3.3NAT 网关
弹性公网IP 地址可以直接绑定到服务器上,但也暴露了服务器的公网IP 地址。44
因此,绝大多数用户都需要一个能隐藏内部服务器真实IP 地址的网关设备,借助该设备与公网通信。在云网络。我们提供了一个即开即用的IP 地址转换网关设备—— NAT 网关。用户只需要在控制台上点点鼠标,就能即时交付企业级的NAT 网关。
3.3.1 什么是NAT 网关
NAT 网关(NAT Gateway)是一款企业级的VPC 公网网关,可以让无公网IP 地址的ECS 访问互联网或者让用户通过互联网访问ECS 上的网站或应用,即提供SNAT 和DNAT 功能。NAT 网关通常和EIP 及共享带宽包配合使用,可以组合成高性能、配置灵活的企业级网关。
3.3.2 NAT 网关的主要特点
高安全性:通过NAT 网关的SNAT 功能访问公网时,用户ECS 只能主动从NAT 网关访问公网,通过公网是无法直接访问VPC 内的ECS 的。另外,用户可以通过NAT 网关提供的SNAT 规则配置功能,选择ECS 粒度或者交换机粒度的规则指定特别的ECS 来访问公网,控制NAT 网关的出口公网访问源。
高可用性:在公共云的业务部署架构中,用户非常关心基础组件的高可用能力, 因为一旦单AZ 出现故障,如果基础组件没有高可用的能力,那么将对业务运行有严重的影响。NAT 网关在部署架构中采用的是双可用区的部署架构,所以当单可用区出现故障后,NAT 网关可以实现快速业务切换,保障用户业务的连续性。同时, NAT 网关采用多机部署的方式,单台机器的故障不会影响业务。
易用性: NAT 网关可以即开通即用,在考虑公网出口安全的前提下最大限度地简化用户的操作,用户可以在官网控制台或者通过OpenAPI 的方式开启VPC 网络的NAT 功能,以使VPC 内的ECS 能高效地访问公网。同时,NAT 网关提供一系列便捷的操作,以支持用户的配置,如NAT 网关和EIP 组合购买、控制台的操作配置指引等。
高性能: NAT 网关作为一款公网出口的产品,提供超高的产品性能,NAT 网关已经连续多年在“双11”、春节红包活动中经受高流量、高并发的考验。除了提供千万级别的并发连接性能,用户也可通过NAT 池网关的方式,横向扩容,以提升针对同一个公网目的地址的并发能力。
另外,可以在一个VPC 中扩容多个NAT 网关,通过对子网路由的拆分,使不同子网的流量走不同的NAT 网关,这对用户的业务拆分、针对不同子网的安全防控,以及NAT 网关性能的横向扩容都有着重要的意义。
弹性计费:NAT 网关支持按使用量计费,用户在弹性范围内可以按照使用量来付费,最大限度为用户节约使用成本,如图3-18 所示,在用户业务模型不变的情况下, 选择按使用量计费的方式可以帮用户节约成本。
图3-18 两种计费类型的费用对比
3.3.3 NAT 网关的主要应用场景
NAT 网关提供SNAT(源网络地址转换)、DNAT(目的网络地址转换)和共享带宽功能。
VPC 内的用户在和公网业务通信时,最关注的就是安全,如避免公网上普遍存在的攻击、入侵等问题。VPC 内可以访问公网的主机想要细粒度的安全控制方案, 需要默认拒绝公网上对VPC 的主动访问,避免VPC 内的主机主动暴露在公网上。NAT 网关可以很好地解决以上问题。
SNAT
当云上业务需要访问公网上的服务时,可以创建一个NAT 网关,通过配置SNAT 规则来控制可通过NAT 网关访问公网的机器,并支持交换机和ECS 的粒度。
如图3-19 所示,用户在NAT 网关上绑定了弹性公网EIP-1,在用户VPC 内有两个子网,当用户配置了基于这两个子网的SNAT 规则后,属于这两个子网的ECS 即可通过这个弹性公网EIP 访问公网上的服务。如果用户需要将对接公网的入口都放在一台NAT 网关设备上,以便整体观测网关层面的总出入流量,或者需要将某一台设备的部分或者全部暴露到公网上,那么可以选择使用NAT 网关的DNAT 功能。
DNAT
当VPC 内的业务需要对公网提供服务时,通过设置DNAT 规则使公网上的业务可以访问VPC 内的服务,当前NAT 网关的DNAT 规则支持指定固定端口和任意端口来提供公网访问服务。
如图3-20 所示,用户的NAT 网关上绑定了EIP-1 和EIP-2,在用户VPC 内有四台ECS,用户配置了如下规则可以实现对应的访问类型:
◎ EIP-1:PORT1 -> ECS1:PORT2:公网上的业务可以通过EIP-1 的PORT1 访问ECS1 的 PORT2 端口;
◎ EIP-2:ANYPORT -> ECS4:ANYPORT:公网上的业务可以通过EIP-2 访问ECS4 的任意端口。
图3-19 SNAT 功能
图3-20 DNAT 转发
共享宽带
在给NAT 网关绑定EIP 后,可以将EIP 加入共享带宽中。EIP 在加入共享带宽后, 可复用共享带宽中的带宽,节省公网带宽的使用成本。
