公网NAT网关
云上网络入口,面向Internet提供服务
场景说明
当VPC内的云主机需要面向公网提供服务时,可以使用NAT网关的DNAT功能,使云上资源可轻松面向Internet提供服务,同时节省大量弹性公网IP,保护云上私网网络安全。
推荐配置
DNAT功能绑定弹性IP,可通过端口映射方式,NAT网关会将会把访问该弹性IP的请求转换成指定的IP和端口转发到目标云主机实例上。
一个云主机配置一条DNAT规则,如果有多个云主机需要为公网提供服务,可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。实现多个云主机共享弹性IP和带宽,精确的控制带宽资源,节省公网带宽资源。
组网架构
使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机、物理机的任何一个。例如:
- 弹性IP1的80端口,映射到云主机ECS 1的10080端口。
- 弹性IP1的8080端口,映射到云主机ECS 2的20080端口。
- 弹性IP2的443端口,映射到云主机ECS 3的30443端口。
构建VPC云上网络出口
场景说明
当VPC内的云主机需要主动访问Internet,可以使用弹性IP绑定云主机实现。但是如果VPC内需要主动访问Internet的云主机过多时,为了节省弹性IP资源并且避免云主机IP直接暴露在公网上,可以使用NAT网关的SNAT功能,构建VPC主动访问公网出口。
推荐配置
VPC中一个子网对应一条SNAT规则,一条SNAT规则配置一个弹性IP。NAT网关为您提供不同规格的连接数,根据业务规划,NAT网关为您提供不同规格的连接数。您可以通过创建多条SNAT规则,来实现VPC内没有弹性IP的资源可以直接访问公网,多个云主机共享弹性公网IP资源访问Internet。
组网架构
使用SNAT访问公网场景组网图如下图所示:
搭建高可用的SNAT
场景说明
在IT系统中,往往存在绑定的弹性公网IP被攻击封堵的可能性。如果您想提高系统的高可靠性,可以在配置SNAT规则时,添加多个弹性公网IP,当其中一个弹性公网IP被攻击封堵时,保证使用其他弹性公网IP的业务正常运行。
推荐配置
当SNAT规则上绑定了多个EIP时,系统会随机选择一个弹性公网IP访问公网。
集群模式资源池SNAT规则支持EIP地址池,每条SNAT规则支持添加5个弹性公网IP,当SNAT规则中添加的弹性公网IP被攻击封堵或不可用时,需要手动从EIP池中删除。
组网架构
高可用SNAT的组网如图所示:
多NAT网关实例
场景说明
当单网关性能达到瓶颈,如SNAT支持最大100万连接,如果无法满足业务需求时,推荐使用多NAT网关组成集群来横向扩展容量。
推荐配置
集群资源池支持多NAT实例组成集群,可横向扩充公网访问能力,需要一个VPC创建多个NAT网关,并使用自定义路由表和路由把流量分散到多个NAT网关,实现公网访问能力的横向扩容。
组网架构
NAT网关集群组网如图所示:
云间NAT网关高速访问互联网
场景说明
用户本地数据中心的服务器需要访问公网或为公网提供服务时,集群资源池NAT网关可为您提供高效、优质的网络服务。
推荐配置
通过开通云专线实现本地数据中心上云,然后购买公网NAT网关,通过配置SNAT规则实现访问公网。
组网架构
云间NAT网关高速访问互联网组网如图所示:
私网NAT网关
混合云使用指定地址互访场景
场景说明
随着金融证券行业云上业务规模的扩大,多网络间进行私网互通时,会遇到被监管机构要求使用固定私网地址访问的场景。通过私网 NAT网关的SNAT功能和DNAT功能可以实现固定私网中转IP地址和互联机构互访的场景。
推荐配置
可以通过开通云专线实现云上VPC连接本地数据中心或机构数据中心,然后购买私网NAT网关,通过配置SNAT规则实现云上计算实例使用固定私网中转IP地址访问本地数据中心或机构数据中心。通过配置DNAT规则实现云上计算实例使用固定私网中转IP地址开放服务被本地数据中心或机构数据中心访问。
组网架构
混合云使用指定地址互访场景的组网架构如下:
VPC互访地址冲突
场景说明
由于早期网络规划单一或后期的业务合并,云上可能存在需要互通的两个业务VPC地址冲突的情况(如下图架构,两个冲突VPC子网地址都是192.168.1.0/24)。这时我们可以通过私网NAT网关的能力,实现两个地址冲突的VPC使用不冲突的私网中转IP地址互访。
推荐配置
您可以为两个业务VPC各选择一个不冲突的地址段创建子网,并分别基于此子网创建一个私网NAT网关并配置两个不冲突的私网中转IP地址(如下图架构,分别选用地址段192.168.3.0/24和192.168.4.0/24)。主动访问的业务VPC使用SNAT功能将源地址转换为私网 NAT网关的私网中转IP地址,被访问的业务VPC通过DNAT功能使用私网NAT网关的私网中转IP地址对外提供私网服务,从而实现地址冲突的两个业务VPC互访。
组网架构
云上VPC互访地址冲突场景的组网网络架构如下:
