數量	20個。說明從2022年09月19日起，新建立的公網NAT Gateway綁定一個EIP時將佔用NAT Gateway所在交換器的一個私網IP （已有NAT Gateway執行個體不受影響），請確保NAT Gateway所在交換器內私網IP地址充足，如果NAT Gateway所在的交換器沒有可用的空閑私網地址時，將無法綁定新的EIP。	您可以通過以下任意方式自助提升配額：前往配額管理頁面提升配額，更多資訊，請參見管理NAT Gateway配額。前往配額中心提升配額。更多資訊，請參見建立配額提升申請。
VPC中存在目標網段為0.0.0.0/0的自訂路由，是否支援在該VPC建立公網NAT Gateway	支援。	不涉及。

SNAT限制

資源	預設限制	提升配額
一個公網NAT Gateway支援建立SNAT條目的數量	40個。	您可以通過以下任意方式自助提升配額：前往配額管理頁面提升配額，更多資訊，請參見管理NAT Gateway配額。前往配額中心提升配額。更多資訊，請參見建立配額提升申請。
以交換器粒度建立SNAT條目後，訪問公網的頻寬是否會受到EIP頻寬峰值的限制	是。說明如果與公網NAT Gateway綁定的EIP加入到共用頻寬中，則訪問公網的頻寬會受到共用頻寬的頻寬峰值的限制。	不涉及。
SNAT條目中IP數量對公網NAT Gateway最大並發串連數的限制	當VPC內無公網IP的ECS執行個體通過公網NAT Gateway訪問公網上同一個目的IP和連接埠時，NAT Gateway的最大並發串連數為N×55000，其中N是SNAT條目配置的EIP數量。
SNAT條目IP頻寬節流設定	建立SNAT條目時配置多個EIP，Business Connectivity會通過雜湊演算法分配到多個EIP，由於每個串連的流量不同，可能出現多EIP的業務流量不均勻，建議您將每個EIP都加入到同一個共用頻寬中以避免單EIP頻寬達到上限導致業務受損。加入SNAT IP位址集區的EIP的最大頻寬沒有限制。具體操作，請參見建立SNAT IP位址集區。

DNAT限制

資源	預設限制	提升配額
一個公網NAT Gateway支援建立的DNAT條目的數量	100個。	您可以通過以下任意方式自助提升配額：前往配額管理頁面提升配額，更多資訊，請參見管理NAT Gateway配額。前往配額中心提升配額。更多資訊，請參見建立配額提升申請。
是否支援為綁定了EIP的ECS執行個體建立DNAT條目	單彈性網卡不支援。如需為該ECS執行個體建立DNAT條目，請先將ECS執行個體與EIP解除綁定，然後再為該ECS執行個體建立DNAT條目。具體操作，請參見將EIP與雲資源解除綁定和建立和管理DNAT條目。說明如果存量ECS執行個體綁定了EIP，且處於公網NAT Gateway的DNAT條目中，則ECS執行個體優先通過綁定的EIP進行公網通訊。	不涉及。
是否支援為持有固定公網IP的ECS執行個體建立DNAT條目	單彈性網卡不支援。如需為該ECS執行個體建立DNAT條目，請先將ECS執行個體的固定公網IP轉換為EIP，然後將ECS執行個體與EIP解除綁定，最後再為該ECS執行個體建立DNAT條目。關於如何將固定公網IP轉換為EIP，請參見專用網路ECS執行個體的固定公網IP轉換為EIP。說明如果存量ECS執行個體持有固定公網IP，且處於公網NAT Gateway的DNAT條目中，則ECS執行個體優先通過固定公網IP進行公網通訊。	不涉及。

：什麼是公網NAT Gateway