【云计算】云数据中心网络（三）：NAT 网关

《云网络》系列，共包含以下文章：

云网络是未来的网络基础设施
云网络产品体系概述
云数据中心网络（一）：VPC
云数据中心网络（二）：弹性公网 IP
云数据中心网络（三）：NAT 网关
云数据中心网络（四）：IPv6 网关
云数据中心网络（五）：对等连接
云数据中心网络（六）：私网连接
云数据中心网络（七）：负载均衡

😊 如果您觉得这篇文章有用 ✔️ 的话，请给博主一个一键三连 🚀🚀🚀 吧（点赞 🧡、关注 💛、收藏 💚）！！！您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容！！！

云数据中心网络（三）：NAT 网关

1.什么是 NAT 网关
2.NAT 网关的主要特点
3.NAT 网关的主要应用场景
- 3.1 SNAT
- 3.2 DNAT
- 3.3 共享宽带

弹性公网 IP 地址可以直接绑定到服务器上，但也暴露了服务器的公网 IP 地址。

因此，绝大多数用户都需要一个能隐藏内部服务器真实 IP 地址的网关设备，借助该设备与公网通信。在云网络。我们提供了一个即开即用的IP地址转换网关设备 —— NAT 网关。用户只需要在控制台上点点鼠标，就能即时交付企业级的 NAT 网关。

NAT：Network Address Translation，网络地址转换

NAT__20">1.什么是 NAT 网关

NAT 网关（NAT Gateway）是一款企业级的 VPC 公网网关，可以让无公网 IP 地址的 ECS 访问互联网或者让用户通过互联网访问 ECS 上的网站或应用，即提供 SNAT 和 DNAT 功能。NAT 网关通常和 EIP 及共享带宽包配合使用，可以组合成高性能、配置灵活的企业级网关。

NAT__22">2.NAT 网关的主要特点

高安全性：通过 NAT 网关的 SNAT 功能访问公网时，用户 ECS 只能主动从 NAT 网关访问公网，通过公网是无法直接访问 VPC 内的 ECS 的。另外，用户可以通过 NAT 网关提供的 SNAT 规则配置功能，选择 ECS 粒度或者交换机粒度的规则指定特别的 ECS 来访问公网，控制 NAT 网关的出口公网访问源。

高可用性：在公共云的业务部署架构中，用户非常关心基础组件的高可用能力，因为一旦单 AZ 出现故障，如果基础组件没有高可用的能力，那么将对业务运行有严重的影响。NAT 网关在部署架构中采用的是双可用区的部署架构，所以当单可用区出现故障后，NAT 网关可以实现快速业务切换，保障用户业务的连续性。同时，NAT 网关采用多机部署的方式，单台机器的故障不会影响业务。

易用性： NAT 网关可以即开通即用，在考虑公网出口安全的前提下最大限度地简化用户的操作，用户可以在官网控制台或者通过 OpenAPI 的方式开启 VPC 网络的 NAT 功能，以使 VPC 内的 ECS 能高效地访问公网。同时，NAT 网关提供一系列便捷的操作，以支持用户的配置，如 NAT 网关和 EIP 组合购买、控制台的操作配置指引等。

高性能： NAT 网关作为一款公网出口的产品，提供超高的产品性能，NAT 网关已经连续多年在 “双 11”、春节红包活动中经受高流量、高并发的考验。除了提供千万级别的并发连接性能，用户也可通过 NAT 池网关的方式，横向扩容，以提升针对同一个公网目的地址的并发能力。

另外，可以在一个 VPC 中扩容多个 NAT 网关，通过对子网路由的拆分，使不同子网的流量走不同的 NAT 网关，这对用户的业务拆分、针对不同子网的安全防控，以及 NAT 网关性能的横向扩容都有着重要的意义。

弹性计费：NAT 网关支持按使用量计费，用户在弹性范围内可以按照使用量来付费，最大限度为用户节约使用成本，如下图所示，在用户业务模型不变的情况下，选择按使用量计费的方式可以帮用户节约成本。

在这里插入图片描述

NAT__36">3.NAT 网关的主要应用场景

NAT 网关提供 SNAT（源网络地址转换）、DNAT（目的网络地址转换）和共享带宽功能。

VPC 内的用户在和公网业务通信时，最关注的就是安全，如避免公网上普遍存在的攻击、入侵等问题。VPC 内可以访问公网的主机想要细粒度的安全控制方案，需要默认拒绝公网上对 VPC 的主动访问，避免 VPC 内的主机主动暴露在公网上。NAT 网关可以很好地解决以上问题。

NAT_40">3.1 SNAT

当云上业务需要访问公网上的服务时，可以创建一个 NAT 网关，通过配置 SNAT 规则来 控制可通过 NAT 网关访问公网的机器，并支持交换机和 ECS 的粒度。

如下图所示，用户在 NAT 网关上绑定了弹性公网 EIP-1，在用户 VPC 内有两个子网，当用户配置了基于这两个子网的 SNAT 规则后，属于这两个子网的 ECS 即可通过这个弹性公网 EIP 访问公网上的服务。

在这里插入图片描述
如果用户需要将对接公网的入口都放在一台 NAT 网关设备上，以便整体观测网关层面的总出入流量，或者需要将某一台设备的部分或者全部暴露到公网上，那么可以选择使用 NAT 网关的 DNAT 功能。

NAT_47">3.2 DNAT

当 VPC 内的业务需要对公网提供服务时，通过设置 DNAT 规则 使公网上的业务可以访问 VPC 内的服务，当前 NAT 网关的 DNAT 规则支持指定固定端口和任意端口来提供公网访问服务。

如下图所示，用户的 NAT 网关上绑定了 EIP-1 和 EIP-2，在用户 VPC 内有四台 ECS，用户配置了如下规则可以实现对应的访问类型：

EIP-1：PORT1 ➡ ECS1：PORT2：公网上的业务可以通过 EIP-1 的 PORT1 访问 ECS1 的 PORT2 端口；
EIP-2：ANYPORT ➡ ECS4：ANYPORT：公网上的业务可以通过 EIP-2 访问 ECS4 的任意端口。

在这里插入图片描述

3.3 共享宽带

在给 NAT 网关绑定 EIP 后，可以将 EIP 加入共享带宽中。EIP 在加入共享带宽后，可复用共享带宽中的带宽，节省公网带宽的使用成本。