公網(wǎng)NAT網(wǎng)關(guān)
公網(wǎng)NAT網(wǎng)關(guān)是一款阿里云全托管的網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)關(guān),通過轉(zhuǎn)換和隱藏云服務(wù)地址,防止地址直接暴露,實現(xiàn)安全訪問互聯(lián)網(wǎng),提升網(wǎng)絡(luò)安全性。公網(wǎng)NAT網(wǎng)關(guān)還具有自動彈性、高性能、高可用、靈活計費等特性,可以幫助您更好地管理公網(wǎng)訪問流量。
背景信息
公網(wǎng)NAT網(wǎng)關(guān)的網(wǎng)絡(luò)拓撲如下圖所示。您可以選用公網(wǎng)NAT網(wǎng)關(guān),滿足您以下業(yè)務(wù)場景需求:
如果您的云上網(wǎng)絡(luò)只希望主動訪問公網(wǎng)上的業(yè)務(wù),而不希望云上的業(yè)務(wù)直接暴露在公網(wǎng)上從而有被攻擊的風險,您可以選用公網(wǎng)NAT網(wǎng)關(guān)為業(yè)務(wù)提供安全防護能力。
如果您的業(yè)務(wù)具有突增的訪問公網(wǎng)的流量需求,您可以選用公網(wǎng)NAT網(wǎng)關(guān)為您提供靈活和彈性的擴容能力,并且只需要按使用量付費,節(jié)省企業(yè)成本。
如果您有大量訪問公網(wǎng)的機器,您可以通過公網(wǎng)NAT網(wǎng)關(guān)統(tǒng)一公網(wǎng)出口,并通過公網(wǎng)NAT網(wǎng)關(guān)準確和精細化的運維監(jiān)控能力管理企業(yè)訪問公網(wǎng)的流量。
為什么選擇公網(wǎng)NAT網(wǎng)關(guān)
選擇公網(wǎng)NAT網(wǎng)關(guān),您可以使業(yè)務(wù)運行具有以下特性:
安全
避免地址對外暴露,通過SNAT規(guī)則限制入向連接,精細化出向規(guī)則管控。
彈性高性能
自動彈性伸縮,隨業(yè)務(wù)彈性擴容,滿足流量陡增;超高性能,滿足超大業(yè)務(wù)上云需求。
穩(wěn)定高可用
支持主備可用區(qū)容災(zāi),可用區(qū)級別故障時仍能保障業(yè)務(wù)運行,實現(xiàn)業(yè)務(wù)高可用。
靈活計費
按量付費,降低使用成本;共享公網(wǎng)IP資源,節(jié)省公網(wǎng)帶寬和IP持有成本。
深度可觀測
豐富多維度的流量監(jiān)控指標,支持會話日志、VPC流日志,滿足用戶合規(guī)、運維訴求。
產(chǎn)品功能
功能 | 說明 | 相關(guān)文檔 |
SNAT | 為專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)內(nèi)無公網(wǎng)IP的云服務(wù)資源提供訪問公網(wǎng)的代理服務(wù)。 | |
DNAT | 將公網(wǎng)NAT網(wǎng)關(guān)上綁定的彈性公網(wǎng)IP(Elastic IP Address,簡稱EIP)映射給VPC內(nèi)的ECS實例或不具備公網(wǎng)IP的云服務(wù)資源使用,使其可以面向公網(wǎng)提供服務(wù)。 | - |
自動彈性 | 公網(wǎng)NAT網(wǎng)關(guān)支持自動彈性伸縮,隨業(yè)務(wù)彈性擴容。公網(wǎng)NAT網(wǎng)關(guān)默認提供5 Gbps的流量處理能力,10萬/秒的新建連接速率,200萬/分的并發(fā)連接數(shù),其中流量處理能力可根據(jù)業(yè)務(wù)變化自動彈性至15 Gbps。 | |
主備可用區(qū)容災(zāi) | 公網(wǎng)NAT網(wǎng)關(guān)現(xiàn)已支持主備可用區(qū)容災(zāi),其中備可用區(qū)由阿里云選擇。當主可用區(qū)發(fā)生故障導(dǎo)致實例流量全部丟失時,系統(tǒng)會自動觸發(fā)主備切換,實現(xiàn)備可用區(qū)的容災(zāi),整個切換過程最長不超過10分鐘。如果您需要更高的容災(zāi)能力,建議根據(jù)業(yè)務(wù)需求部署多個NAT網(wǎng)關(guān),以獲得更高的業(yè)務(wù)可靠性。 | - |
會話日志 | NAT網(wǎng)關(guān)支持會話日志能力,當您為NAT網(wǎng)關(guān)創(chuàng)建SNAT條目,有流量經(jīng)過NAT網(wǎng)關(guān)時,SNAT會話將以日志的形式進行記錄,便于您進行溯源和監(jiān)控。 | |
豐富的監(jiān)控指標 | 公網(wǎng)NAT網(wǎng)關(guān)支持查看26個監(jiān)控指標,可以實時監(jiān)控公網(wǎng)NAT網(wǎng)關(guān)實例的運行情況,幫您提高業(yè)務(wù)的穩(wěn)定性。 |
應(yīng)用場景
搭建訪問公網(wǎng)服務(wù)的SNAT網(wǎng)關(guān)
您可以創(chuàng)建公網(wǎng)NAT網(wǎng)關(guān),并為其綁定EIP,然后通過公網(wǎng)NAT網(wǎng)關(guān)的SNAT功能,實現(xiàn)VPC內(nèi)的多個ECS實例共享EIP上網(wǎng),節(jié)省公網(wǎng)IP資源。具體操作,請參見使用公網(wǎng)NAT網(wǎng)關(guān)SNAT功能訪問互聯(lián)網(wǎng)。
您也可以為公網(wǎng)NAT網(wǎng)關(guān)綁定多個EIP,綁定成功后,ECS實例會隨機通過SNAT地址池中的EIP訪問公網(wǎng)。當其中一個EIP被攻擊時,ECS實例可以隨機使用其他EIP訪問公網(wǎng),最大程度保障業(yè)務(wù)的正常運行。避免出現(xiàn)在單EIP場景下,EIP故障導(dǎo)致的全業(yè)務(wù)中斷。
說明指定多個EIP配置至SNAT IP地址池時,業(yè)務(wù)連接會通過哈希算法分配到多個EIP,由于每個連接的流量不同,可能會出現(xiàn)多EIP業(yè)務(wù)流量不均勻的情況,建議您將每個EIP加入到同一個共享帶寬中以避免單EIP帶寬達到上限導(dǎo)致業(yè)務(wù)受損。具體操作,請參見加入與移出共享帶寬。
搭建提供公網(wǎng)服務(wù)的DNAT網(wǎng)關(guān)
您可以創(chuàng)建公網(wǎng)NAT網(wǎng)關(guān),并為其綁定EIP,然后配置公網(wǎng)NAT網(wǎng)關(guān)的DNAT功能。配置成功后,VPC內(nèi)的ECS實例可以通過端口映射或IP映射面向公網(wǎng)提供服務(wù)。
說明端口映射和IP映射的說明如下:
端口映射:公網(wǎng)NAT網(wǎng)關(guān)會將以指定協(xié)議和端口訪問EIP的請求轉(zhuǎn)發(fā)到目標ECS實例的指定協(xié)議和端口上。
IP映射:公網(wǎng)NAT網(wǎng)關(guān)會將所有訪問EIP的請求都轉(zhuǎn)發(fā)到目標ECS實例上,目標ECS實例也可以使用該公網(wǎng)IP主動訪問公網(wǎng)。如果公網(wǎng)NAT網(wǎng)關(guān)既配置了DNAT IP映射方式,又配置了SNAT條目,則ECS實例會優(yōu)先通過DNAT IP映射方式的公網(wǎng)IP訪問公網(wǎng)。
多NAT網(wǎng)關(guān)高可用部署
您可以在VPC中的不同可用區(qū)創(chuàng)建多個公網(wǎng)NAT網(wǎng)關(guān),當某個可用區(qū)公網(wǎng)NAT網(wǎng)關(guān)故障時,您部署在本可用區(qū)的服務(wù)可以通過其他可用區(qū)的公網(wǎng)NAT網(wǎng)關(guān)繼續(xù)工作。
使用說明
創(chuàng)建公網(wǎng)NAT網(wǎng)關(guān)時,您需要指定公網(wǎng)NAT網(wǎng)關(guān)要關(guān)聯(lián)的VPC和交換機。公網(wǎng)NAT網(wǎng)關(guān)創(chuàng)建成功后,建議您為公網(wǎng)NAT網(wǎng)關(guān)創(chuàng)建獨立的交換機,預(yù)留足夠的IP地址以便支持后續(xù)的網(wǎng)絡(luò)規(guī)劃。
公網(wǎng)NAT網(wǎng)關(guān)支持主備可用區(qū)容災(zāi),您創(chuàng)建時指定的交換機是主可用區(qū)所在的交換機,備可用區(qū)的交換機無需您在創(chuàng)建時選擇。
公網(wǎng)NAT網(wǎng)關(guān)的創(chuàng)建流程,請參見購買公網(wǎng)NAT網(wǎng)關(guān)。
通過組合購買公網(wǎng)NAT網(wǎng)關(guān)和EIP的方式,將創(chuàng)建的EIP自動綁定到創(chuàng)建的公網(wǎng)NAT網(wǎng)關(guān)。具體操作,請參見VPC全通模式組合購買公網(wǎng)NAT網(wǎng)關(guān)和彈性公網(wǎng)IP。
公網(wǎng)NAT網(wǎng)關(guān)默認提供的流量處理能力是5 Gbps,可根據(jù)業(yè)務(wù)變化自動彈性至15 Gbps,如果需要更大的流量處理能力、新建連接速率和并發(fā)連接數(shù),請聯(lián)系客戶經(jīng)理申請。
指標 新建連接速率 并發(fā)連接數(shù) 處理流量 默認指標 10萬 200萬 5 Gbps,可自動彈性至15 Gbps 涉及以上指標的含義如下:- 新建連接速率:每秒處理的新建連接數(shù)量。
- 并發(fā)連接數(shù):每分鐘內(nèi)并發(fā)連接的數(shù)量。
- 處理流量:每小時的總處理流量(包括入流量和出流量)。
使用限制
實例限制
資源 | 默認限制 | 提升配額 |
一個VPC支持創(chuàng)建的公網(wǎng)NAT網(wǎng)關(guān)的數(shù)量 | 5個。 | 您可以通過以下任意方式自助提升配額:
|
一個公網(wǎng)NAT網(wǎng)關(guān)支持綁定EIP的數(shù)量 | 20個。 說明 從2022年09月19日起,新創(chuàng)建的公網(wǎng)NAT網(wǎng)關(guān)綁定一個EIP時將占用NAT網(wǎng)關(guān)所在交換機的一個私網(wǎng)IP (已有NAT網(wǎng)關(guān)實例不受影響),請確保NAT網(wǎng)關(guān)所在交換機內(nèi)私網(wǎng)IP地址充足,如果NAT網(wǎng)關(guān)所在的交換機沒有可用的空閑私網(wǎng)地址時,將無法綁定新的EIP。 | 您可以通過以下任意方式自助提升配額:
|
VPC中存在目標網(wǎng)段為0.0.0.0/0的自定義路由,是否支持在該VPC創(chuàng)建公網(wǎng)NAT網(wǎng)關(guān) | 支持。 | 不涉及。 |
SNAT限制
資源 | 默認限制 | 提升配額 |
一個公網(wǎng)NAT網(wǎng)關(guān)支持創(chuàng)建SNAT條目的數(shù)量 | 40個。 | 您可以通過以下任意方式自助提升配額:
|
以交換機粒度創(chuàng)建SNAT條目后,訪問公網(wǎng)的帶寬是否會受到EIP帶寬峰值的限制 | 是。 說明 如果與公網(wǎng)NAT網(wǎng)關(guān)綁定的EIP加入到共享帶寬中,則訪問公網(wǎng)的帶寬會受到共享帶寬的帶寬峰值的限制。 | 不涉及。 |
SNAT條目中IP數(shù)量對公網(wǎng)NAT網(wǎng)關(guān)最大并發(fā)連接數(shù)的限制 | 當VPC內(nèi)無公網(wǎng)IP的ECS實例通過公網(wǎng)NAT網(wǎng)關(guān)訪問公網(wǎng)上同一個目的IP和端口時,NAT網(wǎng)關(guān)的最大并發(fā)連接數(shù)為N×55000,其中N是SNAT條目配置的EIP數(shù)量。 | |
SNAT條目IP帶寬限制 | 創(chuàng)建SNAT條目時配置多個EIP,業(yè)務(wù)連接會通過哈希算法分配到多個EIP,由于每個連接的流量不同,可能出現(xiàn)多EIP的業(yè)務(wù)流量不均勻,建議您將每個EIP都加入到同一個共享帶寬中以避免單EIP帶寬達到上限導(dǎo)致業(yè)務(wù)受損。加入SNAT IP地址池的EIP的最大帶寬沒有限制。 具體操作,請參見創(chuàng)建SNAT IP地址池。 |
DNAT限制
資源 | 默認限制 | 提升配額 |
一個公網(wǎng)NAT網(wǎng)關(guān)支持創(chuàng)建的DNAT條目的數(shù)量 | 100個。 | 您可以通過以下任意方式自助提升配額:
|
是否支持為綁定了EIP的ECS實例創(chuàng)建DNAT條目 | 單彈性網(wǎng)卡不支持。 如需為該ECS實例創(chuàng)建DNAT條目,請先將ECS實例與EIP解綁,然后再為該ECS實例創(chuàng)建DNAT條目。具體操作,請參見將EIP與云資源解綁和創(chuàng)建和管理DNAT條目。 說明 如果存量ECS實例綁定了EIP,且處于公網(wǎng)NAT網(wǎng)關(guān)的DNAT條目中,則ECS實例優(yōu)先通過綁定的EIP進行公網(wǎng)通信。 | 不涉及。 |
是否支持為持有固定公網(wǎng)IP的ECS實例創(chuàng)建DNAT條目 | 單彈性網(wǎng)卡不支持。 如需為該ECS實例創(chuàng)建DNAT條目,請先將ECS實例的固定公網(wǎng)IP轉(zhuǎn)換為EIP,然后將ECS實例與EIP解綁,最后再為該ECS實例創(chuàng)建DNAT條目。關(guān)于如何將固定公網(wǎng)IP轉(zhuǎn)換為EIP,請參見專有網(wǎng)絡(luò)ECS實例的固定公網(wǎng)IP轉(zhuǎn)換為EIP。 說明 如果存量ECS實例持有固定公網(wǎng)IP,且處于公網(wǎng)NAT網(wǎng)關(guān)的DNAT條目中,則ECS實例優(yōu)先通過固定公網(wǎng)IP進行公網(wǎng)通信。 | 不涉及。 |