企业资源子库知识点7：NAT网关阿里-NAT网关.docVIP

PAGE 5 阿里-NAT网关 什么是NAT网关 NAT网关（NAT Gateway）是一款企业级的VPC公网网关，提供NAT代理（SNAT和DNAT）、高达10Gbps级别转发能力以及跨可用区的容灾能力。 NAT网关作为一个网关设备，需要绑定公网IP才能正常工作。创建NAT网关后，您可以为NAT网关绑定弹性公网IP（EIP）。如果您需要使用共享带宽功能，可以在EIP控制台将EIP加入已有的共享带宽，或者在购买共享带宽后，再将EIP加入到共享带宽中。 功能概述 NAT网关提供SNAT和DNAT功能。 2.1SNAT NAT网关提供SNAT功能，为VPC内无公网IP的ECS实例提供访问互联网的代理服务。此外，NAT网关的SNAT功能还可以作为一个简易防火墙使用。通过SNAT保护后端的服务器，只有后端服务主动和外部终端建立连接后，外部终端才可以访问内部服务器，而未建立连接的外部不可信终端是无法访问后端服务器的。 2.2DNAT NAT网关支持DNAT功能，将NAT网关上的公网IP映射给ECS实例使用，使ECS实例能够提供互联网服务。 DNAT支持端口映射和IP映射。 2.3宽带共享 您可以为NAT网关绑定EIP，再将EIP加入到共享带宽中。EIP加入到共享带宽后，EIP原本的计费模式失效，不额外收取流量或带宽费，只收取绑定NAT网关的EIP实例费。 三、产品优势 3.1灵活易用的转发能力 作为一款企业级VPC公网网关，NAT网关提供SNAT和DNAT功能。无需用户基于云服务器自己搭建，功能灵活、简单易用、稳定可靠。 3.2高性能 NAT网关是基于阿里云自研分布式网关，使用SDN技术虚拟化推出的一款虚拟网络硬件。NAT网关支持10Gbps级别的转发能力，为大规模公网应用提供支撑。 3.3高可用 NAT网关跨可用区部署，可用性高。单个可用区的任何故障都不会影响NAT网关的业务连续性。 3.4按需购买 NAT网关的规格、EIP的规格和个数，均可以随时升降，轻松应对业务变化 使用场景 NAT网关适用于专有网络类型的ECS实例需要主动访问公网和被公网访问的场景。 3.1搭建高可用的SNAT网关 在IT系统中，往往存在一些服务器需要主动访问互联网，但出于安全性考虑需要避免将这些服务器所持有的公网IP暴露在公网上。此时，您可以使用NAT网关的SNAT功能实现这一需求。 3.2提供公网服务 专有网络类型的ECS实例可以通过端口映射和IP映射的方式对外提供服务。 3.3共享公网带宽 部署一个面向互联网提供的服务，需要为该服务购置公网带宽。通常，为了保证系统能够应对业务流量可能发生的各种变化，在购买带宽时会考虑一定的冗余。 当IT系统中同时存在多个面向互联网的应用时，为每个应用都冗余购置带宽会造成许多不必要的成本。这时，多IP共享带宽的功能能够帮助您更好地进行公网带宽资源的管理和成本的控制。 另外，考虑到多个面向互联网的应用可能存在的流量错峰情况，多IP共享带宽的功能可以进一步缩减所需购置的公网带宽总量。 基本概念 术语 说明 NAT网关 一款企业级的VPC公网网关，提供NAT代理（SNAT和DNAT）、10Gbps级别的转发能力、地域级别的高可用性和跨可用区的容灾能力。 DNAT表 DNAT表是NAT网关上的一张配置表，用于NAT网关上的DNAT功能配置。可以实现端口映射（Port mapping）和IP映射（IP mapping），将NAT网关上的公网IP映射给ECS实例。 SNAT表 SNAT表是NAT网关上的一张配置表，用于NAT网关上的SNAT功能配置。可以以交换机为粒度进行SNAT规则配置，使指定交换机下的ECS使用指定的公网IP访问互联网。 EIP 弹性公网IP是可以独立购买和持有的公网IP地址资源。EIP可绑定到专有网络类型的ECS实例、专有网络类型的私网SLB实例和NAT网关上。 共享带宽 共享带宽是一个独立的产品，提供地域级带宽共享和复用功能，支持同地域下所有弹性公网IP共享带宽，进而让绑定弹性公网IP的云服务器ECS、NAT网关或负载均衡SLB同时共享带宽。 使用限制 5.1NAT网关相关限制 一个VPC最多只能配置一个NAT网关。 同一个公网IP不能同时既用于SNAT又用于DNAT。 如果VPC中存在目标网段为0.0.0.0/0的自定义路由，需删除后才可创建NAT网关。 交换机添加SNAT规则后，会受到弹性公网IP的带宽峰值的限制。 如果弹性公网IP已加入到共享带宽中，则交换机会受到共享带宽的带宽峰值的限制。 一个DNAT表最多可添加100个端口转发条目。 一个SNAT规则表最多可添加40个规则。 5.2EIP绑定NAT网关相关限制 一个NAT网关最多绑定20个EIP，可提交工单申请更多配额。 一个NAT网关最多绑定10