公网NAT网关产品规格和使用限制
规格
规格说明
SNAT连接数:由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。其中源IP地址和源端口指SNAT转换之后的弹性公网IP和它的端口。连接能够区分不同会话,并且对应的会话是唯一的。
并发连接数:每分钟内并发连接的数量。并发连接数=SNAT连接数+DNAT连接数。
产品规格
在购买NAT网关时,请根据您的网络规划,合理选择NAT网关的规格。NAT网关支持的规格如表所示。
| 规格 | 最大并发连接数 |
|---|---|
| 小型 | 10000 |
| 中型 | 50000 |
| 大型 | 200000 |
| 超大型 | 1000000 |
| 定制型 | 线下合同定制,可支持千万以上并发 |
注意中型,大型,超大型,定制型规格仅部分资源池支持,具体支持资源池以购买页面展示为准。
使用限制
使用规则
在使用 NAT 网关时,您需要注意以下几点:
- 用户删除 NAT 网关会解除其弹性公网 IP 地址的关联,但不会从用户帐号释放该弹性 IP 地址。
- 用户不能为 NAT 网关关联安全组,但可以为私有子网中的实例绑定安全组,以控制进出这些实例的流量。
- 用户无法直接使用网络 ACL 控制进出 NAT 网关的流量,但可以使用网络 ACL 控制进出 NAT 网关所关联子网的流量。
SNAT 规则限制
当 NAT 网关解除关联 EIP 时,若该 EIP 为 SNAT 规则的唯一 EIP,则同时删除此条 SNAT 规则;若该 EIP 为此 SNAT 规则的非唯一 EIP,则 SNAT 规则中删除此 EIP。
DNAT规则限制
- 部分资源池支持SNAT、DNAT可以共用同一个弹性公网IP,节省弹性公网IP资源。
- 一个云主机的一个端口对应一条DNAT规则,一个云主机的一个端口只能映射到一个EIP的一个端口,不能映射到多个EIP或多个端口。
- 一个EIP的一个端口对应一条DNAT规则,一个EIP的一个端口只能映射到一台云主机的一个端口,不能映射到多个云主机或多个端口
NAT 网关相关配额限制
| 资源 | 配额 | 提升配额 |
|---|---|---|
| 一个VPC可以关联公网NAT网关实例数 | 1(地域资源池)、5(可用区资源池) | 提交工单(为1资源池不可调整) |
| 单个SNAT规则绑定EIP数量 | 1,部分资源池为5 | 提交工单(为1资源池不可调整) |
| 单个NAT网关实例可创建SNAT规则数量 | 50 | 提交工单 |
| 单个NAT网关实例可创建DNAT规则数量 | 100 | 提交工单 |
资源池说明
NAT网关在不同资源池有不同的能力,具体可以分为地域资源池、可用区资源池。
地域资源池是没有可用区概念的资源池,您的所有资源都在地域下的一个数据中心中。
可用区资源池分单可用区资源池和多可用区资源池。单可用区资源池和地域资源池网络结构类似,但是能力有区别。多可用区资源池下,NAT网关产品可以助您实现跨可用区的NAT转发能力。
按资源池区分
具体资源池信息如下:
地域资源池包含以下资源池:
华东地区:上海7/杭州2/合肥2/芜湖2/南京2/南京3/南京4/南京5/九江华南地区:福州3/福州4/福州25/厦门3/佛山3/广州6/南宁2/郴州2/长沙3/海口2/武汉3/武汉4西北地区:西安3/西安4/西安5/西宁2/兰州2/乌鲁木齐27/中卫5西南地区:贵州3/重庆2/成都4/昆明2/拉萨3北方地区:北京5/晋中/石家庄20/内蒙6/辽阳1
可用区资源池包含以下资源池:
华东地区:上海36/华东1/杭州7/南昌5华南地区:南宁23/武汉41/长沙42/华南2西南地区:西南1/西南2-贵州北方地区:青岛20/华北2/郑州5/太原4/呼和浩特3西北地区:庆阳2/西安7/乌鲁木齐7
两种资源池的售卖模式及其功能具有以下区别:
售卖模式区别
| 售卖模式\资源池类型 | 可用区资源池 | 地域资源池 |
|---|---|---|
| 售卖规格 | 小型、中型、大型、超大型 | 小型 |
| 按需计费模式售卖 | 支持 | 不支持 |
| 可用区选择 | 需要 | 不需要 |
产品功能区别
| 功能\资源池类型 | 可用区资源池 | 地域资源池 |
|---|---|---|
| 子网类型SNAT规则 | 支持 | 支持 |
| DNAT规则后端挂载云主机 | 支持 | 支持 |
| 自定义类型SNAT规则 | 支持 | 部分资源池支持 |
| 自定义后端地址DNAT规则 | 支持 | 部分资源池支持 |
| SNAT规则绑定EIP数量 | 5个(quota可调) | 部分资源池为:1个(不可调整)部分资源池为:5个(quota可调) |
| 单VPC支持NAT网关数 | 5个(quota可调) | 1个(不可调整) |
| IDC专线通过NAT网关访问公网 | 支持 | 部分资源池支持 |
| 跨对等连接使用NAT网关访问公网 | 不支持 | 不支持 |
| 监控 | 支持 | 不支持 |
| 配置路由指向NAT网关 | 需要 | 不需要 |
| SNAT、DNAT共用同一个弹性公网IP | 支持 | 不支持 |
私网NAT网关产品规格和使用限制
规格
规格说明
SNAT连接数:由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。其中源IP地址和源端口指SNAT转换之后的中转IP和它的端口。连接能够区分不同会话,并且对应的会话是唯一的。
并发连接数:每分钟内并发连接的数量。并发连接数=SNAT连接数+DNAT连接数。
产品规格
在购买私网NAT网关时,请根据您的网络规划,合理选择私网NAT网关的规格。私网NAT网关支持的规格如表所示。
| 规格 | 最大连接数 | 带宽 | 每秒报文数( PPS) | SNAT 规则数 | DNAT 规则数 |
|---|---|---|---|---|---|
| 小型 | 2000 | 200Mbps | 20000 | 10 | 10 |
| 中型 | 5000 | 500Mbps | 50000 | 25 | 25 |
| 大型 | 20000 | 2Gbps | 200000 | 100 | 100 |
| 超大型 | 50000 | 5Gbps | 500000 | 250 | 250 |
使用限制
在使用私网NAT 网关时,您需要注意以下几点:
- 用户不能为私网 NAT 网关关联安全组,但可以为私有子网中的实例绑定安全组,以控制进出这些实例的流量。
- 用户无法直接使用网络 ACL 控制进出私网NAT 网关的流量,但可以使用网络 ACL 控制进出 NAT 网关所关联子网的流量。
- 私网NAT不提供跨VPC的连接,需要通过创建对等连接或开通云专线/VPN连接远端私网。
- 需要进行地址转换的计算实例和私网NAT网关需要放入不同的子网,绑定不同的路由表,便于进行路由配置。
- 用户需要在VPC下不同路由表手动添加私网路由,实现远端访问流量经过NAT转换后才发往目的互联网络。
SNAT 规则限制
- VPC内的每个子网只能添加一条SNAT规则。
DNAT规则限制
- SNAT、DNAT可以共用同一个中转IP,实现服务开放和主动访问使用同一私网地址。
- 一个云主机的一个端口对应一条DNAT规则,一个云主机的一个端口只能映射到一个中转IP地址的一个端口,不能映射到多个中转IP地址或多个端口。
- 一个中转IP地址的一个端口对应一条DNAT规则,一个中转IP地址的一个端口只能映射到一台云主机的一个端口,不能映射到多个云主机或多个端口
SNAT和DNAT规则总数限制
- 小型:DNAT规则和SNAT规则的总数不超过20个。
- 中型:DNAT规则和SNAT规则的总数不超过50个。
- 大型:DNAT规则和SNAT规则的总数不超过200个。
- 超大型:DNAT规则和SNAT规则的总数不超过500个。
私网NAT 网关相关配额限制
| 资源 | 配额 | 提升配额 |
|---|---|---|
| 一个VPC只可以关联私网网NAT网关实例数 | 5 | 提交工单 |
| 单个SNAT规则绑定中转IP数量 | 5 | 提交工单 |
资源池说明
私网NAT网关仅在部分可用区资源池支持,地域资源池不支持私网NAT网关,支持资源池以控制台展示为准。
