公網NAT網關

應用場景一：云上網絡入口，面向Internet提供服務

場景說明

當VPC內的云主機需要面向公網提供服務時，可以使用NAT網關的DNAT功能，使云上資源可輕松面向Internet提供服務，同時節省大量彈性公網IP，保護云上私網網絡安全。

推薦配置

DNAT功能綁定彈性IP，可通過端口映射方式，NAT網關會將會把訪問該彈性IP的請求轉換成指定的IP和端口轉發到目標云主機實例上。

一個云主機配置一條DNAT規則，如果有多個云主機需要為公網提供服務，可以通過配置多條DNAT規則來共享一個或多個彈性IP資源。實現多個云主機共享彈性IP和帶寬，精確的控制帶寬資源，節省公網帶寬資源。

組網架構

使用DNAT為公網提供服務場景組網圖如下圖所示。圖中示例的云主機類型均可以替換為彈性云主機、物理機的任何一個。例如：

• 彈性IP1的80端口，映射到云主機ECS 1的10080端口。
• 彈性IP1的8080端口，映射到云主機ECS 2的20080端口。
• 彈性IP2的443端口，映射到云主機ECS 3的30443端口。

應用場景二：構建VPC云上網絡出口

場景說明

當VPC內的云主機需要主動訪問Internet，可以使用彈性IP綁定云主機實現。但是如果VPC內需要主動訪問Internet的云主機過多時，為了節省彈性IP資源并且避免云主機IP直接暴露在公網上，可以使用NAT網關的SNAT功能，構建VPC主動訪問公網出口。

推薦配置

VPC中一個子網對應一條SNAT規則，一條SNAT規則配置一個彈性IP。NAT網關為您提供不同規格的連接數，根據業務規劃，NAT網關為您提供不同規格的連接數。您可以通過創建多條SNAT規則，來實現VPC內沒有彈性IP的資源可以直接訪問公網，多個云主機共享彈性公網IP資源訪問Internet。

組網架構

使用SNAT訪問公網場景組網圖如下圖所示：

應用場景三：搭建高可用的SNAT

場景說明

在IT系統中，往往存在綁定的彈性公網IP被攻擊封堵的可能性。如果您想提高系統的高可靠性，可以在配置SNAT規則時，添加多個彈性公網IP，當其中一個彈性公網IP被攻擊封堵時，保證使用其他彈性公網IP的業務正常運行。

推薦配置

當SNAT規則上綁定了多個EIP時，系統會隨機選擇一個彈性公網IP訪問公網。

集群模式資源池SNAT規則支持EIP地址池，每條SNAT規則支持添加5個彈性公網IP，當SNAT規則中添加的彈性公網IP被攻擊封堵或不可用時，需要手動從EIP池中刪除。

組網架構

高可用SNAT的組網如圖所示：

應用場景四：多NAT網關實例

場景說明

當單網關性能達到瓶頸，如SNAT支持最大100萬連接，如果無法滿足業務需求時，推薦使用多NAT網關組成集群來橫向擴展容量。

推薦配置

集群資源池支持多NAT實例組成集群，可橫向擴充公網訪問能力，需要一個VPC創建多個NAT網關，并使用自定義路由表和路由把流量分散到多個NAT網關，實現公網訪問能力的橫向擴容。

組網架構

NAT網關集群組網如圖所示：

應用場景五：云間NAT網關高速訪問互聯網

場景說明

用戶本地數據中心的服務器需要訪問公網或為公網提供服務時，集群資源池NAT網關可為您提供高效、優質的網絡服務。

推薦配置

通過開通云專線實現本地數據中心上云，然后購買公網NAT網關，通過配置SNAT規則實現訪問公網。

組網架構

云間NAT網關高速訪問互聯網組網如圖所示：

私網NAT網關

應用場景一：混合云使用指定地址互訪場景

場景說明

隨著金融證券行業云上業務規模的擴大，多網絡間進行私網互通時，會遇到被監管機構要求使用固定私網地址訪問的場景。通過私網 NAT網關的SNAT功能和DNAT功能可以實現固定私網中轉IP地址和互聯機構互訪的場景。

推薦配置

可以通過開通云專線實現云上VPC連接本地數據中心或機構數據中心，然后購買私網NAT網關，通過配置SNAT規則實現云上計算實例使用固定私網中轉IP地址訪問本地數據中心或機構數據中心。通過配置DNAT規則實現云上計算實例使用固定私網中轉IP地址開放服務被本地數據中心或機構數據中心訪問。

組網架構

混合云使用指定地址互訪場景的組網架構如下：

應用場景二：VPC互訪地址沖突

場景說明

由于早期網絡規劃單一或后期的業務合并，云上可能存在需要互通的兩個業務VPC地址沖突的情況（如下圖架構，兩個沖突VPC子網地址都是192.168.1.0/24）。這時我們可以通過私網NAT網關的能力，實現兩個地址沖突的VPC使用不沖突的私網中轉IP地址互訪。

推薦配置

您可以為兩個業務VPC各選擇一個不沖突的地址段創建子網，并分別基于此子網創建一個私網NAT網關并配置兩個不沖突的私網中轉IP地址（如下圖架構，分別選用地址段192.168.3.0/24和192.168.4.0/24）。主動訪問的業務VPC使用SNAT功能將源地址轉換為私網 NAT網關的私網中轉IP地址，被訪問的業務VPC通過DNAT功能使用私網NAT網關的私網中轉IP地址對外提供私網服務，從而實現地址沖突的兩個業務VPC互訪。

組網架構

云上VPC互訪地址沖突場景的組網網絡架構如下：