VPC NAT Gateway是一款阿里雲全託管的網路位址轉譯網關,通過轉換雲端服務地址,滿足地址衝突網路互訪和指定地址訪問訴求。
背景資訊
VPC NAT Gateway可以解決私人網路互連問題,滿足以下業務情境:
如果您有兩個需要私網互連的VPC存在地址衝突時,可以通過為每個VPC配置具有不同中轉私網地址的VPC NAT Gateway,實現VPC間私網互連。
如果您需要實現雲上VPC和線下IDC進行私網互連,可以通過配置VPC NAT Gateway執行個體指定私網IP地址,使雲上VPC和雲下IDC實現安全私網互訪。
為什麼選擇VPC NAT Gateway
選擇VPC NAT Gateway,您可以使業務運行具有以下特性:
安全
避免地址對外暴露,通過SNAT規則限制入向串連,精細化出向規則管控。
彈性高效能
自動Auto Scaling,隨業務彈性擴容,滿足流量陡增;超高效能,滿足超大業務上雲需求。
穩定高可用
支援主備可用性區域容災,可用性區域層級故障時仍能保障業務運行,實現業務高可用。
靈活計費
支援隨用隨付,降低使用成本。
深度可觀測
豐富多維度流量監控指標,支援會話日誌、VPC流日誌,滿足使用者合規、營運訴求。
產品功能
VPC NAT Gateway支援SNAT和DNAT功能,功能說明如下:
功能 | 說明 |
SNAT功能 | 通過NAT IP地址為VPC內的雲端服務資源提供訪問外部私人網路代理程式服務。 |
DNAT功能 | 通過將NAT IP地址和連接埠映射轉換為VPC內雲端服務資源的IP和連接埠,使雲端服務資源對外提供私網訪問服務。 |
NAT Gateway支援自動Auto Scaling,能夠根據使用者業務流量的變化動態調整效能指標。 | |
主備可用性區域容災 | NAT Gateway支援主備可用性區域容災,其中備可用性區域由阿里雲選擇。當主可用性區域發生故障導致執行個體流量全部丟失時,系統會自動觸發主備切換,實現備可用性區域的容災,整個切換過程最長不超過10分鐘。如果您需要更高的容災能力,建議根據業務需求部署多個NAT Gateway,以獲得更高的業務可靠性。 |
NAT Gateway支援會話日誌能力,當您為NAT Gateway建立SNAT條目,有流量經過NAT Gateway時,SNAT會話將以日誌的形式進行記錄,便於您進行溯源和監控。 | |
豐富的監控指標 | VPC NAT Gateway支援查看多個監控指標,可以即時監控VPC NAT Gateway執行個體的運行情況,幫您提高業務的穩定性。 |
應用情境
混合雲使用指定地址互訪情境
隨著金融證券行業雲上業務規模的擴大,多網路間進行私網互連時,會遇到被監控機構要求使用固定私網地址訪問的情境。您可以使用VPC NAT Gateway的SNAT功能和DNAT功能實現固定私網地址訪問的情境。
VPC互訪地址衝突
由於早期網路規劃擴充性不足或後期的業務合并,雲上可能存在需要互連的兩個業務VPC地址衝突的情況。您可以為兩個業務VPC各配置一個VPC NAT Gateway並配置兩個不衝突的中轉私網地址。主動訪問的業務VPC使用SNAT功能將源地址轉換為VPC NAT Gateway的中轉地址,被訪問的業務VPC通過DNAT功能使用VPC NAT Gateway的中轉私網地址對外提供私網服務,從而實現地址衝突的兩個業務VPC互訪。
使用說明
您在建立VPC NAT Gateway時需要選擇VPC,還需要指定VPC內的交換器,為了便於路由配置,建議您使用獨立的交換器供VPC NAT Gateway使用。
NAT IP地址是在SNAT功能或DNAT功能中用於源或目的地址轉換的IP地址。VPC NAT Gateway建立成功後,系統會使用VPC NAT Gateway所在交換器的網段作為預設NAT IP位址區段,使用預設NAT IP位址區段中的一個IP地址作為預設NAT IP地址。您可以在預設位址區段中添加NAT IP地址,也可以建立位址區段並添加NAT IP地址。關於如何使用NAT IP位址區段配置路由,請參見配置路由。
建立的NAT IP位址區段必須滿足以下條件:
屬於10.0.0.0/8、172.16.0.0/12或192.168.0.0/16網段及其子網。
支援的子網路遮罩位元範圍為16至32位。
不能與VPC NAT Gateway所屬VPC的私網網段重疊。如果您需要將私網地址轉換為VPC私網網段內的其他地址,請在對應的VPC私網網段內建立交換器,然後在該交換器中建立新的VPC NAT Gateway提供私網地址轉換服務。
支援使用VPC NAT Gateway所屬VPC的使用者網段作為NAT IP位址區段。關於使用者網段的更多資訊,請參見什麼是使用者網段?。
VPC NAT Gateway預設提供的輸送量是5 Gbps,可根據業務需求自動彈性擴充至15 Gbps。如需更高效能,請聯絡客戶經理進行申請。
效能指標
建立串連速率(CPS)
輸送量(包括入流量和出流量)
並發串連數
包處理速率(PPS)
初始指標
2萬
5 Gbps
50萬
80萬
彈性上限
10萬
15 Gbps
200萬
250萬
說明在實際業務情境中,NAT Gateway的效能受到執行個體包長、連線類型(長串連或短串連)、網路架構等多種因素的影響。因此,執行個體的實際效能表現可能存在偏差。建議您結合自身業務特點,提前進行壓力測試以評估執行個體效能,併合理配置監控項,以確保業務的平穩運行。
當NAT Gateway的效能超過最大指標時,業務訪問將面臨丟包風險,這將對業務的訪問產生影響。
DNAT條目所產生的流量同樣受到最大並發串連數的限制。
使用限制
執行個體限制
資源 | 預設限制 | 提升配額 |
一個VPC支援建立的VPC NAT Gateway的數量 | 5個 | 您可以通過以下任意方式自助提升配額:
|
一個VPC NAT Gateway支援NAT IP地址數量 | 15個 | 您可以通過以下任意方式自助提升配額:
|
SNAT限制
資源 | 預設限制 | 提升配額 |
一個VPC NAT Gateway支援建立SNAT條目的數量 | 40個 | 您可以通過以下任意方式自助提升配額:
|
SNAT條目中IP數量對VPC NAT Gateway最大並發串連數的限制 | 當VPC內ECS執行個體通過VPC NAT Gateway訪問其他VPC或IDC網路上同一個目的IP和連接埠時,NAT Gateway的最大並發串連數為N×55000,其中N是SNAT條目配置的NAT IP數量。 | 不涉及 |
DNAT限制
資源 | 預設限制 | 提升配額 |
一個VPC NAT Gateway支援建立的DNAT條目的數量 | 100個 | 您可以通過以下任意方式自助提升配額:
|