《云网络》系列,共包含以下文章:
- 云网络是未来的网络基础设施
- 云网络产品体系概述
- 云数据中心网络(一):VPC
- 云数据中心网络(二):弹性公网 IP
- 云数据中心网络(三):NAT 网关
- 云数据中心网络(四):IPv6 网关
- 云数据中心网络(五):对等连接
- 云数据中心网络(六):私网连接
- 云数据中心网络(七):负载均衡
😊 如果您觉得这篇文章有用 ✔️ 的话,请给博主一个一键三连 🚀🚀🚀 吧 (点赞 🧡、关注 💛、收藏 💚)!!!您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容!!!
云数据中心网络(三):NAT 网关
- 1.什么是 NAT 网关
- 2.NAT 网关的主要特点
- 3.NAT 网关的主要应用场景
- 3.1 SNAT
- 3.2 DNAT
- 3.3 共享宽带
弹性公网 IP 地址可以直接绑定到服务器上,但也暴露了服务器的公网 IP 地址。
因此,绝大多数用户都需要一个能隐藏内部服务器真实 IP 地址的网关设备,借助该设备与公网通信。在云网络。我们提供了一个即开即用的IP地址转换网关设备 —— NAT 网关。用户只需要在控制台上点点鼠标,就能即时交付企业级的 NAT 网关。
NAT:Network Address Translation,网络地址转换
1.什么是 NAT 网关
NAT 网关(NAT Gateway)是一款企业级的 VPC 公网网关,可以让无公网 IP 地址的 ECS 访问互联网或者让用户通过互联网访问 ECS 上的网站或应用,即提供 SNAT 和 DNAT 功能。NAT 网关通常和 EIP 及共享带宽包配合使用,可以组合成高性能、配置灵活的企业级网关。
2.NAT 网关的主要特点
高安全性:通过 NAT 网关的 SNAT 功能访问公网时,用户 ECS 只能主动从 NAT 网关访问公网,通过公网是无法直接访问 VPC 内的 ECS 的。另外,用户可以通过 NAT 网关提供的 SNAT 规则配置功能,选择 ECS 粒度或者交换机粒度的规则指定特别的 ECS 来访问公网,控制 NAT 网关的出口公网访问源。
高可用性:在公共云的业务部署架构中,用户非常关心基础组件的高可用能力,因为一旦单 AZ 出现故障,如果基础组件没有高可用的能力,那么将对业务运行有严重的影响。NAT 网关在部署架构中采用的是双可用区的部署架构,所以当单可用区出现故障后,NAT 网关可以实现快速业务切换,保障用户业务的连续性。同时,NAT 网关采用多机部署的方式,单台机器的故障不会影响业务。
易用性: NAT 网关可以即开通即用,在考虑公网出口安全的前提下最大限度地简化用户的操作,用户可以在官网控制台或者通过 OpenAPI 的方式开启 VPC 网络的 NAT 功能,以使 VPC 内的 ECS 能高效地访问公网。同时,NAT 网关提供一系列便捷的操作,以支持用户的配置,如 NAT 网关和 EIP 组合购买、控制台的操作配置指引等。
高性能: NAT 网关作为一款公网出口的产品,提供超高的产品性能,NAT 网关已经连续多年在 “双 11”、春节红包活动中经受高流量、高并发的考验。除了提供千万级别的并发连接性能,用户也可通过 NAT 池网关的方式,横向扩容,以提升针对同一个公网目的地址的并发能力。
另外,可以在一个 VPC 中扩容多个 NAT 网关,通过对子网路由的拆分,使不同子网的流量走不同的 NAT 网关,这对用户的业务拆分、针对不同子网的安全防控,以及 NAT 网关性能的横向扩容都有着重要的意义。
弹性计费:NAT 网关支持按使用量计费,用户在弹性范围内可以按照使用量来付费,最大限度为用户节约使用成本,如下图所示,在用户业务模型不变的情况下,选择按使用量计费的方式可以帮用户节约成本。
3.NAT 网关的主要应用场景
NAT 网关提供 SNAT(源网络地址转换)、DNAT(目的网络地址转换)和共享带宽功能。
VPC 内的用户在和公网业务通信时,最关注的就是安全,如避免公网上普遍存在的攻击、入侵等问题。VPC 内可以访问公网的主机想要细粒度的安全控制方案,需要默认拒绝公网上对 VPC 的主动访问,避免 VPC 内的主机主动暴露在公网上。NAT 网关可以很好地解决以上问题。
3.1 SNAT
当云上业务需要访问公网上的服务时,可以创建一个 NAT 网关,通过配置 SNAT 规则来 控制可通过 NAT 网关访问公网的机器,并支持交换机和 ECS 的粒度。
如下图所示,用户在 NAT 网关上绑定了弹性公网 EIP-1,在用户 VPC 内有两个子网,当用户配置了基于这两个子网的 SNAT 规则后,属于这两个子网的 ECS 即可通过这个弹性公网 EIP 访问公网上的服务。
如果用户需要将对接公网的入口都放在一台 NAT 网关设备上,以便整体观测网关层面的总出入流量,或者需要将某一台设备的部分或者全部暴露到公网上,那么可以选择使用 NAT 网关的 DNAT 功能。
3.2 DNAT
当 VPC 内的业务需要对公网提供服务时,通过设置 DNAT 规则 使公网上的业务可以访问 VPC 内的服务,当前 NAT 网关的 DNAT 规则支持指定固定端口和任意端口来提供公网访问服务。
如下图所示,用户的 NAT 网关上绑定了 EIP-1 和 EIP-2,在用户 VPC 内有四台 ECS,用户配置了如下规则可以实现对应的访问类型:
- EIP-1:PORT1 ➡ ECS1:PORT2:公网上的业务可以通过 EIP-1 的 PORT1 访问 ECS1 的 PORT2 端口;
- EIP-2:ANYPORT ➡ ECS4:ANYPORT:公网上的业务可以通过 EIP-2 访问 ECS4 的任意端口。
3.3 共享宽带
在给 NAT 网关绑定 EIP 后,可以将 EIP 加入共享带宽中。EIP 在加入共享带宽后,可复用共享带宽中的带宽,节省公网带宽的使用成本。
