全部產品
Search
文件中心

:什麼是公網NAT Gateway

更新時間:Oct 25, 2024

公網NAT Gateway是一款阿里雲全託管的網路位址轉譯網關,通過轉換和隱藏雲端服務地址,防止地址直接暴露,實現安全訪問互連網,提升網路安全性。公網NAT Gateway還具有自動彈性、高效能、高可用、靈活計費等特性,可以協助您更好地管理公網訪問流量。

背景資訊

公網NAT Gateway的網路拓撲如下圖所示。您可以選用公網NAT Gateway,滿足您以下業務情境需求:

  • 如果您的雲上網路只希望主動訪問公網上的業務,而不希望雲上的業務直接暴露在公網上從而有被攻擊的風險,您可以選用公網NAT Gateway為業務提供安全防護能力。

  • 如果您的業務具有突增的訪問公網的流量需求,您可以選用公網NAT Gateway為您提供靈活和彈性的擴容能力,並且只需要按使用量付費,節省企業成本。

  • 如果您有大量訪問公網的機器,您可以通過公網NAT Gateway統一公網出口,並通過公網NAT Gateway準確和精細化的營運監控能力管理企業訪問公網的流量。

為什麼選擇公網NAT Gateway

選擇公網NAT Gateway,您可以使業務運行具有以下特性:

  • 安全

    避免地址對外暴露,通過SNAT規則限制入向串連,精細化出向規則管控。

  • 彈性高效能

    自動Auto Scaling,隨業務彈性擴容,滿足流量陡增;超高效能,滿足超大業務上雲需求。

  • 穩定高可用

    支援主備可用性區域容災,可用性區域層級故障時仍能保障業務運行,實現業務高可用。

  • 靈活計費

    隨用隨付,降低使用成本;共用公網IP資源,節省公網頻寬和IP持有成本。

  • 深度可觀測

    豐富多維度流量監控指標,支援會話日誌、VPC流日誌,滿足使用者合規、營運訴求。

產品功能

功能

說明

相關文檔

SNAT

為Virtual Private Cloud(Virtual Private Cloud)內無公網IP的雲端服務資源提供訪問公網的代理服務。

使用公網NAT GatewaySNAT功能訪問互連網

公網NAT Gateway對已有公網IP的ECS執行個體有什麼影響?

DNAT

將公網NAT Gateway上綁定的Elastic IP Address(Elastic IP Address,簡稱EIP)映射給VPC內的ECS執行個體或不具備公網IP的雲端服務資源使用,使其可以面向公網提供服務。

-

自動彈性

公網NAT Gateway支援自動Auto Scaling,隨業務彈性擴容。公網NAT Gateway預設提供5 Gbps的流量處理能力,10萬/秒的建立串連速率,200萬/分的並發串連數,其中流量處理能力可根據業務變化自動彈性至15 Gbps。

使用說明

主備可用性區域容災

公網NAT Gateway現已支援主備可用性區域容災,其中備可用性區域由阿里雲選擇。當主可用性區域發生故障導致執行個體流量全部丟失時,系統會自動觸發主備切換,實現備可用性區域的容災,整個切換過程最長不超過10分鐘。如果您需要更高的容災能力,建議根據業務需求部署多個NAT Gateway,以獲得更高的業務可靠性。

-

會話日誌

NAT Gateway支援會話日誌能力,當您為NAT Gateway建立SNAT條目,有流量經過NAT Gateway時,SNAT會話將以日誌的形式進行記錄,便於您進行溯源和監控。

會話日誌(公測中)

豐富的監控指標

公網NAT Gateway支援查看26個監控指標,可以即時監控公網NAT Gateway執行個體的運行情況,幫您提高業務的穩定性。

公網NAT Gateway監控與營運

應用情境

  • 搭建訪問公網服務的SNAT Gateway

    您可以建立公網NAT Gateway,並為其綁定EIP,然後通過公網NAT Gateway的SNAT功能,實現VPC內的多個ECS執行個體共用EIP上網,節省公網IP資源。具體操作,請參見使用公網NAT GatewaySNAT功能訪問互連網

    您也可以為公網NAT Gateway綁定多個EIP,綁定成功後,ECS執行個體會隨機通過SNAT位址集區中的EIP訪問公網。當其中一個EIP被攻擊時,ECS執行個體可以隨機使用其他EIP訪問公網,最大程度保障業務的正常運行。避免出現在單EIP情境下,EIP故障導致的全業務中斷。

    說明

    指定多個EIP配置至SNAT IP位址集區時,Business Connectivity會通過雜湊演算法分配到多個EIP,由於每個串連的流量不同,可能會出現多EIP業務流量不均勻的情況,建議您將每個EIP加入到同一個共用頻寬中以避免單EIP頻寬達到上限導致業務受損。具體操作,請參見加入與移出共用頻寬

  • 搭建提供公網服務的DNAT Gateway

    您可以建立公網NAT Gateway,並為其綁定EIP,然後配置公網NAT Gateway的DNAT功能。配置成功後,VPC內的ECS執行個體可以通過連接埠映射或IP映射面向公網提供服務。

    說明

    連接埠映射和IP映射的說明如下:

    • 連接埠映射:公網NAT Gateway會將以指定協議和連接埠訪問EIP的請求轉寄到目標ECS執行個體的指定協議和連接埠上。

    • IP映射:公網NAT Gateway會將所有訪問EIP的請求都轉寄到目標ECS執行個體上,目標ECS執行個體也可以使用該公網IP主動訪問公網。如果公網NAT Gateway既配置了DNAT IP映射方式,又配置了SNAT條目,則ECS執行個體會優先通過DNAT IP映射方式的公網IP訪問公網。

  • 多NAT Gateway高可用部署

    您可以在VPC中的不同可用性區域建立多個公網NAT Gateway,當某個可用性區域公網NAT Gateway故障時,您部署在本可用性區域的服務可以通過其他可用性區域的公網NAT Gateway繼續工作。

使用說明

  • 建立公網NAT Gateway時,您需要指定公網NAT Gateway要關聯的VPC和交換器。公網NAT Gateway建立成功後,建議您為公網NAT Gateway建立獨立的交換器,預留足夠的IP地址以便支援後續的網路規劃。

    • 公網NAT Gateway支援主備可用性區域容災,您建立時指定的交換器是主可用性區域所在的交換器,備可用性區域的交換器無需您在建立時選擇。

    • 公網NAT Gateway的建立流程,請參見購買公網NAT Gateway

  • 公網NAT Gateway預設提供的流量處理能力是5 Gbps,可根據業務變化自動彈性至15 Gbps,如果需要更大的流量處理能力、建立串連速率和並發串連數,請聯絡客戶經理申請。

    指標建立串連速率並發串連數處理流量
    預設指標10萬200萬5 Gbps,可自動彈性至15 Gbps
    涉及以上指標的含義如下:
    • 建立串連速率:每秒處理的建立串連數量。
    • 並發串連數:每分鐘內並發串連的數量。
    • 處理流量:每小時的總處理流量(包括入流量和出流量)。

使用限制

執行個體限制

資源

預設限制

提升配額

一個VPC支援建立的公網NAT Gateway的數量

5個。

您可以通過以下任意方式自助提升配額:

一個公網NAT Gateway支援綁定EIP的數量

20個。

說明

從2022年09月19日起,新建立的公網NAT Gateway綁定一個EIP時將佔用NAT Gateway所在交換器的一個私網IP (已有NAT Gateway執行個體不受影響),請確保NAT Gateway所在交換器內私網IP地址充足,如果NAT Gateway所在的交換器沒有可用的空閑私網地址時,將無法綁定新的EIP。

您可以通過以下任意方式自助提升配額:

VPC中存在目標網段為0.0.0.0/0的自訂路由,是否支援在該VPC建立公網NAT Gateway

支援。

不涉及。

SNAT限制

資源

預設限制

提升配額

一個公網NAT Gateway支援建立SNAT條目的數量

40個。

您可以通過以下任意方式自助提升配額:

以交換器粒度建立SNAT條目後,訪問公網的頻寬是否會受到EIP頻寬峰值的限制

是。

說明

如果與公網NAT Gateway綁定的EIP加入到共用頻寬中,則訪問公網的頻寬會受到共用頻寬的頻寬峰值的限制。

不涉及。

SNAT條目中IP數量對公網NAT Gateway最大並發串連數的限制

當VPC內無公網IP的ECS執行個體通過公網NAT Gateway訪問公網上同一個目的IP和連接埠時,NAT Gateway的最大並發串連數為N×55000,其中N是SNAT條目配置的EIP數量。

SNAT條目IP頻寬節流設定

建立SNAT條目時配置多個EIP,Business Connectivity會通過雜湊演算法分配到多個EIP,由於每個串連的流量不同,可能出現多EIP的業務流量不均勻,建議您將每個EIP都加入到同一個共用頻寬中以避免單EIP頻寬達到上限導致業務受損。加入SNAT IP位址集區的EIP的最大頻寬沒有限制。

具體操作,請參見建立SNAT IP位址集區

DNAT限制

資源

預設限制

提升配額

一個公網NAT Gateway支援建立的DNAT條目的數量

100個。

您可以通過以下任意方式自助提升配額:

是否支援為綁定了EIP的ECS執行個體建立DNAT條目

單彈性網卡不支援。

如需為該ECS執行個體建立DNAT條目,請先將ECS執行個體與EIP解除綁定,然後再為該ECS執行個體建立DNAT條目。具體操作,請參見將EIP與雲資源解除綁定建立和管理DNAT條目

說明

如果存量ECS執行個體綁定了EIP,且處於公網NAT Gateway的DNAT條目中,則ECS執行個體優先通過綁定的EIP進行公網通訊。

不涉及。

是否支援為持有固定公網IP的ECS執行個體建立DNAT條目

單彈性網卡不支援。

如需為該ECS執行個體建立DNAT條目,請先將ECS執行個體的固定公網IP轉換為EIP,然後將ECS執行個體與EIP解除綁定,最後再為該ECS執行個體建立DNAT條目。關於如何將固定公網IP轉換為EIP,請參見專用網路ECS執行個體的固定公網IP轉換為EIP

說明

如果存量ECS執行個體持有固定公網IP,且處於公網NAT Gateway的DNAT條目中,則ECS執行個體優先通過固定公網IP進行公網通訊。

不涉及。

相關產品