服务介绍
什么是NAT网关
NAT网关(NAT Gateway)能够为虚拟专有云(VPC)内的弹性云主机/裸金属/负载均衡提供网络地址转换(Network Address Translation)服务,通过绑定弹性公网IP,利用IP映射和端口映射两种方式构建VPC的公网流量出入口,实现多个弹性云主机/裸金属/负载均衡共享弹性公网IP来访问外部公共网络,或允许外部公共网络访问,这也节省了大量弹性公网IP资源。
相关概念
SNAT
SNAT(Source Network Address Translation,源地址转换)是将私网IP地址转化为公网IP地址的技术,通过绑定弹性IP,实现VPC中多个弹性云主机/裸金属共享弹性IP访问Internet。弹性云主机/裸金属访问Internet时,首先访问NAT网关;NAT网关在收到报文后,会将源地址由弹性云主机/裸金属的私网IP转换为弹性公网IP,目的IP地址不变,并对这种转换进行记录,然后将报文发送给外部服务器。外部服务器收到报文后,会将响应报文返回给NAT网关,NAT网关查询转换记录,将响应报文的目的地址(即弹性IP)转化为弹性云主机/裸金属的私网lP地址,并发送给对应的弹性云主机/裸金属,这样便完成了VPC内部弹性云主机/裸金属对Intenet服务器的访问。SNAT不仅节省了弹性IP资源,同时可以隐藏VPC内弹性云主机/裸金属的私有IP,防止对外暴露网络部署。
DNAT
DNAT(Destination Network Address Translation,目的地址转换)是将公网IP地址和端口号映射为私网IP地址和端口号的技术,可以实现VPC内多个弹性云主机/裸金属共享弹性IP对外提供Internet服务。通过DNAT规则指定需要对公网提供服务的弹性云主机/裸金属,以及需要映射的公网端口号和私网端口号,生成映射表;当Internet中的客户端访问VPC内的弹性云主机/裸金属时,首先访问该弹性云主机/裸金属通过DNAT规则所关联的弹性IP;NAT网关收到请求报文后,根据映射表,会将弹性IP目的地址和端口号映射为弹性云主机/裸金属的私网IP和端口号。VPC内的弹性云主机/裸金属回应报文时,NAT网关再根据已有的映射关系将回应报文的源IP地址和端口号转换成弹性IP地址和端口号,并转发给外部服务器。
功能价值
降低成本
无需为虚拟专有云内云服务实例购买多个公网IP地址便可实现公网能力。多个弹性云主机可以共享NAT网关,通过SNAT和DNAT规则将多个私有IP地址和少量弹性公网IP地址进行转换,实现多个弹性云主机共同使用一个弹性公网IP连接公网,节省IP资源和费用。此外,这些弹性公网IP可以加入共享带宽,进一步优化带宽成本支出。
简易管理
轻松配置SNAT和DNAT业务规则,简单易用。对NAT网关进行简单配置后即可使用,运维简单,快速发放,运行稳定可靠。
高性能转发
基于高性能NAT网关产品,最高支持百万级并发,满足大规模业务场景需求。
与其他云服务的关系
NAT网关与其他云服务依赖关系如表所述。
表-1 NAT网关与其他云服务的关系
|
云服务名称 |
描述 |
|
弹性公网IP |
NAT网关可以实现多个弹性云主机/裸金属/负载均衡共享弹性公网IP连接公网。 |
|
虚拟专有云 |
虚拟专有云中的弹性云主机/裸金属/负载均衡可以通过NAT网关访问Internet。 |
|
弹性云主机/裸金属/负载均衡 |
弹性云主机/裸金属/负载均衡通过NAT网关访问Internet或对外提供Internet服务。 |
使用限制和指导
每个VPC支持的NAT网关数为1。
不同网关下的规则必须使用不同的弹性公网IP。
SNAT规则和DNAT规则一般面向不同的业务,如果使用相同的EIP,会面临业务相互抢占问题,请尽量避免使用。