3.3NAT 網關
彈性公網IP 位址可以直接綁定到伺服器上,但也暴露了伺服器的公網IP 位址。44
是以,絕大多數使用者都需要一個能隐藏内部伺服器真實IP 位址的網關裝置,借助該裝置與公網通信。在雲網絡。我們提供了一個即開即用的IP 位址轉換網關裝置—— NAT 網關。使用者隻需要在控制台上點點滑鼠,就能即時傳遞企業級的NAT 網關。
3.3.1 什麼是NAT 網關
NAT 網關(NAT Gateway)是一款企業級的VPC 公網網關,可以讓無公網IP 位址的ECS 通路網際網路或者讓使用者通過網際網路通路ECS 上的網站或應用,即提供SNAT 和DNAT 功能。NAT 網關通常和EIP 及共享帶寬包配合使用,可以組合成高性能、配置靈活的企業級網關。
3.3.2 NAT 網關的主要特點
高安全性:通過NAT 網關的SNAT 功能通路公網時,使用者ECS 隻能主動從NAT 網關通路公網,通過公網是無法直接通路VPC 内的ECS 的。另外,使用者可以通過NAT 網關提供的SNAT 規則配置功能,選擇ECS 粒度或者交換機粒度的規則指定特别的ECS 來通路公網,控制NAT 網關的出口公網通路源。
高可用性:在公共雲的業務部署架構中,使用者非常關心基礎元件的高可用能力, 因為一旦單AZ 出現故障,如果基礎元件沒有高可用的能力,那麼将對業務運作有嚴重的影響。NAT 網關在部署架構中采用的是雙可用區的部署架構,是以當單可用區出現故障後,NAT 網關可以實作快速業務切換,保障使用者業務的連續性。同時, NAT 網關采用多機部署的方式,單台機器的故障不會影響業務。
易用性: NAT 網關可以即開通即用,在考慮公網出口安全的前提下最大限度地簡化使用者的操作,使用者可以在官網控制台或者通過OpenAPI 的方式開啟VPC 網絡的NAT 功能,以使VPC 内的ECS 能高效地通路公網。同時,NAT 網關提供一系列便捷的操作,以支援使用者的配置,如NAT 網關和EIP 組合購買、控制台的操作配置指引等。
高性能: NAT 網關作為一款公網出口的産品,提供超高的産品性能,NAT 網關已經連續多年在“雙11”、春節紅包活動中經受高流量、高并發的考驗。除了提供千萬級别的并發連接配接性能,使用者也可通過NAT 池網關的方式,橫向擴容,以提升針對同一個公網目的位址的并發能力。
另外,可以在一個VPC 中擴容多個NAT 網關,通過對子網路由的拆分,使不同子網的流量走不同的NAT 網關,這對使用者的業務拆分、針對不同子網的安全防控,以及NAT 網關性能的橫向擴容都有着重要的意義。
彈性計費:NAT 網關支援按使用量計費,使用者在彈性範圍内可以按照使用量來付費,最大限度為使用者節約使用成本,如圖3-18 所示,在使用者業務模型不變的情況下, 選擇按使用量計費的方式可以幫使用者節約成本。
圖3-18 兩種計費類型的費用對比
3.3.3 NAT 網關的主要應用場景
NAT 網關提供SNAT(源網絡位址轉換)、DNAT(目的網絡位址轉換)和共享帶寬功能。
VPC 内的使用者在和公網業務通信時,最關注的就是安全,如避免公網上普遍存在的攻擊、入侵等問題。VPC 内可以通路公網的主機想要細粒度的安全控制方案, 需要預設拒絕公網上對VPC 的主動通路,避免VPC 内的主機主動暴露在公網上。NAT 網關可以很好地解決以上問題。
SNAT
當雲上業務需要通路公網上的服務時,可以建立一個NAT 網關,通過配置SNAT 規則來控制可通過NAT 網關通路公網的機器,并支援交換機和ECS 的粒度。
如圖3-19 所示,使用者在NAT 網關上綁定了彈性公網EIP-1,在使用者VPC 内有兩個子網,當使用者配置了基于這兩個子網的SNAT 規則後,屬于這兩個子網的ECS 即可通過這個彈性公網EIP 通路公網上的服務。如果使用者需要将對接公網的入口都放在一台NAT 網關裝置上,以便整體觀測網關層面的總出入流量,或者需要将某一台裝置的部分或者全部暴露到公網上,那麼可以選擇使用NAT 網關的DNAT 功能。
DNAT
當VPC 内的業務需要對公網提供服務時,通過設定DNAT 規則使公網上的業務可以通路VPC 内的服務,目前NAT 網關的DNAT 規則支援指定固定端口和任意端口來提供公網通路服務。
如圖3-20 所示,使用者的NAT 網關上綁定了EIP-1 和EIP-2,在使用者VPC 内有四台ECS,使用者配置了如下規則可以實作對應的通路類型:
◎ EIP-1:PORT1 -> ECS1:PORT2:公網上的業務可以通過EIP-1 的PORT1 通路ECS1 的 PORT2 端口;
◎ EIP-2:ANYPORT -> ECS4:ANYPORT:公網上的業務可以通過EIP-2 通路ECS4 的任意端口。
圖3-19 SNAT 功能
圖3-20 DNAT 轉發
共享寬帶
在給NAT 網關綁定EIP 後,可以将EIP 加入共享帶寬中。EIP 在加入共享帶寬後, 可複用共享帶寬中的帶寬,節省公網帶寬的使用成本。