《企业运维之云上网络原理与实践》——第三章 云上网络VPC&EIP&NAT&共享宽带&SLB——云上网络VPC&EIP&NAT&共享带宽&SLB(下)(3) https://developer.aliyun.com/article/1230618?groupCode=supportservice
5) NAT网关应用场景
【场景一】搭建访问公网服务的SNAT网关
• 如果云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网导致被攻击的风险,用户可以选用公网NAT网关为业务提供安全防护能力;
• 如果业务具有突增的访问公网的流量需求,可以选用公网NAT网关提供灵活和弹性生的扩容能力,并且只需要按使用量付费,节省企业成本;
• 如果有大量访问公网的机器,可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。
解决方案
• 创建公网NAT网关,并为其绑定EIP,然后通过公网NAT网关的SNAT功能,实现VPC内的多个ECS实例共享EIP上网,节省公网IP资源;
具体操作参见
《使用公网NAT网关SNAT功能访问互联网》,网址:https://help.aliyun.com/document_detail/181972.html
• 为公网NAT网关绑定多个EIP,绑定成功后,ECS实例会随机通过SNAT地址池中的EIP访问公网。当其中一个EIP被攻击时,ECS实例可以随机使用其他EIP访问公网,最大程度保障业务的正常运行,避免出现在单EIP场景下,EIP故障导致的全业务中断。
说明:
指定多个EIP配置至SNAT IP地址池时,业务连接会通过哈希算法分配到多个EIP,由于每个连接的流量不同,可能会出现多EIP业务流量不均匀的情况,建议用户将每个EIP加入到同一个共享带宽中以避免单EIP带宽达到上限导致业务受损。具体操作,请参见加入与移出共享带宽。https://help.aliyun.com/document_detail/65205.html
【场景二】搭建提供公网服务的DNAT网关
创建公网NAT网关,并为其绑定EIP,然后配置公网NAT网关的DNAT功能。配置成功后,VPC内的ECS实例可以通过端口映射或IP映射面向公网提供服务。
具体操作
请参见《通过公网NAT网关DNAT功能实现ECS对外提供服务》https://help.aliyun.com/document_detail/181973.html
说明:
• 端口映射:公网NAT网关会将以指定协议和端口访问EIP的请求转发到目标ECS实例的指定协议和端口上;
• IP映射:公网NAT网关会将所有访问EIP的请求都转发到目标ECS实例上,目标ECS实例也可以使用该公网IP主动访问公网。如果公网NAT网关既配置了DNAT IP映射方式,又配置了SNAT条目,则ECS实例会优先通过DNAT IP映射方式的公网IP访问公网。
《企业运维之云上网络原理与实践》——第三章 云上网络VPC&EIP&NAT&共享宽带&SLB——云上网络VPC&EIP&NAT&共享带宽&SLB(下)(5) https://developer.aliyun.com/article/1230614?groupCode=supportservice
