1、简介
NAT网关(NAT Gateway)是一种支持 IP 地址转换的网络云服务,能够为虚拟私有云(Virtual Private Cloud,VPC)内的计算实例提供网络地址转换(Network Address Translation)。使多个弹性云主机可以共享使用弹性IP访问Internet(SNAT)或使多个弹性云主机提供互联网服务(DNAT),保护私有网络信息不直接对公网暴露。NAT网关是 VPC 内的一个公网流量的出入口。
2、高可用
2.1 网元高可用
NAT网关网元采用主备集群模式部署,主备需要进行Session同步,当主用NAT网关网元故障后,能够快速切换到备用NAT网关网元。
出向:VM发送报文到达DVR,DVR查找路由,发送到主NAT实例,然后封装Vxlan到SGW,SGW解封装,做出向限速后,将裸包发送给B-Leaf。
入向:报文进入AGW,然后查找路由封装Vxlan,将报文发送给主NAT实例所在的AZ的SGW,SGW限速后,将报文交给主NAT实例,NAT恢复VM的ip与port,查找路由发送报文到目的Host。
故障切换
如果主NAT实例down了,那么流量被路由到本AZ的备NAT实例,由备NAT实例进行处理。
2.2 上联网络高可用
NAT网关网元所在的物理服务器采用bond方式双上联接入Leaf。Underlay物理网络采用spine-leaf全互联结构。全网路由协议采用BGP,不同层级设备之间建立eBGP,leaf通过多条链路向上传递NAT网关路由形成ECMP。
3、可扩展性
- 若NAT网关网元采用虚拟机方式部署在服务器上,可以监控网元服务器资源消耗情况,设置阈值。当资源消耗超过阈值后,可通知运维管理人员手动扩容物理网元服务器。
- 当单NAT网关性能达到瓶颈,无法满足业务系统需求时,可以按需部署新的NAT网关实例快速进行扩展,满足业务系统需求。
4、高性能
NAT网关基于DPDK优化转发面性能:相比传统linux网络层数据包转发,DPDK拦截终端机制,绕过协议栈直接从网卡驱动获取数据报文,直接将数据报文发送给用户态应用程序,不触发后续中断流程,减少了中断和内存拷贝的消耗,从而提升数据报文处理速度。
NAT网关规格如下:
- SNAT:NAT网关的规格会影响SNAT功能的最大连接数和每秒新建连接数,数据吞吐量由弹性IP的带宽决定。
- DNAT:无连接数概念,提供端口映射,配置后根据规则转发。端口映射是指映射了弹性IP下某个具体端口,将指定协议的弹性IP(公网端口)映射到私网IP(私网端口),这样从互联网发送到弹性IP特定协议的数据将转发给配置的私网IP。
|
单实例EIP数目 |
32 |
|
单nat实例snat规则数量 |
1000 |
|
单nat实例dnat规则数量 |
1000 |
5、高易用性
1、弹性灵活,可快速扩容满足业务发展需求,满足各类大规模应用场景需求。
2、可视化主动运维:结合弹性IP,可以对入网流量、入网带宽、出网流量、出网带宽、出入PPS等主要指标进行监控。并自定义流量告警,当指标超过一定阈值时自动告警邮件通知,提升运维主动性。
6、使用场景介绍
6.1 节省公网IP,保护私网网络结构
需求:客户在云上创建服务资源,云上网络采用私网IP部署。如果需要与互联网互通。则需要进行NAT使用公网IP与互联网互通。
当直接使用弹性IP,则需要申请大量公网IP。为节省公网IP使用数量,可以使能NAT功能,将弹性IP与NAT网关绑定,通过SNAT、DNAT实现与互联网互通,节省公网IP地址资源,同时可以保护内部私网网络结构。
SNAT:源地址转换,支持 VPC 内多个云主机通过同一公网IP主动访问互联网。可以用于构建VPC公网出口,用户共享使用弹性IP访问Internet,灵活支持多种部署模式。通过NAT网关的SNAT功能,使VPC内没有公网IP的资源可以直接访问公网。
DNAT:目的地址转换,用于将VPC内的云主机的私网IP,协议,端口映射成公网IP,协议,端口,使得云主机上的服务可被外网用户访问。提供DNAT端口级转发功能,使云上业务可轻松面向Internet提供服务,并同时节省大量弹性公网IP。
NAT网关与弹性IP的关系
NAT网关和弹性公网 IP 作为云主机访问 Internet 的两种方式,您可以选择其中一种或两种用于您的公网访问架构设计:
方案一:只使用 NAT 网关
云主机不绑定弹性公网 IP,所有访问 Internet 流量通过 NAT 网关转发。此种方案中,云主机访问 Internet 的流量会通过内网转发至 NAT 网关。
方案二:只使用弹性IP
云主机只绑定弹性公网 IP,不使用 NAT 网关。此种方案中,云主机所有访问 Internet 流量通过弹性IP出,会受到弹性IP定义的带宽上限限制。
方案三:同时使用 NAT 网关和弹性公网 IP
云主机绑定了弹性公网 IP,同时所在子网路由访问 Internet 流量指向了 NAT 网关。此种方案中,所有云主机主动访问 Internet 的流量默认是通过内网转发至 NAT 网关,回包也经过 NAT 网关返回至云主机,此部分流量不会受弹性IP定义的带宽上限限制。如果来自 Internet 的流量主动访问云主机的弹性公网 IP,则云主机回包统一通过弹性公网 IP 返回,这样产生的公网出流量受到云主机绑定的弹性IP所定义的带宽上限限制。
如果客户需要更改默认外访流量是通过弹性IP的话,可以在路由表添加一条下一跳类型为“云服务器的公网 IP”的路由策略。此路由策略会影响该路由表关联的所有子网,即这些子网内有公网 IP(或弹性 IP)的云服务器访问 Internet,将不再通过 NAT 网关,而是其公网IP。
6.2 提升出口带宽利用率
需求:传统数据中心运维中,出口带宽整体运维管理。私有云部署中,客户通过部署弹性IP和NAT网关实现与互联网的互通。当企业规模扩大,通常不止一台云主机对外提供服务。比如两台云主机实例,每台ECS都部署一个应用服务,且都需要面向互联网提供服务。由于两个云主机在不同时间段的带宽需求量不同,若独自购买带宽容易造成资源浪费。此时可以使用NAT网关绑定多个弹性IP,多个弹性IP加入一个共享带宽,实现多个应用共享一份公网带宽,简化出口带宽管理,提升带宽资源利用率。
6.3 提升业务应用系统高可用性
需求:客户反馈业务系统对外提供服务时,面临被攻击封堵的危险,如果业务系统使用的弹性IP被攻击封堵,则业务系统不能对外提供服务。
为提升业务系统的可靠性,可以将NAT网关绑定多个弹性IP,在配置SNAT规则时,添加多个弹性IP。
当其中一个弹性公网IP被攻击封堵时,可以最大程度保障使用其他弹性公网IP的业务正常运行。
7、总结
天翼云NAT网关产品优势如下:
1、高可用:主备集群模式部署,当主用NAT网关网元故障后,能够快速切换到备用NAT网关网元。
2、可扩展性:可按业务发展需求灵活、快速扩展NAT网关处理能力。
3、高性能:转发面基于DPDK性能优化,网元单物理机处理性能显著提升。
4、易用性:弹性灵活,可快速扩容满足业务发展需求。结合弹性IP,可对出入网流量进行可视化主动运维。
