VPC NAT网关是一款阿里云全托管的网络地址转换网关,通过转换云服务地址,满足地址冲突网络互访和指定地址访问诉求。
背景信息
VPC NAT网关可以解决私有网络互通问题,满足以下业务场景:
如果您有两个需要私网互通的VPC存在地址冲突时,可以通过为每个VPC配置具有不同中转私网地址的VPC NAT网关,实现VPC间私网互通。
如果您需要实现云上VPC和线下IDC进行私网互通,可以通过配置VPC NAT网关实例指定私网IP地址,使云上VPC和云下IDC实现安全私网互访。
为什么选择VPC NAT网关
选择VPC NAT网关,您可以使业务运行具有以下特性:
安全
避免地址对外暴露,通过SNAT规则限制入向连接,精细化出向规则管控。
弹性高性能
自动弹性伸缩,随业务弹性扩容,满足流量陡增;超高性能,满足超大业务上云需求。
稳定高可用
支持主备可用区容灾,可用区级别故障时仍能保障业务运行,实现业务高可用。
灵活计费
支持按量付费,降低使用成本。
深度可观测
丰富多维度的流量监控指标,支持会话日志、VPC流日志,满足用户合规、运维诉求。
产品功能
VPC NAT网关支持SNAT和DNAT功能,功能说明如下:
功能 | 说明 | 相关文档 |
SNAT功能 | 通过NAT IP地址为VPC内的云服务资源提供访问外部私有网络代理服务。 | |
DNAT功能 | 通过将NAT IP地址和端口映射转换为VPC内云服务资源的IP和端口,使云服务资源对外提供私网访问服务。 | |
自动弹性 | VPC NAT网关支持自动弹性伸缩,随业务弹性扩容。VPC NAT网关默认提供5 Gbps的流量处理能力,10万/秒的新建连接速率,200万/分的并发连接数,其中流量处理能力可根据业务变化自动弹性至15 Gbps。 | |
会话日志 | NAT网关支持会话日志能力,当您为NAT网关创建SNAT条目,有流量经过NAT网关时,SNAT会话将以日志的形式进行记录,便于您进行溯源和监控。 | |
丰富的监控指标 | VPC NAT网关支持查看多个监控指标,可以实时监控VPC NAT网关实例的运行情况,帮您提高业务的稳定性。 |
应用场景
混合云使用指定地址互访场景
随着金融证券行业云上业务规模的扩大,多网络间进行私网互通时,会遇到被监控机构要求使用固定私网地址访问的场景。您可以使用VPC NAT网关的SNAT功能和DNAT功能实现固定私网地址访问的场景。
VPC互访地址冲突
由于早期网络规划扩展性不足或后期的业务合并,云上可能存在需要互通的两个业务VPC地址冲突的情况。您可以为两个业务VPC各配置一个VPC NAT网关并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能将源地址转换为VPC NAT网关的中转地址,被访问的业务VPC通过DNAT功能使用VPC NAT网关的中转私网地址对外提供私网服务,从而实现地址冲突的两个业务VPC互访。
使用说明
您在创建VPC NAT网关时需要选择VPC,还需要指定VPC内的交换机,为了便于路由配置,建议您使用独立的交换机供VPC NAT网关使用。
NAT IP地址是在SNAT功能或DNAT功能中用于源或目的地址转换的IP地址。VPC NAT网关创建成功后,系统会使用VPC NAT网关所在交换机的网段作为默认NAT IP地址段,使用默认NAT IP地址段中的一个IP地址作为默认NAT IP地址。您可以在默认地址段中添加NAT IP地址,也可以新建地址段并添加NAT IP地址。关于如何使用NAT IP地址段配置路由,请参见配置路由。
新建的NAT IP地址段必须满足以下条件:
属于10.0.0.0/8、172.16.0.0/12或192.168.0.0/16网段及其子网。
支持的子网掩码位数范围为16至32位。
不能与VPC NAT网关所属VPC的私网网段重叠。如果您需要将私网地址转换为VPC私网网段内的其他地址,请在对应的VPC私网网段内创建交换机,然后在该交换机中创建新的VPC NAT网关提供私网地址转换服务。
支持使用VPC NAT网关所属VPC的用户网段作为NAT IP地址段。关于用户网段的更多信息,请参见什么是用户网段?。
VPC NAT网关默认提供的流量处理能力是5 Gbps,可根据业务变化自动弹性至15 Gbps,如果需要更大的流量处理能力、新建链接速率和并发连接数,请联系客户经理申请。
指标 新建连接速率 并发连接数 处理流量 默认指标 10万 200万 5 Gbps,可自动弹性至15 Gbps 涉及以上指标的含义如下:- 新建连接速率:每秒处理的新建连接数量。
- 并发连接数:每分钟内并发连接的数量。
- 处理流量:每小时的总处理流量(包括入流量和出流量)。
使用限制
实例限制
资源 | 默认限制 | 提升配额 |
一个VPC支持创建的VPC NAT网关的数量 | 5个 | 您可以通过以下任意方式自助提升配额: |
一个VPC NAT网关支持NAT IP地址数量 | 20个 | 您可以通过以下任意方式自助提升配额: |
SNAT限制
资源 | 默认限制 | 提升配额 |
一个VPC NAT网关支持创建SNAT条目的数量 | 40个 | |
SNAT条目中IP数量对VPC NAT网关最大并发连接数的限制 | 当VPC内ECS实例通过VPC NAT网关访问其他VPC或IDC网络上同一个目的IP和端口时,NAT网关的最大并发连接数为N×55000,其中N是SNAT条目配置的NAT IP数量。 | 不涉及 |
DNAT限制
资源 | 默认限制 | 提升配额 |
一个VPC NAT网关支持创建的DNAT条目的数量 | 100个 |