NAT网关

最近更新时间:2017-04-15 16:10:39

查看pdf

简介

NAT 网关是一种将私有网络中内网 IP 地址和公网 IP 地址进行转换的网关,是私有网络内无公网 IP 的云资源访问 Internet 的一种方式(但不支持 Internet 主动访问私有网络)。腾讯云私有网络NAT网关的典型应用场景如下:

  • 大带宽、高可用公网访问。针对用户需要超大带宽、公网 IP 使用量大、部署服务较多的公网访问应用场景,腾讯云 NAT 网关均可以满足需求。
  • 安全的公网访问。腾讯云私有网络的 NAT 网关提供 IP 的安全转换。如果用户希望隐藏私有网络内主机的公网 IP 以避免暴露其网络部署,同时又希望访问公网,那么使用腾讯云 NAT 网关可以满足这类需求。

网络拓扑关系

如下图所示,NAT 网关是一个处于 Internet 和 VPC 边界的网关,并接在 VPC 的路由器上。由这样的拓扑图可知,VPC 内云主机等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。然后 NAT 网关通过绑定的弹性 IP 地址作为源 IP 地址,将流量发送到 Internet:

NAT网关和公网网关的区别

NAT 网关与公网网关都用于私有网络内云主机访问 Internet,但二者存在一些差异:

属性 NAT网关 公网网关
可用性 双机热备,自动热切换 手动切换故障网关
公网带宽 最大5Gbps 取决于云服务器网络带宽
公网IP 最多绑定10个弹性IP 1个弹性IP or 普通公网IP
公网限速 取决于云服务器限速
最大连接数 1000w 50w
内网IP 不占用私有网络用户的内网IP 占用子网内IP
安全组 NAT网关不支持绑定安全组,可以对NAT网关后端云服务器绑定安全组 支持
网络ACL NAT网关不支持绑定网络ACL,可以对NAT网关后端云服务器所在子网绑定网络ACL 公网网关不支持绑定网络ACL,可以对公网网关所在子网绑定网络ACL
费用 大陆地区:
小型(最大100w连接数):0.5元 /小时
中型(最大300w连接数):1.5元 / 小时
大型(最大1000w连接数):5元 / 小时
取决于作为公网网关的云服务器规格,以大陆地区为例:
1核2G:0.44元 / 小时
4核8G:1.76元 / 小时
12核24G:5.28元 / 小时

通过上表对比可知,腾讯云 NAT 网关具有三大优势:

  • 大容量:最大支持 1000W 并发连接、5Gbps 带宽和 10 个弹性 IP,满足大规模用户诉求。
  • 双机热备高可用:单机故障自动切换,相比于公网网关的手动切换,实现了自动容灾,保障99.99%的服务可用性。
  • 省成本:提供高、中、低三种配置,用户可按需购买,弹性计费,更省成本。

配置类型

NAT 网关支持绑定 10 个弹性IP,同时提供了三种配置类型,最大满足 5Gbps 突增流量和1000w 并发连接数。

  • 小型(最大 100w 连接数)
  • 中型(最大 300w 连接数)
  • 大型(最大 1000w 连接数)

NAT 网关最大外网出带宽(单位:Mbps)的可选值有:10, 20, 50, 100, 200, 500, 1000, 2000, 5000 。

NAT网关和弹性公网IP的使用

NAT网关和弹性公网IP是云主机访问Internet的两种方式,您可以选择其中一种或两种用于您的公网访问架构设计:

方案1:只使用NAT网关

云主机不绑定弹性公网IP,所有访问Internet流量通过NAT网关转发。此种方案中,云主机访问Internet的流量会通过内网转发至NAT网关,因而不会受云主机购买时公网带宽的带宽上限限制,NAT网关产生的网络流量费用也不会占用云主机的公网带宽出口。

方案2:只使用弹性公网IP

云主机只绑定弹性公网IP,不使用NAT网关。此种方案,云主机所有访问Internet流量通过弹性公网IP出,会受到云主机购买时公网带宽的带宽上限限制。访问公网产生的相关费用,根据云主机网络计费模式而定。

方案3:同时使用NAT网关和弹性公网IP

云主机绑定了弹性公网IP,同时所在子网路由访问Internet流量指向了NAT网关。此种方案中,所有云主机主动访问Internet的流量只通过内网转发至NAT网关,回包也经过NAT网关返回至云主机,此部分流量不会受云主机购买时公网带宽的带宽上限限制,NAT网关产生的网络流量费用不会占用云主机的公网带宽出口。如果来自Internet的流量主动访问云主机的弹性公网IP,则云主机回包统一通过弹性公网IP返回,这样产生的公网出流量收到云主机购买时公网带宽的带宽上限限制。访问公网产生的相关费用,根据云主机网络计费模式而定。

注意:如果用户账号开通了带宽包共享带宽功能,则NAT网关产生的出流量按照带宽包整体结算(不再重复收取0.8元/GB的网络流量费),建议您限制NAT网关的出带宽,以避免因为NAT网关出带宽过高产生高额的带宽包费用。

关键特性

NAT网关主要有以下几点关键特性:

  • SNAT:源网络地址转换,用于 VPC 内的云服务资源访问互联网。
  • 高性能:NAT 网关可以支撑单实例 5Gbps 级别的转发能力;
  • 高可用:NAT 网关使用双机热备,单机出故障自动切换业务无感知。

使用约束

关于 NAT 网关的使用,您需要注意以下几点:

  • 删除 NAT 网关会解除其弹性 IP 地址的关联,但不会从用户帐号释放该弹性 IP 地址。
  • 不能为 NAT 网关关联安全组,但可以为私有子网中的实例使用安全组以便控制进出这些实例的流量。
  • 用户无法直接使用网络 ACL 控制进出 NAT 网关的流量,但可以使用网络 ACL 控制进出 NAT 网关所关联子网的流量。
  • 用户无法通过 VPC 对等连接、VPN 连接或专线接入将流量路由到 NAT 网关,这些连接另一端的资源不能使用 NAT 网关。例如,VPC 1 的发往 Internet 的流量都可以通过 NAT 网关实现,现在 VPC 1 和 VPC 2 建立了对等连接,VPC 2 里所有资源可以访问 VPC 1 中的所有资源,但 VPC 2 中的所有资源不可以经过 NAT 网关访问 Internet。
  • NAT 网关支持 TCP、UDP 和 ICMP 协议,而 GRE 隧道和 IPSec 使用的 ESP、AH 则无法使用 NAT 网关,这是由于 NAT 网关本身的特性决定的,与服务提供商无关。幸运的是互联网大部分应用都是 TCP 应用,TCP 和 UDP 应用合起来占互联网应用类型的99%。
  • NAT 网关资源支持限制如下表所示,您还可以查看 VPC 其它产品的使用约束
资源 限制
每个私有网络支持的NAT网关数 3个
每个NAT网关支持弹性IP个数 10
每个NAT网关最多支持转发能力 5Gbps

计费方式

NAT网关设备共收取两项服务费用:网关租用费(按小时计费)和访问 Internet 产生的流量费用。流量部分的费用可以参考云服务器网络费用中的按流量计费。NAT 网关本体计费模式如下表:

类型 国内 香港 新加坡、硅谷 多伦多
小型 0.5元/h 0.75元/h 0.75元/h 0.8元/h
中型 1.5元/h 2.25元/h 2.25元/h 2.4元/h
大型 5元/h 7.5元/h 7.5元/h 8元/h

注:

  • 如果用户账号开通了带宽包共享带宽功能,则NAT网关产生的出流量按照带宽包整体结算(不再重复收取0.8元/GB的网络流量费),建议您限制NAT网关的出带宽,以避免因为NAT网关出带宽过高产生高额的带宽包费用,点击查看带宽包计费详情
  • 欠费逻辑:与按量计费主机保持一致,点击查看私有网络价格总览
  • 由于NAT网关具备双机热备的特性,系统每3秒会分别给NAT网关的主备服务器发送一个5KB的探测包,因此每天会产生0.2747GB的流量,对应大陆、香港、北美会分别产生:0.2197元、0.2747元、0.1373元的费用。

到期提醒

  • 当您的账户余额不足。从余额为 0 的时刻开始,2 小时内 NAT 网关可继续使用且继续扣费。
  • 2 小时后,若您的账户仍未充值到大于0,NAT 网关将自动停止服务并停止扣费。
  • NAT 网关停止服务后的 24 小时内,若您的账户余额仍未充值到大于 0,则保持为不可用状态;若充值到余额大于 0,则网关重新可用,且计费重新开始。
  • NAT网关停止服务后,余额小于 0 的时间达到 24 小时,NAT 网关将被立即回收。
  • NAT 网关回收时,我们将通过邮件及短信的方式通知到腾讯云帐号的创建者以及所有协作者。

操作指南

如果您需要通过 NAT 网关使私有网络内中子网的资源访问 Internet,则您不仅需要创建 NAT 网关,还需在需要路由转发的子网所关联的路由表中配置路由规则。

快速入门

您需要完成以下两个步骤,您可以通过NAT网关访问Internet:

第一步:创建NAT网关

1) 登录腾讯云控制台,选择【私有网络】选项卡,选择【NAT网关】。
2) 点击左上角【新建】按钮,在弹出框中依次输入或确定以下参数:

  • 网关名称
  • 网关类型(网关类型创建后可更改)
  • NAT 网关服务的私有网络
  • 为 NAT 网关分配弹性 IP,您可以选择已有的弹性 IP,或者重新购买并分配弹性 IP

3) 选择结束后点击【确认】按钮,即可完成 NAT 网关的创建。
4) 创建完 NAT 网关,您需要在私有网络控制台路由表页配置路由规则,以将子网流量指向 NAT 网关。

注:NAT 网关创建时将会冻结 1 小时的租用费用。

第二步:配置相关子网所关联的路由表

1) 登录腾讯云控制台点击导航条【私有网络】,进入私有网络控制台。选择【路由表】。
2) 在路由表列表中,点击需要访问 Internet 的子网所关联的路由表 ID 进入路由表详情页,在路由策略中点击【编辑】按钮。
3) 点击新增一行,填入目的端,下一跳类型选择【NAT网关】,并选择已创建的 NAT 网关 ID。
4) 点击【确定】按钮。完成以上配置后,关联此路由表的子网内的云主机访问 Intenet 的流量将指向 NAT 网关。

修改 NAT 网关配置

NAT网关创建后,可以对其属性进行修改。
1) 登录腾讯云控制台点击导航条【私有网络】,进入私有网络控制台。选择【NAT网关】。
2) 在 NAT 网关列表页中点击需要修改的 NAT 网关 ID 进入详情页,在详情页您可以完成以下属性的修改:

  • 修改 NAT 网关的自定义名称
  • 更改 NAT 网关的规格,规格更改后实时设定,实时生效(变更规格不会中断原网络连接)

管理 NAT 网关的弹性 IP

1) 登录腾讯云控制台点击导航条【私有网络】,进入私有网络控制台,选择【NAT网关】。
2) 在 NAT 网关列表中点击 ID 进入 NAT 网关详情页。
3) 在关联弹性 IP 表中,你可以选择【新增】弹性 IP或者【解绑】弹性 IP。

查看 NAT 网关监控信息

1) 登录腾讯云控制台点击导航条【私有网络】,进入私有网络控制台,选择【NAT网关】。
2) 在 NAT 网关列表页,点击需要查看的 NAT 网关条目中的监控按钮,即可查看该 NAT 网关的监控信息。
(或)在 NAT 网关列表页,点击需要查看的 NAT 网关 ID 进入详情页,点击监控选项卡查看该 NAT 网关的监控信息。

设置告警

1) 登录腾讯云控制台点击顶部导航条【云产品】-【监控与管理】-【云监控】,选择左导航栏内的【我的告警】-【告警策略】,点击:新增告警策略。
2) 填写告警策略名称,在策略类型中选择【NAT网关】,然后添加告警触发条件。
3) 关联告警对象:选择告警接收组,保存后即可在告警策略列表中查看已设置的告警策略。
4) 查看告警信息:告警条件被触发后,您将接受到短信/邮件/站内信等通知,同时可以在左导航【我的告警】-【告警列表】中查看。有关告警的更多信息,请参考创建告警

删除 NAT 网关

用户可以在不需要 NAT 网关时随时将其删除,删除时会将含有此 NAT 网关的路由表的相关路由策略一并删除,Internet 转发请求将立即中断,请提前做好网络中断准备。
1) 登录腾讯云控制台点击导航条【私有网络】,进入私有网络控制台,选择【NAT网关】。
2) 选中需要删除的 NAT 网关,点击【删除】按钮并确认即可完成删除。

API概览

您可以使用API操作来设置和管理您的NAT网关,有关更多 VPC 内其他资源的内容,可以查看 VPC 所有 API 概览

接口功能 Action ID 功能描述
创建NAT网关 CreateNatGateway 创建NAT网关。
查询NAT网关创建状态 QueryNatGatewayProductionStatus 查询NAT网关创建状态。
删除NAT网关 DeleteNatGateway 删除NAT网关。
修改NAT网关 ModifyNatGateway 修改NAT网关。
查询NAT网关 DescribeNatGateway 查询NAT网关。
NAT网关绑定EIP EipBindNatGateway NAT网关绑定EIP。
NAT网关解绑EIP EipUnBindNatGateway NAT网关解绑EIP。
升级NAT网关规格 UpgradeNatGateway 升级NAT网关规格。

以上信息是否解决您的问题?