NAT网关操作与使用|学习笔记

本文涉及的产品
公网NAT网关,每月750个小时 15CU
应用型负载均衡 ALB,每月750个小时 15LCU
网络型负载均衡 NLB,每月750个小时 15LCU
简介: 快速学习NAT网关操作与使用

开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程:NAT网关操作与使用】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/573/detail/7894


NAT 网关操作与使用


内容介绍

一、NAT 的背景概述

二、什么是 NAT 网关

三、为什么使用 NAT 网关

四、NAT 的网络拓扑位置

五、弹性公网 IP 在 NAT 网关上的使用

六、主要功能概述

七、典型场景与讨论

八、NAT网关的操作与使用


一、NAT 的背景概述

用户的 ECS 不想直接暴露到公网,怎么办?

多个业务想使用共享带宽的方式,来降低成本,怎么办?

用户想通过端口映射和 IP 映射的方式来访问 ECS ,怎么办?

各自购买公网宽带

业务1∶峰值30 MB,峰值出现时间不稳当;

为了应对可能的突发高峰,要购买40MB的带宽.

业务2∶峰值100 MB,出现在18:00左右;

为了应对突发高峰,要购买150 MB的带宽。

业务3∶峰值100 MB,出现在21:00左右;

为了应对突发高峰,要购买150 MB的带宽。

总计需要购买340 MB的带宽。

用NAT网关来共享带宽

在共享带宽模式下,

三个业务的总计峰值约为180 MB。

考虑到可能的流量高峰,

购买一个260 MB的共享带宽包就可满足业务需要。

image.png

用户不希望自己的 ECS 直接暴露到公网中,希望内网的 ECS 既能跟公网互联互通,又不希望暴露在公网中,需要怎么办?

或者,VPC 网络中有很多个业务,每一个业务需要购买一个带宽,带宽成本就很高,这时很多个业务想使用共享带宽,怎么办?这时,很多个业务想使用共享带宽来降低成本,可以使用 NAT 网关来实现。

同时,也希望通过使用 NAT 网关来实现业务在后端服务器上,想把某一个公网的端口映射出来,不希望用户知道后端的这应用端口是什么,但又希望用户通过某一个特定的端口能访问到后端的应用。

这时候可通过 NAT 做端口映射,来实现外部用户通过某一特定端口去访问到内部的 ECS 或旗下相应的应用,这些都可以通过 NAT 网关来实现。


二、什么是 NAT 网关

1、NAT网关( NAT Gateway )是一款企业级的 VPC 公网网关,提供 SNAT 和 DNAT 功能,支持绑定多 IP ,具备 Tbps 级别的集群转发能力和 region 级别的高可用性。

2、NAT 网关与 EIP 需要配合使用,组合成高性能、配置灵活的企业级网关。

也就是说可以通过 NAT 网关来帮助 VPC 内的 ECS 服务器来实现跟互联网的互联互通的访问。这时候可以通过 NAT 网关去绑定公网 IP 来实现。在创建完 NAT 网关后,需要给 NAT 网关绑定 EIP 来组成高性能、配置灵活的企业级网关。达到企业级网关的功能,也能实现降低网络带宽的成本。


三、为什么使用 NAT 网关

NAT 网关主要包含两个功能:

1、SNAT 功能

(1)VPC 内无公网 ECS 以某个公网 IP 地址访问公网

(2)VPC 内无公网 ECS 以某个公网 IP 地址池访问公网

在使用 SNAT 功能的时候,VPC 内的 ECS 有主动访问公网的请求时,可以通过 SNAT 的方式让后端的 ECS 跟互联网实现互联互通。这就可以在 NAT 网关上创建一个 SNAT 的条目,这个条目可以针对某个 ECS ,可以是某个交换机上的 ECS 来做。

2、DNAT 功能

将 NAT 公网 IP 映射给 ECS

(1)可以面向 Internet 提供服务

(2)支持 lP 和端口映射

(3)服务端口可灵活变更

用户可以通过互联网的外部端口访问到内部端口 ECS 上的某个应用,可以做端口映射,这样后端服务端口管理起来比较灵活,可以灵活变更外部端口,通过 DNAT 的方式能准确映射到后端服务器的端口上。

3、性能

(1)SNAT 最大连接数:单个 NAT 网关实例可支持100W SNAT 最大连接数。如需更大规格请提交工单咨询

(2)SNAT 每秒新建连接数:单个 NAT 网关实例可支持3W的 SNAT 每秒新建连接数

(3)绑定弹性公网 IP:单个NAT网关实例支持绑定10个 EIP 。

(4)公网宽带:绑定 NAT 网关的 EIP 可加入共享带宽,每个共享带宽带宽峰值为 5Gbps

NAT 网关作为一种企业级网关,它的性能是比较好的。主要是根据它的最大连接数和每秒新建连接数来考察NAT网关的性能,并且可以绑定弹性公网 IP,而且支持绑定公网带宽,也就是绑定共享带宽,来达到节省成本的目的。所以,它是一个性能很高的企业级公网网关。


四、NAT 的网络拓扑位置

image.png

NAT 在网络拓扑的位置实际上是在 VPC 上创建一个 NAT 网关,通过 NAT 网关去关联后端的交换机,SNAT 关联的粒度是针对后端交换机上的某个 VS ,这特别适用于不希望将自己的 ECS 直接暴露到公网中,或者后端服务器有主动访问公网的请求。

第二种就是在做端口映射的时候,希望通过外部特定的端口时,通过弹性公网 IP ,再通过外部端口能访问到后端的ECS 特定的端口,这时候可以用 NAT 来实现。这是弹性公网 IP 需要注意的拓扑的位置。需要绑定 EIP 来实现它跟外部网络的互联互通。


五、弹性公网 IP 在 NAT 网关上的使用

如何在 NAT 网关上绑定弹性公网 IP ?

假设用户需求:

1、希望专有网络内云产品必须有固定的公网 IP 地址与其对应。也就是说需要一个可以访问的公网地址。

2、公网 IP 地址带宽必须保证稳定性;

3、公网 IP 可弹性绑定。

这些都是弹性公网 IP 能够满足的需求。这时候就可以通过直接在 NAT 网关上去直接绑定弹性公网 IP 来实现 NAT 网关对外提供服务额能力。所以,在创建完 NAT 网关后,一定要绑定弹性公网 IP 。在不需要的时候可以动态的去解绑。

EIP:

能动态绑定到 ECS 实例的公网 IP 地址资源,实时生效对外提供服务

通过 NAT 方式映射到了被绑定 ECS 实例的私网网卡

使绑定 ECS 实例具备公网通信和服务的能力

创建 NAT 网关后,必须为 NAT 网关配置公网 IP


六、主要功能概述

1、SNAT 功能

SNAT ( Source Network Address Transition:源地址转换)

(1)VPC 内部 ECS 主动访问外部服务器,SNAT 建立连接状态表

SNAT 状态表

1.1.1.1 1234 2.2.2.2 80 TCP

(2)SNAT 有对应连接状态表的外部服务器才能和VPC内部ECS通信

实际上,源地址转换就是一个简易的防火墙功能,可以在访问使用 SNAT 功能的时候,通过源地址转换的功能,为专有网络中没有公网 ECS 的实例提供互联网的代理服务,相当于一个代理服务机。比如,要创建一个 SNAT 条目,在 NAT 网关上实际上就是一个 SNAT 状态表,这时就不断实现源地址的转换,有点类似于家用路由器上网一样,在访问互联网中的某一个网站的时候,会把私网地址通过路由器转换成公网地址来发送出去,收到请求后,再把公网地址通过路由器转换成私网地址返回给用户。这就是源地址转换的过程,是 NAT 网关其中的一个功能。

2、DNAT 功能

DNAT (Destination Network Address Transition:目的地址转换)

(1)将 NAT 网关上的公网IP映射到 VPC ECS,或映射到 VPC ECS 的多块网卡,VPC 内无公网 ECS 可以面向 Internet 提供服务。

(2)DNA T支持 IP 和端口映射

(3)服务端口可灵活变更

DNAT 就是端口映射。将一个公网IP映射给专有网络中的某个 ECS,这时,公网IP收到的数据将按照自定义的映射规则来将请求转发给后端的 ECS 服务器。当用户访问前端的80端口时,实际上是映射到 VPC 网络中的 ECS 服务器的80端口上,这样访问外部80端口实际上是在访问 ECS 内部的80端口。这样,既能实现 ECS 服务器跟互联网互通的访问,也能不将 ECS 服务器暴露在公网中。这时,用户也不需要知道真实的 ECS 服务器端口到底是什么。可以保证后端 ECS 的隐蔽性和安全性,这时就可以通过 DNA T目的地址的方式来实现。


七、典型场景与讨论

场景1:无公网 IP 的 ECS 需要访问公网—高可用的 SNAT 网关需求

场景2: VPC ECS 面向互联网提供web等服务

image.png

第一种典型的场景就是在很多 NAT 系统架构里面,后端的 ECS 服务器需要有访问公网的请求,比如,软件升级、访问互联网的某个内容、下载某个更新包,这种方式,出于安全性考虑,这时避免要将这些服务器就暴露在公网上,可以通过登记网关 SNAT 的这种方式来实现 ECS 跟互联网的一个互联互通。

第二种就是 DNAT,通过 DNAT 来提供公网服务,个时候专用网络类型的 ECS 可以通过端口映射或者 IP 映射的方式来对外提供服务,就可以把不同的服务映射到不同的端口上去,通过端口来区分服务。这是 IP 网关需要了解的东西。


八、NAT 网关的操作与使用

1、创建 NAT 网关

NAT网关的操作和 EIP 差不多,如何去新增和变更 NAT 网关?

先在地域上边创建 VPC 网络。前提是一定要创建专有网络,只需要在专有网络的控制台里面去选择创建 NAT 网关。注意,一个 VPC 只能配置一个 NAT 网关,所以,选择阿里云的产品。然后选择产品,找到 NAT 网关,选择登录管理控制台。选择创建整NAT 网关,一定要给NAT网关去绑定 EIP ,才能实现 NAT 网关跟公网互联互通能力。

首先,创建 NAT 网关,在创建的时候,要有 VPC 网络,先选择地域,默认地域是上海,然后选择 VPC 网络,当然也可以选择北京的地域。选择相应的地域以后,会根据选择的地域去选择地域所在的 VPC 。然后选择网关的规格,这个 VPC 网关的规格,主要考虑的就是最大的连接数,会根据 SNAT 的最大连接数去选择是小型的还是中型的,它这里有一个提示给大家,可以根据这个来选择,选择完成,选择立即购买。然后选择去开通,开通成功,这里就可以登陆控制台查看 NAT 网关。

这时就可以在 NAT 网关上面,选择设置 DNAT 和 SNAT 的策略。

这是如何去创建和使用 NAT 网关。

创建的时候要注意 NAT 网关的规格,根据最大连接数,或者说每秒连接数来确定应该选择要创建什么类型的规格。

NAT 网关的规格会影响SNAT功能的最大连接数和每秒新建连接数,但不会影响数据吞吐量。

2、删除 NAT 网关

在 NAT 网关创建成功后可以删除。但是需要注意,删除的时候,它里面所有的 SNAT 条目或者 DNAT 条目统统都会被删除掉,所以,删除的时候,一定要先确保这些资源是不是不要了,才确定删除。

3、使NAT网关具备公网能力

要想让NAT网关具备公网能力,要设置公网 IP 。这就要绑定 EIP。

可以选择绑定弹性公网 IP 。回到弹性公网 IP 的列表里,看到弹性公网IP有哪些。比如,已经分配给 ECS 的弹性公网 IP ,可以给它解绑。弹性公网IP的好处就是可以灵活的、动态的绑定和解绑。

把它解绑,同时只能绑定一个资源。选择NAT网关,然后选择绑定弹性公网IP,选择要绑定的公网 IP,从已有 EIP 列表选取可用 EIP 列表选择 47.94.239.208(MYEIP),可以针对 SNAT 粒度选择交换机,选择 defaultvswitch ,然后选择确定。

确定绑定以后,这个弹性公网 IP 就跟 NAT 网关绑定成功了,NAT 网关已具备公网访问能力。

4、设置源地址转换

创建成功并且绑定弹性公网 IP 后,就可以直接在里面设定源地址,或者说目的地址转换的这个功能。可以创建 SNAT 和 DNAT 的条目。

设置源地址和目的地址的条目,需要注意,如果用于创建 DNAT 条目的共享地址,就不能再用来创建 SNAT 了。

如果要想同时去创建一个 DNAT 条目和一个 SNAT 条目的话,需要两个弹性公网 IP 。

如果 ECS 已经绑定了弹性公网 IP ,这时候会优先使用它的公网 IP 去访问,而不是使用NAT 网关的 SNAT 功能。

如果是在 NAT 网关后面的ECS已经绑定了弹性公网 IP,那么发起互联网访问的时候是优先访问它的公网 IP ,然后才会使用 NAT 网关的 SNAT 功能,也就是不会使用到NAT网关的 SNAT 的功能。

5、创建 DNAT/SNAT 条目

选择 DNAT 条目列表下的创建 DNAT 条目,在弹出的对话框里,首先选择相应的 ECS,选择要想访问的 ECS:ECS1/主网卡/172.17.20.242。

选择公网端口,比如,要想映射的这个端口,这里需要注意一下。

这里选择设置公网 IP 地址时,提示【当前状态:没有找到弹性公网 IP 】,这时可以再绑定过来。然后设置公网端口,公网端口为80。私网端口也是80,这个时候可以通过某一个弹性公网 IP 访问到私网的80端口。点击确定。

也可以去创建 SNAT 的条目来保证 ECS 跟后端的一个访问,选择创建 SNAT 条目。在创建 SNAT 条目的时候,可以针对交换机粒度,也就是交换机下 ECS 可以针对某一个特定的 ECS 。比如,选择某一个特定的 ECS ,可以通过公网 IP 地址访问到这个ECS,设置某个 ECS 的访问,这个 ECS 是有公网 IP 地址的,会优先的去访问这个公网 IP 地址。

如果是有公网 IP 地址的话,可以针对想要的 ECS 去做相应的选择,这时就可以通过这个弹性 IP 去访问到它,点确定就可以了。

这就创建了 SNAT 的一个条目。

但是同时,只能映射给一个 ECS,或者说只能映射给一个交换机。

这就是 NAT 网关需要了解的东西。

可以通过绑定弹性公网 IP,使 NAT网关具有跟互联网互联互通的一个能力。

说明:如果某台持有公网 IP 的 ECS 实例(比如已经绑定了 EIP )发起互联网访问时,会优先使用其持有的公网 IP ,而不会使用 NAT 网关的 SNAT 功能。

说明:用于创建 DNAT 条目的公网IP地址不能再用来创建 SNAT 条目。

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
网络协议 网络架构
网关、DNS、路由器区别
1.首先得区分一下网关和路由器的区别: 网关是一个IP地址。是一个网络连接到另一个网络的“关口”。 路由器是一个物理设备。一般局域网的网关就是路由器的IP地址。 2. 网关、DNS、路由的例子 假设你的名字叫小不点(很小),你住在一个大院子里,你的邻居有很多小伙伴,父母是你的网关。
1182 0
|
6月前
|
弹性计算 Linux 网络安全
三步搭建VPC专有网络NAT网关,配置SNAT和DNAT规则(补充版)
申明:该文档参考于用户 “帅宝宝”的文档进行的优化,新增永久生效的方式
597 1
|
6月前
|
弹性计算 运维 监控
NAT网关介绍
NAT网关介绍
71 1
|
负载均衡 监控 Java
服务网关介绍|学习笔记
快速学习服务网关介绍
服务网关介绍|学习笔记
|
弹性计算 网络协议 前端开发
NAT网关操作与使用|学习笔记
快速学习NAT网关操作与使用
NAT网关操作与使用|学习笔记
|
弹性计算 网络协议 前端开发
私网NAT最佳实践
私网NAT实践,对于地址冲突的多vpc之间的互通,通过配置私网nat和相应路由条目解决地址冲突问题。
|
弹性计算 网络协议 网络安全
三步搭建VPC专有网络NAT网关,配置SNAT和DNAT规则
自建NAT网关配置SNAT和DNAT转发规则
20487 5
|
弹性计算 API
NAT网关之SNAT进阶使用(二)构建ECS级别SNAT出网方式
NAT网关是云上VPC ECS访问Internet的出入口。阿里云NAT网关控制台创建SNAT条目默认只支持交换机粒度。如何设置ECS粒度的SNAT规则呢,本文将为您揭晓。
6532 0
|
网络安全
手把手教你创建NAT网关
NAT网关是一款企业级的VPC公网网关,提供NAT代理功能。在配置SNAT和DNAT规则前,您需要先创建一个NAT网关实例。
1870 0
|
弹性计算 网络安全
NAT 网关三大使用场景
NAT网关适用于专有网络类型的ECS实例需要主动访问公网和被公网访问的场景。
2056 0