什么是NAT网关

NAT网关(NAT Gateway)是一款企业级的公网网关,提供NAT代理(SNAT和DNAT)、高达10Gbps级别转发能力以及跨可用区的容灾能力。

NAT网关提供SNAT(源网络地址转换)、DNAT(目的网络地址转换)和共享带宽功能。

NAT网关限制

  • 一个公网IP不支持同时用于SNAT表和DNAT表
  • 当前 NAT 网关可绑定 EIP 额度:20
    其中按固定带宽 EIP 可绑定额度: 10
    提升配额 https://vpc.console.aliyun.com/quota
    注意,按流量计费 EIP 的流量峰值不能大于:200Mbps
  • NAT网关的最大并发数。
    当SNAT条目配置1个EIP时,NAT网关的最大并发数为55000。
    当SNAT条目配置n个EIP时,NAT网关的最大并发数为n*55000。
  • NAT网关绑定弹性IP,也是需要收取弹性IP的实例费用的。
    其他限制参考帮助:https://help.aliyun.com/document_detail/32382.html
  • Message : SNAT IP地址池配置条件不满足,IP必须加入到同一个共享带宽中才能进行配置SNAT IP地址池

1、SLB支持DNAT,不支持SNAT, NatGW既可以支持DNAT, 又可以支持SNAT。
2、SLB可以后面挂载多台后端服务器做负载分发,NatGW只能一对一映射,做不了负载均衡。
有一种场景两种产品都需要用到,比如公网流量过来需要负载分发至内网服务器,同时内网服务器需要定时去公网抓取数据,就需要SLB做DNAT,NatGW做SNAT。

SNAT

NAT网关提供SNAT功能,为VPC内无公网IP的ECS实例提供访问互联网的代理服务。
为设置了DNAT IP映射的ECS实例统一公网出口IP:

  • 当VPC内无公网IP的ECS实例通过NAT网关访问公网上同一个目的IP和端口时,NAT网关SNAT条目配置的EIP数量会限制NAT网关的最大并发数。
    • 当SNAT条目配置1个EIP时,NAT网关的最大并发数为55000。
    • 当SNAT条目配置n个EIP时,NAT网关的最大并发数为n*55000。
  • SNAT IP地址池中每个公网IP的最大带宽限制为200M。为了使SNAT规则能充分利用共享带宽的带宽能力,及避免公网IP过少导致端口冲突,建议您按照以下配比关系添加公网IP:
    • 共享带宽的带宽峰值为1024M时,SNAT规则中的公网IP数量应至少为5个。
    • 共享带宽的带宽峰值以1024M为基础每增加200M,SNAT规则中都应至少再新增1个公网IP。

https://help.aliyun.com/document_detail/122342.html

此外,NAT网关的SNAT功能还可以作为一个简易防火墙使用。通过SNAT功能保护后端的服务器,只有后端服务主动和外部终端建立连接后,外部终端才可以访问内部服务器,而未建立连接的外部不可信终端无法访问后端服务器。

DNAT

NAT网关支持DNAT功能,将NAT网关上的公网IP映射给ECS实例使用,使ECS实例能够提供互联网服务。




DNAT支持端口映射和IP映射。

如果您的ECS实例已经绑定了EIP,则不支持为该ECS实例添加DNAT条目。
如果后端服务器端口已经绑定了,不支持重新绑定有限制1对1的限制关系

共享宽带

您可以为NAT网关绑定EIP,再将EIP加入到共享带宽中。EIP加入到共享带宽后,EIP原本的计费模式失效,不额外收取流量或带宽费,只收取绑定NAT网关的EIP实例费。

搭建NAT网关就是为了实现在相同VPC内,没有公网IP的ECS借助有公网的ECS访问外网,或者是外网通过端口映射访问到内网服务器。
SNAT:实现没有公网IP的ECS实例借助有公网的ECS访问外网,但是外网无法访问到内网IP;
DNAT:实现外网通过端口映射访问到内网服务器,但是不能实现内网ECS访问到外网。