NAT网关概念

什么是NAT网关

NAT网关可为您提供网络地址转换服务,分为公网NAT网关和私网NAT网关。

公网NAT网关

公网NAT网关(Public NAT Gateway)能够为虚拟私有云内的云主机(弹性云服务器云主机、裸金属服务器物理机)或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器,提供最高20Gbit/s能力的网络地址转换服务,使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。

公网NAT网关分为SNAT和DNAT两个功能。

1、SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实现VPC内跨可用区的多个云主机共享弹性公网IP,安全,高效的访问互联网。

SNAT架构如图1所示。

图1 SNAT架构图

2、DNAT功能绑定弹性公网IP,可通过IP映射或端口映射两种方式,实现VPC内跨可用区的多个云主机共享弹性公网IP,为互联网提供服务。

DNAT架构如图2所示。

图2 DNAT架构图


私网NAT网关

私网NAT网关(Private NAT Gateway),能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器)提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则,可将源、目的网段地址转换为中转IP,通过使用中转IP实现VPC内的云主机与其他VPC、云下IDC互访。

私网NAT网关分为SNAT和DNAT两个功能:

1、SNAT功能通过绑定中转IP,可实现VPC内跨可用区的多个云主机共享中转IP,访问外部数据中心或其他VPC。

2、DNAT功能通过绑定中转IP,可实现IP映射或端口映射,使VPC内跨可用区的多个云主机共享中转IP,为外部私网提供服务。

中转子网

中转子网相当于一个中转网络,是中转IP所属的子网。

中转IP

您可以在中转子网中创建私网IP,即中转IP,使本端VPC中的云主机可以共享该私网IP(中转IP)访问用户IDC或其他远端VPC。

中转VPC

中转子网所在VPC。

图3 私网NAT网关

如上图所示:

1、重叠网段的VPC互访

两个本端VPC网段重叠,使用两个私网NAT网关,配置SNAT、DNAT规则,将本端VPC私网地址转换为中转IP地址,实现两个本端VPC中云主机利用中转IP互访,解决了VPC间网段重叠互访的问题。

2、指定IP接入远端私网

访问远端私网中的用户数据中心(IDC)和VPC被要求指定IP地址接入,远端私网中的IDC通过云专线/VPN接入中转VPC,远端私网中的VPC通过对等连接接入中转VPC。本端VPC1使用私网NAT网关,配置SNAT规则,将本端VPC私网地址转换为指定IP地址,实现本端VPC1中的云主机以指定IP地址接入远端私网。

说明:

1、私网NAT网关目前在“华东-上海二”、“西南-贵阳一”、“中国-香港”、“拉美-圣保罗一”、“非洲-约翰内斯堡”、“拉美-墨西哥城一”限时免费。

2、私网NAT网关目前在“华南-广州-友好用户环境”、“华南-广州”、“华东-上海一”、“华北-北京四”、“华北-乌兰察布一”、“亚太-曼谷”、“亚太-新加坡”已开始计费。

如何访问NAT网关

通过管理控制台、基于HTTPS请求的API(Application Programming Interface)两种方式访问NAT网关。

1、管理控制台方式

管理控制台是网页形式的,您可以使用直观的界面进行相应的操作。登录管理控制台,从主页选择“NAT网关”。

2、API方式

如果您需要将云平台上的NAT网关集成到您自己的系统,请使用API方式访问NAT网关,具体操作请参见《NAT网关API参考》

NAT网关产品优势

公网NAT网关优势

1、灵活部署

支持跨子网部署和跨可用区域部署。公网NAT网关支持跨可用区部署,可用性高,单个可用区的任何故障都不会影响公网NAT网关的业务连续性。公网NAT网关的规格、弹性公网IP,均可以随时调整。

2、多样易用

多种网关规格可灵活选择。对公网NAT网关进行简单配置后,即可使用,运维简单,快速发放,即开即用,运行稳定可靠。

3、降低成本

多个云主机共享使用弹性公网IP。当您的私有IP地址通过公网NAT网关发送数据,或您的应用面向互联网提供服务时,公网NAT网关服务将私有地址和公网地址进行转换。用户无需为云主机访问Internet购买多余的弹性公网IP和带宽资源,多个云主机共享使用弹性公网IP,有效降低成本。

私网NAT网关优势

1、简规划

大企业不同部门间存在大量重叠网段,上云后无法互通,需要在上云前进行企业网络的重新规划。华为云首创的私网NAT网关服务,支持重叠网段通信,客户可保留原有组网上云、无需重新规划,极大简化了IDC上云的网络规划。

2、易运维管理

因为组织层级、分权分域、安全隔离等因素,大型企业内不同归属的部门存在分级组网,需要映射至大网才能彼此通信。私网NAT支持私网的IP地址映射,各部门的网段可映射至统一的VPC大网地址进行统一管理,让复杂组网的管理更加简易。

3、高安全

针对企业各部门间不同的密级,私网NAT支持暴露限定网段的IP和端口,隔离高安全等级的业务。因为安全受限等原因,行业监管部门要求各机构和单位按指定IP地址接入,私网NAT可满足行业监管要求,将私网IP映射为指定IP进行接入。

4、零冲突

企业多部门间业务隔离,常常使用同一个私网网段,迁移上云后极易冲突。基于私网NAT网关的大小网映射能力,可支持云上的重叠网段互通,助力客户上云后网络零冲突。

NAT网关服务计费及相关文档

  • 查看NAT网关后端实例对应的监控指标

    如果您需要查看特定NAT网关的某个监控指标下各个后端实例对应的该监控指标情况,您可以按照如下步骤操作。

    如果您需要查看特定NAT网关的某个监控指标下各个后端实例对应的该监控指标情况,您可以按照如下步骤操作。

  • NAT网关计费说明(公网NAT网关)

    公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。

    公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。

  • NAT网关计费说明(私网NAT网关)

    私网NAT网关在不同区域分批次开始收费。本章节主要介绍私网NAT网关的计费详情。

    私网NAT网关在不同区域分批次开始收费。本章节主要介绍私网NAT网关的计费详情。

  • 什么是NAT网关

    NAT网关可为您提供网络地址转换服务,分为公网NAT网关和私网NAT网关。

    NAT网关可为您提供网络地址转换服务,分为公网NAT网关和私网NAT网关。

  • NAT网关区域和可用区

    我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。

    我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。

  • NAT网关与其它服务的关系

    介绍与云专线、虚拟专业网络、弹性云服务器、虚拟私有云、弹性公网IP、云监控、统一身份认证服务、云审计服务等的关系。

    介绍与云专线、虚拟专业网络、弹性云服务器、虚拟私有云、弹性公网IP、云监控、统一身份认证服务、云审计服务等的关系。

  • NAT网关敏感操作保护

    NAT网关支持敏感操作保护,在控制台进行敏感操作时,需要输入一种能证明身份的凭证,身份验证通过后方可进行相关操作。为了帐号安全,建议开启操作保护功能,该功能对帐号以及帐号下的用户都生效。

    NAT网关支持敏感操作保护,在控制台进行敏感操作时,需要输入一种能证明身份的凭证,身份验证通过后方可进行相关操作。为了帐号安全,建议开启操作保护功能,该功能对帐号以及帐号下的用户都生效。

  • NAT网关支持的监控指标

    本节定义了NAT网关上报云监控的监控指标的命名空间,监控指标列表和维度定义,用户可以通过云监控提供的管理控制台或API接口来检索NAT网关产生的监控指标。

    本节定义了NAT网关上报云监控的监控指标的命名空间,监控指标列表和维度定义,用户可以通过云监控提供的管理控制台或API接口来检索NAT网关产生的监控指标。

  • NAT网关权限管理

    如果您需要对华为云上购买的NAT网关(NAT Gateway)资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务进行精细的权限管理。

    如果您需要对华为云上购买的NAT网关(NAT Gateway)资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务进行精细的权限管理。

NAT网关设置帮助视频

NAT网关服务介绍

03:17

NAT网关服务介绍

介绍怎样配置SNAT访问公网

01:59

介绍怎样配置SNAT访问公网

介绍怎样配置DNAT为云主机面向公网提供服务

01:58

介绍怎样配置DNAT为云主机面向公网提供服务

1对1咨询专属顾问

1对1免费咨询华为云专属顾问,为您量身定制产品推荐方案
立即咨询

华为云咨询电话:950808或4000-955-988 转1

华为云咨询电话:950808或4000-955-988 转1

华为云专业的服务团队,致力于为您提供专业的售前购买咨询服务,及完善的售后技术服务,助您云上无忧