NAT 网关(NAT Gateway)是一种支持 IP 地址转换的网络云服务,它能够为腾讯云内的资源提供高性能的 Internet 访问服务。通过 NAT 网关,在腾讯云上的资源可以更加安全的访问 Internet,保护私有网络信息不直接暴露公网;您也可以通过 NAT 网关实现海量的公网访问,最大支持 1000 万以上的并发连接数;NAT 网关还支持 IP 级流量管控,可即时查看流量数据,帮助您快速定位异常流量,排查网络故障。

腾讯云 NAT 网关是将私有网络有内网 IP 地址和公网 IP 地址进行转换的网关,同时也是帮助私有网络内无公网 IP 的云资源访问 Internet 的一种高性能网关。

配置类型

NAT 网关提供了小、中、大型三种配置类型,您可根据业务需求选择相应的配置类型。 NAT 网关提供了三种配置类型(如下表),每个 NAT 网关最多可绑定 10 个弹性 IP,最大可满足 5Gbps 突增流量和 1000 万并发连接数。

类型小型中型大型
最大并发连接数100万300万1000万

NAT 网关最大外网出带宽支持 9 种可选值(单位为 Mbps):10,20,50,100,200,500,1000,2000,5000。后续随着业务量的变化,您还可以随时调整您的 NAT 网关配置类型。

功能

腾讯云 NAT 网关具备 SNAT、DNAT、网关流控、流量告警、共享带宽包、安全高防、自动容灾等多种功能。

SNAT

SNAT(Source Network Address Translation,源网络地址转换)支持多个 VPC 云主机通过同一公网 IP 主动访问互联网。

DNAT

DNAT(Destination Network Address Translation,目的网络地址转换)用于将 VPC 内的云主机内网IP、协议、端口映射成外网 IP、协议、端口,使得云主机上的服务可被外网访问。

网关流控

NAT 网关流控提供 IP 网关粒度的“监”与“控”能力,精细化网关流量可视化让网络运维人员对网关中流量一目了然,IP 粒度的限速能力帮助屏蔽异常流量。

流量告警

您可以设置自定义流量告警,当指标超过一定阈值时自动告警,告警消息会通过电子邮件和短信发出,帮助您提前预警风险。监控和告警服务无需额外收费,同时当故障发生时,能帮助您快速定位问题。

共享带宽包

NAT 网关可以配合共享带宽包使用,实现多个 IP 共享公网带宽,可用于不同应用间流量错峰场景,有效降低带宽成本。

安全高防

BGP 高防可为腾讯云客户提供超大带宽的 DDoS 和 CC 防护,最高支持 310Gbps 防护。您可以将高防包绑定到需要防护的 NAT 网关上,实现安全防护。

自动容灾

腾讯云 NAT 网关支持双机热备、自动容灾,服务可用性高达 99.99% ,为您业务稳定运行保驾护航。

NAT 网关(NAT Gateway)是一种支持 IP 地址转换服务,提供 SNAT 和 DNAT 能力,可为 私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务。NAT 网关支持高达99.99%的高可用性、5Gbps的带宽以及1000 万以上的并发连接数,其典型应用场景如下:

  1. 大带宽、高可用的公网出口服务,例如:网络爬虫,访问 Internet 公共服务等。

  2. 安全的公网出口服务,例如:云服务器需要与公网通信,但出于安全性考虑,不希望云服务器绑定公网 IP。

网络拓扑关系

如下图所示,VPC 内云服务器等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。最后 NAT 网关把绑定的弹性 IP 地址作为源 IP 地址,将流量发送到 Internet。
www.ksyuwei.cn

与公网网关的区别

VPC 内的云服务器可以通过 NAT 网关或者公网网关访问 Internet。两种网关之间的差异如下表所示。

属性NAT 网关公网网关
可用性双机热备,自动热切换手动切换故障网关
公网带宽最大5Gbps取决于云服务器网络带宽
公网 IP最多绑定10个弹性 IP1个弹性 IP 或普通公网 IP
公网限速取决于云服务器限速
最大连接数1000万50万
内网 IP不占用 VPC 用户的内网 IP占用子网内 IP
安全组NAT 网关不支持安全组绑定,可对后端云服务器进行安全组绑定支持安全组绑定
网络 ACLNAT 网关不支持网络 ACL 绑定,可对后端云服务器所在子网进行网络 ACL 绑定不支持绑定网络 ACL,可对所在子网进行网络 ACL 绑定
费用大陆地区:
小型(最大100万连接数):0.5元 / 小时
中型(最大300万连接数):1.5元 / 小时
大型(最大1000万连接数):5元 / 小时
取决于作为公网网关的云服务器规格,以大陆地区为例:
1核2G:0.44元 / 小时
4核8G:1.76元 / 小时
12核24G:5.28元 / 小时

由上表可知,NAT 网关具有如下优势:

  • 大容量
    最大支持1000万并发连接、5Gbps带宽和10个弹性 IP,满足大规模用户诉求。

  • 双机热备高可用
    单机故障自动切换,相对于公网网关的手动切换,实现了自动容灾,保障99.99%的服务可用性。

  • 省成本
    提供高、中、低三种配置,用户可按需购买,弹性计费,更省成本。

腾讯云 NAT 网关具备 SNAT(Source Network Address Translation,源网络地址转换)、DNAT(Destination Network Address Translation,目的网络地址转换)、网关流控、流量告警、共享带宽包、安全高防、自动容灾等多种功能。

SNAT

SNAT 支持多个 VPC 云服务器通过同一公网 IP 主动访问互联网。NAT 网关可支撑单实例 5 Gbps 级别的转发能力。

DNAT

DNAT 将 VPC 内的云服务器内网 IP、协议、端口映射成外网 IP、协议、端口,使得云服务器上的服务可被外网访问。

网关流控

您可以为 NAT 网关开启网关流控,网关流控可对某内网 IP 与 NAT 网关之间的带宽进行限制,提供 IP 网关粒度的 “监” 与 “控” 能力。精细化网关流量可视化让网络运维人员对网关中流量一目了然,IP 粒度的限速能力帮助您快速排查故障,屏蔽异常流量,保障关键业务。

流量告警

您可以设置自定义流量告警,当指标超过一定阈值时自动告警,告警消息会通过电子邮件和短信发出,帮助您提前预警风险。监控和告警服务无需额外收费,同时当故障发生时,能帮助您快速定位问题。

共享带宽包

NAT 网关可以配合共享带宽包使用,实现多个 IP 共享公网带宽,可用于不同应用间流量错峰场景,有效降低带宽成本。

安全高防

BGP 高防可为腾讯云客户提供超大带宽的 DDoS 和 CC 防护,最高支持 310 Gbps 防护。您可以将高防包绑定到需要防护的 NAT 网关上,实现安全防护。

自动容灾

NAT 网关支持双机热备、自动容灾,单机出故障自动切换,业务无感知,服务可用性高达 99.99% ,为您业务稳定运行保驾护航。

大带宽、高可用的公网访问

NAT 网关可满足用户以下场景需求:

  • 需要超大带宽。

  • 公网 IP 使用量大。

  • 部署服务较多的公网访问。

安全的公网访问

NAT 网关提供 IP 的安全转换,可用于下述场景:

  • 隐藏 VPC 内主机的公网 IP ,防止暴露其网络部署。

  • 隐藏 IP 的同时,能与公网通信。

NAT 网关提供了多种规格的套餐,您可按需选择。

配置类型

NAT 网关支持绑定 10 个弹性 IP,同时提供了 3 种配置类型,最大满足 5 Gbps 突增流量和 1000 万并发连接数:

  • 小型(最大 100 万连接数)

  • 中型(最大 300 万连接数)

  • 大型(最大 1000 万连接数)

最大外网出带宽

NAT 网关最大外网出带宽(单位:Mbps)的可选值有:10,20,50,100,200,500,1000, 2000,5000 。

最大外网入带宽

  • NAT 网关最大外网入带宽默认为 5Gbps,暂不支持设限。

  • NAT 网关流量费用以外网最大出带宽计算,外网入带宽值与费用无关。

费用详情请参见 计费说明。

在使用 NAT 网关时,您需要注意以下几点:

  • 用户删除 NAT 网关会解除其弹性 IP 地址的关联,但不会从用户帐号释放该弹性 IP 地址。

  • 用户不能为 NAT 网关关联安全组,但可以为私有子网中的实例绑定安全组,以控制进出这些实例的流量。

  • 用户无法直接使用网络 ACL 控制进出 NAT 网关的流量,但可以使用网络 ACL 控制进出 NAT 网关所关联子网的流量。

  • 用户无法通过 VPC 对等连接、VPN 连接或专线接入将流量路由到 NAT 网关,因为此类连接另一端的资源不能使用 NAT 网关。
    例如,VPC 1 发往 Internet 的流量都可通过 NAT 网关实现, VPC 1 和 VPC 2 建立了对等连接,VPC 2 中所有的资源可访问 VPC 1 中的所有资源,但 VPC 2 中的所有资源不可以通过 NAT 网关访问 Internet。

  • NAT 网关支持 TCP、UDP 和 ICMP 协议,而 GRE 隧道和 IPSec 使用的 ESP、AH 无法使用 NAT 网关。这是由 NAT 网关本身的特性决定的,与服务提供商无关。但互联网大部分应用都是 TCP 应用,TCP 和 UDP 应用合起来占互联网应用类型的99%。

  • NAT 网关支持的资源限制如下表所示,您还可以查看 VPC 其它产品的使用限制。

    资源限制
    每个 VPC 支持的 NAT 网关数3个
    每个 NAT 网关支持弹性 IP 个数10
    每个 NAT 网关最多支持转发能力5Gbps
    每个 NAT 网关的最大端口转发条数200

弹性公网 IP

NAT 网关和弹性公网 IP 是云服务器访问 Internet 的两种方式,您可以选择其中一种或两种用于您的公网访问架构设计。

方案 1:只使用 NAT 网关

云服务器不绑定弹性公网 IP,访问 Internet 的流量会通过内网转发至 NAT 网关,不会受购买时的公网带宽上限限制,NAT 网关产生的网络流量费用也不会占用云服务器的公网带宽出口。

方案 2:只使用弹性公网 IP

云服务器只绑定弹性公网 IP,不使用 NAT 网关,所有访问 Internet 流量通过弹性公网 IP 转出,会受到购买时的公网带宽上限限制。访问公网产生的相关费用,根据云服务器网络计费模式而定。

方案 3:同时使用 NAT 网关和弹性公网 IP

云服务器绑定弹性公网 IP,同时所在子网路由访问 Internet 流量指向 NAT 网关。

  • 所有云服务器主动访问 Internet 的流量 只通过内网转发至 NAT 网关,回包也经过 NAT 网关返回至云服务器,此部分流量不会受购买时的公网带宽上限限制,NAT 网关产生的网络流量费用不会占用云服务器的公网带宽出口。

  • 来自 Internet 的流量主动访问云服务器的弹性公网 IP,则云服务器回包统一通过弹性公网 IP 返回,产生的公网出流量受到购买时的公网带宽上限限制。访问公网产生的相关费用,根据云服务器网络计费模式而定。

注意:
如果用户账号开通了带宽包共享带宽功能,则 NAT 网关产生的出流量按照带宽包整体结算(不再重复收取0.8元 / GB 的网络流量费),建议您限制 NAT 网关的出带宽,以免 NAT 网关出带宽过高产生高额的带宽包费用。

更多弹性公网 IP 相关信息,请参考文档 弹性公网 IP 概述。

其他产品

更多相关产品信息,请参见下表:

产品名称与 NAT 网关的关系
云服务器NAT 网关和弹性公网 IP 是云服务器访问 Internet 的两种方式
弹性公网 IP弹性公网 IP 和 NAT 网关是云服务器访问 Internet 的两种方式
私有网络NAT 网关是 VPC 的一个子产品
路由表创建 NAT 网关后,需要配置路由规则,以将子网流量指向 NAT 网关
公网网关公网网关是开启了转发功能的云服务器,支持 NAT 接入
BGP 高防包将 BGP 高防包与 NAT 网关绑定,可实现 DDoS 和 CC 防护
网络 ACLNAT 网关后端云服务器所在子网绑定网络 ACL 后,可对进出子网的流量进行精确控制

www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

什么是 NAT 网关?

NAT 网关 在内外网隔离时,将私有网络(Virtual Private Cloud,VPC)中内网 IP 地址和公网 IP 地址进行转换,实现私有网络访问 Internet 功能。NAT 网关支持最大满足 5 Gbps 突增流量和 1000 万并发连接数。同时作为高可用网关,NAT 网关实现了双机热备,单机出故障自动切换,业务无感知。NAT 网关是一种将私有网络中内网 IP 地址和公网 IP 地址进行转换的网关,是私有网络内无公网 IP 的云资源访问 Internet 的一种方式(但不支持 Internet 主动访问私有网络)。典型应用场景详情请参见 NAT 网关简介。

NAT 网关和公网网关有什么区别?

NAT 网关与公网网关都用于私有网络内云服务器访问 Internet,但二者存在一些差异,详情请参见 NAT 网关和公网网关的区别。

NAT 网关有什么配置类型 ?

NAT 网关支持绑定 10 个弹性 IP,同时提供了三种配置类型,详情请参见 NAT 网关的配置类型。

NAT 网关有什么关键特性?

NAT 网关主要 SNAT、DNAT、高性能、高可用、监控明细展示、网关精细化流控这几个特性,详情请参见 NAT 网关的关键特性。

使用 NAT 网关有什么约束?

NAT 网关有其使用的约束,例如删除 NAT 网关会解除其弹性 IP 地址的关联,但不会从用户帐号释放该弹性 IP 地址。详情请参见 NAT 网关的使用约束。

NAT 网关的网络拓扑关系是什么?

NAT 网关是 VPC 内云服务器等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。详情请参见 NAT 网关的网络拓扑关系。

NAT 网关的主要功能是什么?

  • 支持 SNAT 和 DNAT。

  • 支持高防服务。
    详情请参见 NAT 网关的主要功能。

什么是弹性 IP?

弹性公网 IP 地址是专为动态云计算设计的静态 IP 地址。它是某地域下一个固定不变的公网 IP 地址。用户可以借助弹性公网 IP 地址,快速将地址重新映射到账户中的另一个 NAT 网关,从而屏蔽实例故障,详情请参见 弹性公网 IP。

NAT 网关流控有什么作用?

  • 作用:NAT网关流控提供 IP - 网关粒度的 “监” 与 “控” 能力,精细化网关流量可视化让网络运维人员对网关中流量一目了然,IP-网关粒度的限速能力助力异常流量屏蔽。网关流控主要价值如下:

    • 精确的网关故障排查能力,最小化网络故障时间;结合流量的实时查询、TOP N 的排名功能,可分析来源 IP 及其关键指标,快速定位异常流量。

    • 基于 IP-网关粒度的“监”与“控”能力;结合分钟级的网络流量查询,可及时发现异常流量抢占带宽,设置 IP-网关粒度带宽限制,保障核心业务稳定畅行。

    • 全时全流的网关流量分析能力,可以降低云上网络成本。通过 QoS 控制成本,可以在网络预算有限的情况下,限制非关键的业务带宽,以降低成本。

  • 例子:某日凌晨,某公司的网关流量突增,通过智能网关流控,运维人员可根据该突增时间点,追踪造成流量突增的 IP,从而快速定位根源。不仅如此,网关流控提供基于 IP-网关粒度的带宽控制,可限制某 IP 到网关的带宽,可屏蔽异常流量,保障关键业务。

什么是地域(region)?

腾讯云不同地域之间完全隔离,保证不同地域间最大程度的稳定性和容错性。当前覆盖大陆华南、华东、华北三个地区;并有针对覆盖东南亚地区的中国香港节点、新加坡节点,覆盖北美地区的多伦多节点,覆盖美国西部的硅谷节点。我们将逐步增加区域供应以满足更多节点的覆盖。建议用户选择最靠近您客户的地域,可降低访问时延、提高下载速度。

怎样选择适合用户的地域?

地域选择原则遵循以下原则:

  • 靠近用户原则
    请根据用户所在地理位置选择云服务器地域。云服务器越靠近访问客户,越能获得较小的访问时延和较高的访问速度。例如,用户大部分位于长江三角洲附近时,上海地域是较好的选择。

  • 内网通信同地域原则
    同地域内,内网互通;不同地域,内网不通。如需要多个云服务器内网通信的用户须选择相同云服务器地域。相同地域下的云服务器可以通过内网相互通信(内网通信,免费)。不同地域之间的云服务器不能通过内网互相通信(通信需经过公网,收费)。
    可用区域之间的隔离程度如何?
    每个可用区域在其独立的、物理上显著不同的基础设施中运行,并已设计为具备高可靠性。可用区之间不共用像发电机和冷却设备那样的常见故障点。此外,它们在物理上也是相互独立的,即使火灾、龙卷风或洪涝等极为罕见的灾难也只会影响单个可用区域。

可以创建多少个 NAT 网关?

不同的资源有不同的创建数量限制,详情请参见 VPC 内的资源配额详情 ,如需更高配额,请填写 工单申请 。

NAT 网关如何计费?

NAT 网关服务费用包含以下部分:

  • 网关费用(按小时计费)。

  • 访问 Internet 产生的流量费用。

详情请参见 计费概述。
有关私有网络的更多计费信息,详情请参见 私有网络价格总览。

用户创建的 NAT 网关没有使用为什么还会扣费?

由于 NAT 网关具备双机热备的特性,系统每 3 秒会分别给 NAT 网关的主备服务器发送一个 5 KB的探测包,因此每天会产生 0.2747 GB的流量,对应中国内地(大陆)、中国香港、北美会分别产生:0.2197 元、0.2747 元、0.1373 元的费用。

NAT 网关到期后会提醒吗?

当账户余额不足,从余额为 0 的时刻开始,2 小时内 NAT 网关可继续使用且继续扣费。2 小时后,若账户仍未充值到大于 0,NAT 网关将自动停止服务并停止扣费。NAT 网关停止服务后的 24 小时内,若账户余额仍未充值到大于 0,则保持为不可用状态;若充值到余额大于 0,则网关重新可用,且计费重新开始。NAT 网关停止服务后,余额小于 0 的时间达到 24 小时,NAT 网关将被立即回收。NAT 网关回收时,我们将通过邮件及短信的方式通知到腾讯云账号的创建者以及所有协作者。

路由表配置了某子网内通过 NAT 网关访问公网,但是该子网内的云服务器又配置了弹性 IP,这些云服务器是通过 NAT 网关还是弹性 IP 访问公网?

当路由表中存在多条路由规则时,路由优先级由高至低分别为:

  • 私有网络内流量。

  • 最精确路由。

  • 公网 IP。

详情请参见 路由规则优先级说明 。

如何使用 NAT 网关和弹性公网 IP?

  • NAT 网关是一种将私有网络中内网 IP 地址和公网 IP 地址进行转换的网关,是 VPC 内的一个公网流量的出入口。有关腾讯云 NAT 网关的使用说明,详情请参见 NAT 网关 。

  • NAT 网关和弹性公网 IP 是云服务器访问 Internet 的两种方式,可以选择其中一种或两种用于用户的公网访问架构设计。

如何在 VPC 的 NAT 网关上配置端口映射?

目前使用网络内部使用的是动态 NAT 随机对应端口,现在还不支持写静态 NAT。

在何处可以找到有关安全性的更多信息?

腾讯云提供安全组、加密登录、弹性 IP 等各种网络与安全性服务保障您的实例安全、高效、自由地对内对外提供服务。 如需有关云服务器的安全性等更多信息,详情请参见 网络与安全性概述。

如何防止他人查看我的系统?

用户可以完全掌控您的系统的可见性,云服务器允许用户将运行的实例放入用户所选择的任意安全组中。借助 安全组控制台 的界面,用户可以指定组间通信,以及网络上哪些 IP 子网可以与云服务器通信。

出现安全问题如何排查?

如怀疑出现安全隐患或出现不良事件,详情请参见 安全帮助指引 进行排查,同时可参考 主机安全 解决出现的安全问题。



  • 名称: NAT网关
  • 关键词: NAT网关,网络地址转换,SNATDNAT,腾讯云