带你读《云网络:数字经济的连接》第三章云数据中心网络3.3NAT网关

本文涉及的产品
网络型负载均衡 NLB,每月750个小时 15LCU
公网NAT网关,每月750个小时 15CU
应用型负载均衡 ALB,每月750个小时 15LCU
简介: 《云网络:数字经济的连接》第三章云数据中心网络3.3


3.3NAT 网关

弹性公网IP 地址可以直接绑定到服务器上,但也暴露了服务器的公网IP 地址。44

因此,绝大多数用户都需要一个能隐藏内部服务器真实IP 地址的网关设备,借助该设备与公网通信。在云网络。我们提供了一个即开即用的IP 地址转换网关设备—— NAT 网关。用户只需要在控制台上点点鼠标,就能即时交付企业级的NAT 网关。

3.3.1 什么是NAT 网关


NAT 网关(NAT Gateway)是一款企业级的VPC 公网网关,可以让无公网IP 地址的ECS 访问互联网或者让用户通过互联网访问ECS 上的网站或应用,即提供SNAT DNAT 功能。NAT 网关通常和EIP 及共享带宽包配合使用,可以组合成高性能、配置灵活的企业级网关。

3.3.2 NAT 网关的主要特点


高安全性:通过NAT 网关的SNAT 功能访问公网时,用户ECS 只能主动从NAT 网关访问公网,通过公网是无法直接访问VPC 内的ECS 的。另外,用户可以通过NAT 网关提供的SNAT 规则配置功能,选择ECS 粒度或者交换机粒度的规则指定特别的ECS 来访问公网,控制NAT 网关的出口公网访问源。

高可用性:在公共云的业务部署架构中,用户非常关心基础组件的高可用能力, 因为一旦单AZ 出现故障,如果基础组件没有高可用的能力,那么将对业务运行有严重的影响。NAT 网关在部署架构中采用的是双可用区的部署架构,所以当单可用区出现故障后,NAT 网关可以实现快速业务切换,保障用户业务的连续性。同时, NAT 网关采用多机部署的方式,单台机器的故障不会影响业务。

易用性: NAT 网关可以即开通即用,在考虑公网出口安全的前提下最大限度地简化用户的操作,用户可以在官网控制台或者通过OpenAPI 的方式开启VPC 网络的NAT 功能,以使VPC 内的ECS 能高效地访问公网。同时,NAT 网关提供一系列便捷的操作,以支持用户的配置,如NAT 网关和EIP 组合购买、控制台的操作配置指引等。

高性能: NAT 网关作为一款公网出口的产品,提供超高的产品性能,NAT 网关已经连续多年在“双11”、春节红包活动中经受高流量、高并发的考验。除了提供千万级别的并发连接性能,用户也可通过NAT 池网关的方式,横向扩容,以提升针对同一个公网目的地址的并发能力。

另外,可以在一个VPC 中扩容多个NAT 网关,通过对子网路由的拆分,使不同子网的流量走不同的NAT 网关,这对用户的业务拆分、针对不同子网的安全防控,以及NAT 网关性能的横向扩容都有着重要的意义。

弹性计费:NAT 网关支持按使用量计费,用户在弹性范围内可以按照使用量来付费,最大限度为用户节约使用成本,如图3-18 所示,在用户业务模型不变的情况下, 选择按使用量计费的方式可以帮用户节约成本。

image.png

图3-18 两种计费类型的费用对比

3.3.3 NAT 网关的主要应用场景


NAT 网关提供SNAT(源网络地址转换)、DNAT(目的网络地址转换)和共享带宽功能。

VPC 内的用户在和公网业务通信时,最关注的就是安全,如避免公网上普遍存在的攻击、入侵等问题。VPC 内可以访问公网的主机想要细粒度的安全控制方案, 需要默认拒绝公网上对VPC 的主动访问,避免VPC 内的主机主动暴露在公网上。NAT 网关可以很好地解决以上问题。

SNAT

当云上业务需要访问公网上的服务时,可以创建一个NAT 网关,通过配置SNAT 规则来控制可通过NAT 网关访问公网的机器,并支持交换机和ECS 的粒度。

如图3-19 所示,用户在NAT 网关上绑定了弹性公网EIP-1,在用户VPC 内有两个子网,当用户配置了基于这两个子网的SNAT 规则后,属于这两个子网的ECS 即可通过这个弹性公网EIP 访问公网上的服务。如果用户需要将对接公网的入口都放在一台NAT 网关设备上,以便整体观测网关层面的总出入流量,或者需要将某一台设备的部分或者全部暴露到公网上,那么可以选择使用NAT 网关的DNAT 功能。

DNAT

VPC 内的业务需要对公网提供服务时,通过设置DNAT 规则使公网上的业务可以访问VPC 内的服务,当前NAT 网关的DNAT 规则支持指定固定端口和任意端口来提供公网访问服务。

如图3-20 所示,用户的NAT 网关上绑定了EIP-1 EIP-2,在用户VPC 内有四台ECS,用户配置了如下规则可以实现对应的访问类型:

EIP-1PORT1 -> ECS1PORT2:公网上的业务可以通过EIP-1 PORT1 访问ECS1 PORT2 端口;

EIP-2ANYPORT -> ECS4ANYPORT:公网上的业务可以通过EIP-2 访问ECS4 的任意端口。

image.png

图3-19 SNAT 功能

image.png

图3-20 DNAT 转发

共享宽带

在给NAT 网关绑定EIP 后,可以将EIP 加入共享带宽中。EIP 在加入共享带宽后, 可复用共享带宽中的带宽,节省公网带宽的使用成本。

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
5天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
18 2
|
7天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
26 4
|
17天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
【10月更文挑战第27天】计算机主机网关的作用类似于小区传达室的李大爷,负责将内部网络的请求转发到外部网络。当小区内的小不点想与外面的小明通话时,必须通过李大爷(网关)进行联系。网关不仅帮助内部设备与外部通信,还负责路由选择,确保数据包高效传输。此外,网关还参与路由表的维护和更新,确保网络路径的准确性。
40 2
|
20天前
|
运维 负载均衡 安全
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换动态NAT
Cisco-网络地址转换动态NAT
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换静态NAT
Cisco-网络地址转换静态NAT
|
1月前
|
网络协议 网络虚拟化 网络架构
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(上)
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(上)
63 1
|
1月前
|
网络协议 数据安全/隐私保护 网络虚拟化
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(下)
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(下)
58 0
|
1月前
|
移动开发 网络协议 测试技术
Mininet多数据中心网络拓扑流量带宽实验
Mininet多数据中心网络拓扑流量带宽实验
57 0
|
3月前
|
边缘计算 负载均衡 5G
边缘计算问题之数据中心内部和外部网络如何解决
边缘计算问题之数据中心内部和外部网络如何解决
30 1