全部产品
Search
文档中心

NAT 网关:公网NAT网关

更新时间:Nov 27, 2024

公网NAT网关是一款阿里云全托管的网络地址转换网关,通过转换和隐藏云服务地址,防止地址直接暴露,实现安全访问互联网,提升网络安全性。公网NAT网关还具有自动弹性、高性能、高可用、灵活计费等特性,可以帮助您更好地管理公网访问流量。

背景信息

公网NAT网关的网络拓扑如下图所示。您可以选用公网NAT网关,满足您以下业务场景需求:

  • 如果您的云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网上从而有被攻击的风险,您可以选用公网NAT网关为业务提供安全防护能力。

  • 如果您的业务具有突增的访问公网的流量需求,您可以选用公网NAT网关为您提供灵活和弹性的扩容能力,并且只需要按使用量付费,节省企业成本。

  • 如果您有大量访问公网的机器,您可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。

image

为什么选择公网NAT网关

选择公网NAT网关,您可以使业务运行具有以下特性:

  • 安全

    避免地址对外暴露,通过SNAT规则限制入向连接,精细化出向规则管控。

  • 弹性高性能

    自动弹性伸缩,随业务弹性扩容,满足流量陡增;超高性能,满足超大业务上云需求。

  • 稳定高可用

    支持主备可用区容灾,可用区级别故障时仍能保障业务运行,实现业务高可用。

  • 灵活计费

    按量付费,降低使用成本;共享公网IP资源,节省公网带宽和IP持有成本。

  • 深度可观测

    丰富多维度的流量监控指标,支持会话日志、VPC流日志,满足用户合规、运维诉求。

产品功能

功能

说明

相关文档

SNAT

为专有网络VPC(Virtual Private Cloud)内无公网IP的云服务资源提供访问公网的代理服务。

使用公网NAT网关SNAT功能访问互联网

公网NAT网关实例FAQ

DNAT

将公网NAT网关上绑定的弹性公网IP(Elastic IP Address,简称EIP)映射给VPC内的ECS实例或不具备公网IP的云服务资源使用,使其可以面向公网提供服务。

-

自动弹性

公网NAT网关支持自动弹性伸缩,随业务弹性扩容。公网NAT网关默认提供5 Gbps的流量处理能力,10万/秒的新建连接速率,200万/分的并发连接数,其中流量处理能力可根据业务变化自动弹性至15 Gbps。

使用说明

主备可用区容灾

公网NAT网关现已支持主备可用区容灾,其中备可用区由阿里云选择。当主可用区发生故障导致实例流量全部丢失时,系统会自动触发主备切换,实现备可用区的容灾,整个切换过程最长不超过10分钟。如果您需要更高的容灾能力,建议根据业务需求部署多个NAT网关,以获得更高的业务可靠性。

-

会话日志

NAT网关支持会话日志能力,当您为NAT网关创建SNAT条目,有流量经过NAT网关时,SNAT会话将以日志的形式进行记录,便于您进行溯源和监控。

会话日志(公测中)

丰富的监控指标

公网NAT网关支持查看26个监控指标,可以实时监控公网NAT网关实例的运行情况,帮您提高业务的稳定性。

公网NAT网关监控与运维

应用场景

  • 搭建访问公网服务的SNAT网关

    您可以创建公网NAT网关,并为其绑定EIP,然后通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源。具体操作,请参见使用公网NAT网关SNAT功能访问互联网

    您也可以为公网NAT网关绑定多个EIP,绑定成功后,ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行。避免出现在单EIP场景下,EIP故障导致的全业务中断。

    说明

    指定多个EIP配置至SNAT IP地址池时,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议您将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。具体操作,请参见加入与移出共享带宽

    image

  • 搭建提供公网服务的DNAT网关

    您可以创建公网NAT网关,并为其绑定EIP,然后配置公网NAT网关的DNAT功能。配置成功后,VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。

    说明

    端口映射和IP映射的说明如下:

    • 端口映射:公网NAT网关会将以指定协议和端口访问EIP的请求转发到目标ECS实例的指定协议和端口上。

    • IP映射:公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。

    image

  • 多NAT网关高可用部署

    您可以在VPC中的不同可用区创建多个公网NAT网关,当某个可用区公网NAT网关故障时,您部署在本可用区的服务可以通过其他可用区的公网NAT网关继续工作。

    image

使用说明

  • 创建公网NAT网关时,您需要指定公网NAT网关要关联的VPC和交换机。公网NAT网关创建成功后,建议您为公网NAT网关创建独立的交换机,预留足够的IP地址以便支持后续的网络规划。

    • 公网NAT网关支持主备可用区容灾,您创建时指定的交换机是主可用区所在的交换机,备可用区的交换机无需您在创建时选择。

    • 公网NAT网关的创建流程,请参见购买公网NAT网关

  • 公网NAT网关默认提供的流量处理能力是5 Gbps,可根据业务变化自动弹性至15 Gbps,如果需要更大的流量处理能力、新建连接速率和并发连接数,请联系客户经理申请。

    指标新建连接速率并发连接数处理流量
    默认指标10万200万5 Gbps,可自动弹性至15 Gbps
    涉及以上指标的含义如下:
    • 新建连接速率:每秒处理的新建连接数量。
    • 并发连接数:每分钟内并发连接的数量。
    • 处理流量:每小时的总处理流量(包括入流量和出流量)。

使用限制

实例限制

资源

默认限制

提升配额

一个VPC支持创建的公网NAT网关的数量

5个。

您可以通过以下任意方式自助提升配额:

一个公网NAT网关支持绑定EIP的数量

20个。

说明

从2022年09月19日起,新创建的公网NAT网关绑定一个EIP时将占用NAT网关所在交换机的一个私网IP (已有NAT网关实例不受影响),请确保NAT网关所在交换机内私网IP地址充足,如果NAT网关所在的交换机没有可用的空闲私网地址时,将无法绑定新的EIP。

您可以通过以下任意方式自助提升配额:

VPC中存在目标网段为0.0.0.0/0的自定义路由,是否支持在该VPC创建公网NAT网关

支持。

不涉及。

SNAT限制

资源

默认限制

提升配额

一个公网NAT网关支持创建SNAT条目的数量

40个。

您可以通过以下任意方式自助提升配额:

以交换机粒度创建SNAT条目后,访问公网的带宽是否会受到EIP带宽峰值的限制

是。

说明

如果与公网NAT网关绑定的EIP加入到共享带宽中,则访问公网的带宽会受到共享带宽的带宽峰值的限制。

不涉及。

SNAT条目中IP数量对公网NAT网关最大并发连接数的限制

当VPC内无公网IP的ECS实例通过公网NAT网关访问公网上同一个目的IP和端口时,NAT网关的最大并发连接数为N×55000,其中N是SNAT条目配置的EIP数量。

SNAT条目IP带宽限制

创建SNAT条目时配置多个EIP,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能出现多EIP的业务流量不均匀,建议您将每个EIP都加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。加入SNAT IP地址池的EIP的最大带宽没有限制。

具体操作,请参见创建SNAT IP地址池

DNAT限制

资源

默认限制

提升配额

一个公网NAT网关支持创建的DNAT条目的数量

100个。

您可以通过以下任意方式自助提升配额:

是否支持为绑定了EIP的ECS实例创建DNAT条目

单弹性网卡不支持。

如需为该ECS实例创建DNAT条目,请先将ECS实例与EIP解绑,然后再为该ECS实例创建DNAT条目。具体操作,请参见将EIP与云资源解绑创建和管理DNAT条目

说明

如果存量ECS实例绑定了EIP,且处于公网NAT网关的DNAT条目中,则ECS实例优先通过绑定的EIP进行公网通信。

不涉及。

是否支持为持有固定公网IP的ECS实例创建DNAT条目

单弹性网卡不支持。

如需为该ECS实例创建DNAT条目,请先将ECS实例的固定公网IP转换为EIP,然后将ECS实例与EIP解绑,最后再为该ECS实例创建DNAT条目。关于如何将固定公网IP转换为EIP,请参见专有网络ECS实例的固定公网IP转换为EIP

说明

如果存量ECS实例持有固定公网IP,且处于公网NAT网关的DNAT条目中,则ECS实例优先通过固定公网IP进行公网通信。

不涉及。

相关产品