公網NAT網關

使用SNAT訪問公網

當VPC內的云(yun)主機需要訪(fang)問公網(wang)，請求量(liang)大時，為了節省彈(dan)性(xing)IP資源并且避(bi)免云(yun)主機IP直(zhi)接暴(bao)露(lu)在(zai)公網(wang)上，您可(ke)以使用公網(wang)NAT網(wang)關(guan)的SNAT功能。VPC中一(yi)個子網(wang)對應(ying)一(yi)條SNAT規則(ze)(ze)(ze)，一(yi)條SNAT規則(ze)(ze)(ze)可(ke)以配(pei)置多個彈(dan)性(xing)IP。公網(wang)NAT網(wang)關(guan)為您提供不同規格(ge)的連接數，根(gen)據(ju)業務規劃，您可(ke)以通過創建多條SNAT規則(ze)(ze)(ze)，來實現(xian)共享(xiang)彈(dan)性(xing)IP資源。

使用(yong)SNAT訪問公網(wang)場景組網(wang)圖如圖所(suo)示。

圖 使用(yong)SNAT訪(fang)問(wen)公網

使用DNAT為云主機面向公網提供服務

當VPC內的(de)云主機需(xu)要面(mian)向公網(wang)提供服務時，可以使用(yong)公網(wang)NAT網(wang)關(guan)的(de)DNAT功能(neng)。

DNAT功(gong)能綁定彈性(xing)(xing)IP，有(you)兩種映射方式(shi)（IP映射、端(duan)口映射）。可通(tong)過(guo)(guo)端(duan)口映射方式(shi)，當(dang)用戶以指(zhi)定的(de)協議和(he)端(duan)口訪問該(gai)彈性(xing)(xing)IP時，公網NAT網關會將該(gai)請求轉(zhuan)發(fa)(fa)到目(mu)標云主(zhu)(zhu)機(ji)(ji)實例的(de)指(zhi)定端(duan)口上。也(ye)可通(tong)過(guo)(guo)IP映射方式(shi)，為云主(zhu)(zhu)機(ji)(ji)配置了一個(ge)彈性(xing)(xing)IP，任何訪問該(gai)彈性(xing)(xing)IP的(de)請求都(dou)將轉(zhuan)發(fa)(fa)到目(mu)標云主(zhu)(zhu)機(ji)(ji)實例上。使(shi)多個(ge)云主(zhu)(zhu)機(ji)(ji)共(gong)享(xiang)彈性(xing)(xing)IP和(he)帶寬，精確的(de)控制帶寬資(zi)源。

一個(ge)云(yun)主(zhu)機(ji)配置一條(tiao)DNAT規則(ze)，如果有多個(ge)云(yun)主(zhu)機(ji)需要為公網提供服(fu)務(wu)，可(ke)以通過配置多條(tiao)DNAT規則(ze)來共享一個(ge)或多個(ge)彈性IP資源。

使用DNAT為(wei)公(gong)網提供服務場景組網圖(tu)(tu)如下圖(tu)(tu)所示(shi)。圖(tu)(tu)中示(shi)例的(de)云主機類型均(jun)可以替換為(wei)彈性云主機中的(de)任何一個。

圖 使(shi)用DNAT為云主(zhu)機面向公網提供服務

使用SNAT或DNAT高速訪問互聯網

用(yong)戶云(yun)下數據中心使用(yong)云(yun)專線/VPN接入虛擬私有云(yun)的(de)用(yong)戶，若(ruo)有大量的(de)服務(wu)器需要實現安全(quan)，可靠，高速的(de)訪問(wen)互聯網(wang)，或(huo)者為(wei)互聯網(wang)提供服務(wu)，可通過(guo)公網(wang)NAT網(wang)關的(de)SNAT功能或(huo)DNAT功能來實現。

使用SNAT或DNAT高速訪問互聯網場景圖(tu)如圖(tu)所示(shi)。

圖(tu) 使用SNAT或DNAT高速(su)訪(fang)問互聯網

搭建高可用的SNAT

在(zai)IT系(xi)統(tong)中，往(wang)往(wang)存在(zai)綁定的彈(dan)性(xing)IP被攻擊(ji)封(feng)(feng)堵(du)的可能(neng)性(xing)。如果您想提高系(xi)統(tong)的高可靠(kao)性(xing)，可以(yi)在(zai)配置SNAT規(gui)則(ze)時，添加多個彈(dan)性(xing)IP，當其中一個彈(dan)性(xing)IP被攻擊(ji)封(feng)(feng)堵(du)時，可以(yi)最大程度(du)保障使(shi)用其他(ta)彈(dan)性(xing)公網IP的業務(wu)正(zheng)常(chang)運行(xing)。

當(dang)SNAT規則上綁定了(le)多(duo)個EIP時(shi)，系統(tong)會(hui)隨機選擇(ze)一個彈性(xing)IP訪問公網。

每條SNAT規(gui)則支(zhi)持添加20個彈(dan)性IP，當SNAT規(gui)則中添加的(de)彈(dan)性IP被攻擊封堵或不(bu)可用時，需要(yao)手(shou)動從(cong)EIP池中刪除。

使用(yong)公網(wang)NAT網(wang)關的SNAT規則搭建高可用(yong)場(chang)景組網(wang)圖如(ru)圖所示。

圖 使(shi)用公網NAT網關的SNAT規(gui)則搭建高可用場景

私網NAT網關

重疊網段VPC間互通

私(si)網(wang)NAT網(wang)關提(ti)供私(si)網(wang)地(di)址轉(zhuan)(zhuan)換服務，利(li)用(yong)兩個私(si)網(wang)NAT網(wang)關，配置SNAT、DNAT規則，可同時將源、目的(de)(de)網(wang)段地(di)址轉(zhuan)(zhuan)換為中轉(zhuan)(zhuan)IP，通過(guo)使用(yong)中轉(zhuan)(zhuan)IP實現(xian)兩VPC間互(hu)通。私(si)網(wang)NAT網(wang)關解(jie)決了兩個重(zhong)疊網(wang)段虛擬(ni)私(si)有云(yun)中的(de)(de)云(yun)主機(ji)互(hu)相(xiang)訪(fang)問的(de)(de)問題。

如下(xia)圖(tu)所示(shi)，創建一個(ge)中轉(zhuan)(zhuan)(zhuan)VPC，然后使(shi)用兩(liang)個(ge)私網NAT網關將(jiang)(jiang)VPC A中IP地址(zhi)(zhi)為(wei)192.168.0.1的彈性云(yun)主機地址(zhi)(zhi)轉(zhuan)(zhuan)(zhuan)化(hua)為(wei)10.0.0.11、將(jiang)(jiang)VPC B中IP地址(zhi)(zhi)為(wei)192.168.0.1的彈性云(yun)主機地址(zhi)(zhi)轉(zhuan)(zhuan)(zhuan)化(hua)為(wei)10.0.0.22，通過(guo)轉(zhuan)(zhuan)(zhuan)化(hua)后的IP地址(zhi)(zhi)相互訪問。

圖 重疊網段VPC間(jian)互通

企業網絡上云及指定IP接入

大企(qi)業(ye)(ye)等機構上云(yun)，希望遷移(yi)上云(yun)保持組網(wang)(wang)不變(bian)，使用私網(wang)(wang)NAT網(wang)(wang)關無需(xu)對網(wang)(wang)絡做任何更改(gai)即可保持原有(you)方式互通(tong)。同時，行業(ye)(ye)監管部門要求(qiu)指定(ding)地(di)址接入，使用私網(wang)(wang)NAT網(wang)(wang)關將各部門的IP地(di)址映射為(wei)指定(ding)地(di)址接入行業(ye)(ye)監管部門，滿足企(qi)業(ye)(ye)安全規范。

如下(xia)圖所示，企業(ye)部(bu)門(men)間存(cun)在網(wang)(wang)(wang)段重疊，使用私(si)網(wang)(wang)(wang)NAT網(wang)(wang)(wang)關，實現企業(ye)各部(bu)門(men)遷移上云后組網(wang)(wang)(wang)不變，部(bu)門(men)間保(bao)持原有方式互通(tong)，簡化了IDC上云的(de)網(wang)(wang)(wang)絡規(gui)劃；使用私(si)網(wang)(wang)(wang)NAT網(wang)(wang)(wang)關，配置SNAT規(gui)則(ze)，將各部(bu)門(men)的(de)IP地(di)址映射為符合要(yao)求的(de)10.0.0.33地(di)址接入行業(ye)監管部(bu)門(men)，提升企業(ye)的(de)安全(quan)性。

圖(tu) 企(qi)業(ye)網絡上(shang)云及指定IP接入