产品概述

NAT网关（CT-NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，CT-VPC）内的计算实例提供网络地址转换（Network Address Translation），分为SNAT和DNAT两个功能。

产品类型：

NAT网关可分为公网NAT网关和私网NAT网关。

公网NAT网关

公网NAT网关能够为虚拟私有云内的计算实例提供公网地址转换服务。通过SNAT可使多个计算实例共享使用弹性IP访问Internet，通过DNAT可使多个计算实例提供互联网服务。公网NAT网关是 VPC 内的一个公网流量的出入口，保护私有网络信息不直接对公网暴露。

私网NAT网关

私网NAT网关能够为虚拟私有云内的计算实例提供私网地址转换服务。通过私网NAT网关上的SNAT、DNAT规则，可将源、目的网段地址转换为VPC私网中转IP地址，通过使用中转IP实现VPC内的计算实例与其他VPC、云下IDC的指定地址互访。

产品基本概念

NAT（网络地址转换）

VPC内的云上资源分配的是私网IP，在互联网上私网IP不可被路由。如果VPC内的云上资源要与互联网互通或对互联网提供服务，则需要将云上资源的私网IP转换成可被路由的公网IP，并对外进行发布。

弹性IP地址

由天翼云提供的互联网协议地址，是互联网上可以被路由的地址。云上资源如果要对外提供服务，需要购买弹性公网地址并直接通过资源绑定或通过NAT网关规则绑定。

中转IP

中转IP地址是私网NAT在SNAT功能或DNAT功能中用于源或目的地址转换的私网IP地址。中转IP从私网NAT中转地址段中分配，私网NAT创建时从中转地址段中默认分配一个中转IP地址。

中转地址段

中转IP地址段是私网NAT进行私网NAT地址管理的地址集合。私网NAT网关创建时会默认把创建时选择的子网网段作为中转地址段。

DNAT（目的地址转换）

定义：通过IP映射或端口映射，将IP报文中的目的地址进行转换。

用户可以通过配置NAT网关DNAT规则实现VPC内多个云主机资源共享弹性IP对外提供服务。

SNAT（源地址转换）

定义：将IP报文的源地址、源端口进行转换。

用户可以通过配置NAT网关SNAT规则，将云主机的私网IP转换成弹性公网IP，使VPC内没有公网IP的云主机可以直接访问公网，实现VPC内多个云主机资源共享弹性IP主动访问Internet。

产品架构

NAT网关分为SNAT和DNAT两个功能。

公网NAT网关

公网NAT网关分为SNAT和DNAT两个功能。

SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享弹性公网IP安全、高效的访问互联网。

DNAT将外网 IP、端口映射到VPC内的云主机内网IP、端口，使得云主机上的服务可被外网访问。

私网NAT网关

使用私网NAT网关的SNAT和DNAT功能，可以实现云上VPC使用指定私网地址和其他VPC或IDC进行跨VPC私网互访。

公网NAT网关如何和IPV4网关配合规划用户网络

背景信息

VPC创建时，部分资源池默认会创建IPv4网关来统一管理进出VPC的公网流量，所有通过公网IP访问公网的流量都受到IPv4网关的管理。IPv4网关和VPC同生命周期，不允许单独删除IPv4网关。

在VPC中创建NAT网关后，在子网关联的路由表中增加一条目的地址为0.0.0.0/0指向NAT网关的路由规则后（可用区资源池(如华东1，华北2等)需要执行该步骤，以控制台为准），VPC中的云主机可以通过NAT网关的SNAT或DNAT规则访问公网或对外提供服务。

                    
注意
                    
系统类型的路由规则不允许修改、删除；路由目的地址相同时系统类型的路由规则优先级低于客户手动创建的路由规则。
在同一个子网内云主机同时绑定公网IP和SNAT规则时，由于指向NAT网关的路由优先级高于指向IPv4网关的系统路由，默认会通过SNAT访问公网，云主机绑定的EIP无法访问公网。因此，不建议同一个子网内的云主机同时绑定公网IP或者NAT网关。

                    
                  
                  

操作步骤

具体操作步骤参见弹性IP-如何通过弹性公网IP或NAT网关访问公网。

如何访问NAT网关

天翼云提供如下方式进行NAT网关的配置和管理：

• 控制台：天翼云提供Web化的服务管理平台
• OpenAPI：天翼云提供基于HTTPS请求的API（Application programming interface）管理方式