带你读《云网络:数字经济的连接》第三章云数据中心网络3.3NAT网关

本文涉及的产品
应用型负载均衡 ALB,每月750个小时 15LCU
公网NAT网关,每月750个小时 15CU
网络型负载均衡 NLB,每月750个小时 15LCU
简介: 《云网络:数字经济的连接》第三章云数据中心网络3.3


3.3NAT 网关

弹性公网IP 地址可以直接绑定到服务器上,但也暴露了服务器的公网IP 地址。44

因此,绝大多数用户都需要一个能隐藏内部服务器真实IP 地址的网关设备,借助该设备与公网通信。在云网络。我们提供了一个即开即用的IP 地址转换网关设备—— NAT 网关。用户只需要在控制台上点点鼠标,就能即时交付企业级的NAT 网关。

3.3.1 什么是NAT 网关


NAT 网关(NAT Gateway)是一款企业级的VPC 公网网关,可以让无公网IP 地址的ECS 访问互联网或者让用户通过互联网访问ECS 上的网站或应用,即提供SNAT DNAT 功能。NAT 网关通常和EIP 及共享带宽包配合使用,可以组合成高性能、配置灵活的企业级网关。

3.3.2 NAT 网关的主要特点


高安全性:通过NAT 网关的SNAT 功能访问公网时,用户ECS 只能主动从NAT 网关访问公网,通过公网是无法直接访问VPC 内的ECS 的。另外,用户可以通过NAT 网关提供的SNAT 规则配置功能,选择ECS 粒度或者交换机粒度的规则指定特别的ECS 来访问公网,控制NAT 网关的出口公网访问源。

高可用性:在公共云的业务部署架构中,用户非常关心基础组件的高可用能力, 因为一旦单AZ 出现故障,如果基础组件没有高可用的能力,那么将对业务运行有严重的影响。NAT 网关在部署架构中采用的是双可用区的部署架构,所以当单可用区出现故障后,NAT 网关可以实现快速业务切换,保障用户业务的连续性。同时, NAT 网关采用多机部署的方式,单台机器的故障不会影响业务。

易用性: NAT 网关可以即开通即用,在考虑公网出口安全的前提下最大限度地简化用户的操作,用户可以在官网控制台或者通过OpenAPI 的方式开启VPC 网络的NAT 功能,以使VPC 内的ECS 能高效地访问公网。同时,NAT 网关提供一系列便捷的操作,以支持用户的配置,如NAT 网关和EIP 组合购买、控制台的操作配置指引等。

高性能: NAT 网关作为一款公网出口的产品,提供超高的产品性能,NAT 网关已经连续多年在“双11”、春节红包活动中经受高流量、高并发的考验。除了提供千万级别的并发连接性能,用户也可通过NAT 池网关的方式,横向扩容,以提升针对同一个公网目的地址的并发能力。

另外,可以在一个VPC 中扩容多个NAT 网关,通过对子网路由的拆分,使不同子网的流量走不同的NAT 网关,这对用户的业务拆分、针对不同子网的安全防控,以及NAT 网关性能的横向扩容都有着重要的意义。

弹性计费:NAT 网关支持按使用量计费,用户在弹性范围内可以按照使用量来付费,最大限度为用户节约使用成本,如图3-18 所示,在用户业务模型不变的情况下, 选择按使用量计费的方式可以帮用户节约成本。

image.png

图3-18 两种计费类型的费用对比

3.3.3 NAT 网关的主要应用场景


NAT 网关提供SNAT(源网络地址转换)、DNAT(目的网络地址转换)和共享带宽功能。

VPC 内的用户在和公网业务通信时,最关注的就是安全,如避免公网上普遍存在的攻击、入侵等问题。VPC 内可以访问公网的主机想要细粒度的安全控制方案, 需要默认拒绝公网上对VPC 的主动访问,避免VPC 内的主机主动暴露在公网上。NAT 网关可以很好地解决以上问题。

SNAT

当云上业务需要访问公网上的服务时,可以创建一个NAT 网关,通过配置SNAT 规则来控制可通过NAT 网关访问公网的机器,并支持交换机和ECS 的粒度。

如图3-19 所示,用户在NAT 网关上绑定了弹性公网EIP-1,在用户VPC 内有两个子网,当用户配置了基于这两个子网的SNAT 规则后,属于这两个子网的ECS 即可通过这个弹性公网EIP 访问公网上的服务。如果用户需要将对接公网的入口都放在一台NAT 网关设备上,以便整体观测网关层面的总出入流量,或者需要将某一台设备的部分或者全部暴露到公网上,那么可以选择使用NAT 网关的DNAT 功能。

DNAT

VPC 内的业务需要对公网提供服务时,通过设置DNAT 规则使公网上的业务可以访问VPC 内的服务,当前NAT 网关的DNAT 规则支持指定固定端口和任意端口来提供公网访问服务。

如图3-20 所示,用户的NAT 网关上绑定了EIP-1 EIP-2,在用户VPC 内有四台ECS,用户配置了如下规则可以实现对应的访问类型:

EIP-1PORT1 -> ECS1PORT2:公网上的业务可以通过EIP-1 PORT1 访问ECS1 PORT2 端口;

EIP-2ANYPORT -> ECS4ANYPORT:公网上的业务可以通过EIP-2 访问ECS4 的任意端口。

image.png

图3-19 SNAT 功能

image.png

图3-20 DNAT 转发

共享宽带

在给NAT 网关绑定EIP 后,可以将EIP 加入共享带宽中。EIP 在加入共享带宽后, 可复用共享带宽中的带宽,节省公网带宽的使用成本。

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
4月前
|
存储 人工智能 边缘计算
Gartner 魔力象限:数据中心网络交换机 2025
Gartner 魔力象限:数据中心网络交换机 2025
258 0
Gartner 魔力象限:数据中心网络交换机 2025
|
监控 数据可视化 Linux
Cisco Nexus Dashboard 4.1(1g) 发布 - 云和数据中心网络管理软件
Cisco Nexus Dashboard 4.1(1g) - 云和数据中心网络管理软件
24 0
|
26天前
|
Devops API 语音技术
Cisco NX-OS 10.6(1)F 发布 - 数据中心网络操作系统
Cisco NX-OS 10.6(1)F 发布 - 数据中心网络操作系统
46 0
Cisco NX-OS 10.6(1)F 发布 - 数据中心网络操作系统
|
3月前
|
运维 Prometheus 监控
云原生 API 网关 x OKG:游戏连接治理的「最后一公里」
本文介绍了云原生技术在游戏连接治理中的应用,重点探讨了如何通过 OpenKruiseGame(OKG)与云原生 API 网关的结合,实现游戏服务的优雅下线与无感配置变更。文章分析了游戏服务的强状态特性所带来的挑战,并提出了基于状态感知与连接管理的解决方案,保障玩家会话的连续性与体验的稳定性。同时,还介绍了如何通过零改造接入、全栈可观测性与简化的 API 治理,缩短游戏服务云原生化的“最后一公里”。
170 4
|
4月前
|
Docker 容器
Docker网关冲突导致容器启动网络异常解决方案
当执行`docker-compose up`命令时,服务器网络可能因Docker创建新网桥导致IP段冲突而中断。原因是Docker默认的docker0网卡(172.17.0.1/16)与宿主机网络地址段重叠,引发路由异常。解决方法为修改docker0地址段,通过配置`/etc/docker/daemon.json`调整为非冲突段(如192.168.200.1/24),并重启服务。同时,在`docker-compose.yml`中指定网络模式为`bridge`,最后通过检查docker0地址、网络接口列表及测试容器启动验证修复效果。
|
3月前
|
运维 Prometheus 监控
API 网关 x OKG:游戏连接治理的「最后一公里」
本文介绍了 API 网关与 OpenKruiseGame(OKG)结合,在云原生游戏场景中实现连接治理“最后一公里”的解决方案。针对游戏服务的有状态特性,该方案通过精细化流量管理和无感变更能力,保障玩家会话连续性,提升运维效率,助力游戏服务实现优雅下线、配置动态更新等功能,同时提供零改造接入和全栈可观测性,显著优化游戏体验与开发运维流程。
237 0
|
5月前
|
监控 安全 Linux
Arista CloudVision 2025.1 - 多云和数据中心网络自动化、监控和分析
Arista CloudVision 2025.1 - 多云和数据中心网络自动化、监控和分析
189 2
Arista CloudVision 2025.1 - 多云和数据中心网络自动化、监控和分析
|
5月前
|
网络协议 区块链 KVM
Arista vEOS 4.30.10M - 虚拟化的数据中心和云网络可扩展操作系统
Arista vEOS 4.30.10M - 虚拟化的数据中心和云网络可扩展操作系统
129 2
Arista vEOS 4.30.10M - 虚拟化的数据中心和云网络可扩展操作系统
|
5月前
|
监控 区块链 数据中心
Arista EOS 4.34.0F - 适用于下一代数据中心和云网络的可扩展操作系统
Arista EOS 4.34.0F - 适用于下一代数据中心和云网络的可扩展操作系统
142 0
Arista EOS 4.34.0F - 适用于下一代数据中心和云网络的可扩展操作系统
|
5月前
|
网络协议 安全 网络安全
NAT网络地址转换
NAT(网络地址转换)是一种关键的网络技术,通过将内部私有地址转换为外部公网地址,实现多设备共享单一公网IP上网。它不仅解决了IPv4地址不足的问题,还增强了网络安全,隐藏了内部网络结构。NAT主要分为静态NAT、动态NAT和NAPT(网络地址端口转换)三种类型,广泛应用于家庭和企业网络中。然而,NAT也存在对某些应用不友好、增加延迟及与IPv6不兼容等缺点。
673 14

热门文章

最新文章