文档平台

常见问题
API文档

NAT网关

最近更新时间:2018-06-14 15:08:19

查看pdf

简介

NAT 网关是一种将私有网络中内网 IP 地址和公网 IP 地址进行转换的网关,是 VPC 内的一个公网流量的出入口。腾讯云私有网络 NAT 网关的典型应用场景如下:

  • 大带宽、高可用公网访问。针对用户需要超大带宽、公网 IP 使用量大、部署服务较多的公网访问应用场景,腾讯云 NAT 网关均可以满足需求。
  • 安全的公网访问。腾讯云私有网络的 NAT 网关提供 IP 的安全转换。如果用户希望隐藏私有网络内主机的公网 IP 以避免暴露其网络部署,同时又希望与公网通信,那么使用腾讯云 NAT 网关可以满足这类需求。

网络拓扑关系

如下图所示,NAT 网关是一个处于 Internet 和 VPC 边界的网关,并接在 VPC 的路由器上。由这样的拓扑图可知,VPC 内云主机等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。然后 NAT 网关通过绑定的弹性 IP 地址作为源 IP 地址,将流量发送到 Internet:

主要功能

  • NAT 网关支持 SNAT 和 DNAT:

    • SNAT:源地址转换,支持 VPC 内多个云主机通过同一公网 IP 主动访问互联网。
    • DNAT:目的地址转换,用于将 VPC 内的云主机的[内网IP,协议,端口]映射成[外网IP,协议,端口],使得云主机上的服务可被外网访问。
  • NAT 网关支持高防服务:
    BGP 高防可为腾讯云客户提供超大带宽的 DDoS 和 CC 防护,最高支持 310Gbps 防护。您可以将高防包绑定到需要防护的 NAT 网关上,实现安全防护。

NAT网关和公网网关的区别

NAT 网关与公网网关都用于私有网络内云主机访问 Internet,但二者存在一些差异:

属性 NAT网关 公网网关
可用性 双机热备,自动热切换 手动切换故障网关
公网带宽 最大 5Gbps 取决于云服务器网络带宽
公网 IP 最多绑定 10 个弹性 IP 1 个弹性 IP or 普通公网 IP
公网限速 取决于云服务器限速
最大连接数 1000w 50w
内网 IP 不占用私有网络用户的内网 IP 占用子网内 IP
安全组 NAT 网关不支持绑定安全组,可以对 NAT 网关后端云服务器绑定安全组 支持
网络 ACL NAT 网关不支持绑定网络 ACL,可以对 NAT 网关后端云服务器所在子网绑定网络 ACL。 公网网关不支持绑定网络 ACL,可以对公网网关所在子网绑定网络 ACL。
费用 大陆地区:
小型(最大 100w 连接数):0.5 元 / 小时
中型(最大 300w 连接数):1.5 元 / 小时
大型(最大 1000w 连接数):5 元 / 小时
取决于作为公网网关的云服务器规格,以大陆地区为例:
1 核 2G:0.44元 / 小时
4 核 8G:1.76元 / 小时
12 核 24G:5.28元 / 小时

通过上表对比可知,腾讯云 NAT 网关具有三大优势:

  • 大容量:最大支持 1000W 并发连接、5Gbps 带宽和 10 个弹性 IP,满足大规模用户诉求。
  • 双机热备高可用:单机故障自动切换,相比于公网网关的手动切换,实现了自动容灾,保障 99.99% 的服务可用性。
  • 省成本:提供高、中、低三种配置,用户可按需购买,弹性计费,更省成本。

配置类型

NAT 网关支持绑定 10 个弹性 IP,同时提供了三种配置类型,最大满足 5Gbps 突增流量和 1000w 并发连接数。

  • 小型(最大 100w 连接数)
  • 中型(最大 300w 连接数)
  • 大型(最大 1000w 连接数)

NAT 网关最大外网出带宽(单位:Mbps)的可选值有:10, 20, 50, 100, 200, 500, 1000, 2000, 5000 。

NAT 网关和弹性公网 IP 的使用

NAT 网关和弹性公网 IP 是云主机访问 Internet 的两种方式,您可以选择其中一种或两种用于您的公网访问架构设计:

方案 1:只使用 NAT 网关

云服务器不绑定弹性公网 IP,所有访问 Internet 流量通过 NAT 网关转发。此种方案中,云服务器访问 Internet 的流量会通过内网转发至 NAT 网关,因而不会受云服务器购买时公网带宽的带宽上限限制,NAT 网关产生的网络流量费用也不会占用云服务器的公网带宽出口。

方案 2:只使用弹性公网 IP

云服务器只绑定弹性公网 IP,不使用 NAT 网关。此种方案,云服务器所有访问 Internet 流量通过弹性公网 IP 出,会受到云服务器购买时公网带宽的带宽上限限制。访问公网产生的相关费用,根据云服务器网络计费模式而定。

方案 3:同时使用 NAT 网关和弹性公网 IP

云服务器绑定了弹性公网 IP,同时所在子网路由访问 Internet 流量指向了 NAT 网关。此种方案中,所有云服务器主动访问 Internet 的流量只通过内网转发至 NAT 网关,回包也经过 NAT 网关返回至云服务器,此部分流量不会受云服务器购买时公网带宽的带宽上限限制,NAT 网关产生的网络流量费用不会占用云服务器的公网带宽出口。如果来自 Internet 的流量主动访问云服务器的弹性公网 IP,则云主机回包统一通过弹性公网 IP 返回,这样产生的公网出流量受到云服务器购买时公网带宽的带宽上限限制。访问公网产生的相关费用,根据云服务器网络计费模式而定。

注意:
如果用户账号开通了带宽包共享带宽功能,则 NAT 网关产生的出流量按照带宽包整体结算(不再重复收取 0.8 元/GB 的网络流量费),建议您限制 NAT 网关的出带宽,以避免因为 NAT 网关出带宽过高产生高额的带宽包费用。

关键特性

NAT 网关主要有以下几点关键特性:

  • SNAT:源网络地址转换,支持多个 VPC 云主机通过同一公网IP主动访问互联网。
  • DNAT:目的地址转换,用于将 VPC 内的云主机的[内网 IP,协议,端口]映射成[外网IP,协议,端口],使得云主机上的服务可被外网访问。
  • 高性能:NAT 网关可以支撑单实例 5Gbps 级别的转发能力;
  • 高可用:NAT 网关使用双机热备,单机出故障自动切换业务无感知。
  • 监控明细展示 :可展示所有内网 IP 流往 NAT 网关的关键指标,便于您快速排查故障,定位异常流量,该监控明细数据可保存7天。
  • 网关精细化流控 :可对某内网 IP 与 NAT 网关之间的带宽进行限制,保障关键业务。

NAT 网关流控

NAT网关流控提供 IP-网关粒度的“监”与“控”能力,精细化网关流量可视化让网络运维人员对网关中流量一目了然,IP-网关粒度的限速能力助力异常流量屏蔽。
举个例子,某日凌晨,某公司的网关流量突增,通过智能网关流控,运维人员可根据该突增时间点,追踪是哪些 IP 造成的流量突增,从而快速定位根源。不仅如此,网关流控提供基于 IP-网关粒度的带宽控制,可限制某 IP 到网关的带宽,可屏蔽异常流量,保障关键业务。

网关流控主要价值如下:

  • 精确的网关故障排查能力,最小化网络故障时间;结合流量实时查询、TOP N 排名功能,可分析来源 IP 及其关键指标,快速定位异常流量。
  • 基于 IP-网关粒度的“监”与“控”能力;结合分钟级的网络流量查询,可及时发现异常流量抢占带宽,设置 IP-网关粒度带宽限制,保障核心业务稳定畅行。
  • 全时全流的网关流量分析能力,降低云上网络成本。通过 qos 控制成本,可在网络预算有限的情况下,限制非关键业务带宽,以降低成本。

使用约束

关于 NAT 网关的使用,您需要注意以下几点:

  • 删除 NAT 网关会解除其弹性 IP 地址的关联,但不会从用户帐号释放该弹性 IP 地址。
  • 不能为 NAT 网关关联安全组,但可以为私有子网中的实例使用安全组以便控制进出这些实例的流量。
  • 用户无法直接使用网络 ACL 控制进出 NAT 网关的流量,但可以使用网络 ACL 控制进出 NAT 网关所关联子网的流量。
  • 用户无法通过 VPC 对等连接、VPN 连接或专线接入将流量路由到 NAT 网关,这些连接另一端的资源不能使用 NAT 网关。例如,VPC 1 的发往 Internet 的流量都可以通过 NAT 网关实现,现在 VPC 1 和 VPC 2 建立了对等连接,VPC 2 里所有资源可以访问 VPC 1 中的所有资源,但 VPC 2 中的所有资源不可以经过 NAT 网关访问 Internet。
  • NAT 网关支持 TCP、UDP 和 ICMP 协议,而 GRE 隧道和 IPSec 使用的 ESP、AH 则无法使用 NAT 网关,这是由于 NAT 网关本身的特性决定的,与服务提供商无关。幸运的是互联网大部分应用都是 TCP 应用,TCP 和 UDP 应用合起来占互联网应用类型的99%。
  • NAT 网关资源支持限制如下表所示,您还可以查看 VPC 其它产品的使用约束
资源 限制
每个私有网络支持的 NAT 网关数 3个
每个 NAT 网关支持弹性 IP 个数 10
每个 NAT 网关最多支持转发能力 5Gbps
每个 NAT 网关的最大端口转发条目 200

计费方式

NAT 网关设备共收取两项服务费用:网关租用费(按小时计费)和访问 Internet 产生的流量费用。流量部分的费用可以参考云服务器网络费用中的按流量计费。NAT 网关本体计费模式如下表:

类型 国内 新加坡、硅谷、韩国、法兰克福、香港 多伦多
小型(最大 100w 连接数) 0.5元/h 0.75元/h 0.8元/h
中型(最大 300w 连接数) 1.5元/h 2.25元/h 2.4元/h
大型(最大 1000w 连接数) 5元/h 7.5元/h 8元/h

注意:

  • 如果用户账号开通了带宽包共享带宽功能,则 NAT 网关产生的出流量按照带宽包整体结算(不再重复收取 0.8元/GB 的网络流量费),建议您限制 NAT 网关的出带宽,以避免因为 NAT 网关出带宽过高产生高额的带宽包费用,单击查看 带宽包计费详情
  • 欠费逻辑:与按量计费主机保持一致,单击查看私有网络价格总览
  • 由于 NAT 网关具备双机热备的特性,系统每 3 秒会分别给 NAT 网关的主备服务器发送一个 5KB 的探测包,因此每天会产生 0.2747GB 的流量,对应大陆、香港、北美会分别产生:0.2197元、0.2747元、0.1373 元的费用。

到期提醒

  • 当您的账户余额不足。从余额为 0 的时刻开始,2 小时内 NAT 网关可继续使用且继续扣费。
  • 2 小时后,若您的账户仍未充值到大于 0,NAT 网关将自动停止服务并停止扣费。
  • NAT 网关停止服务后的 24 小时内,若您的账户余额仍未充值到大于 0,则保持为不可用状态;若充值到余额大于 0,则网关重新可用,且计费重新开始。
  • NAT 网关停止服务后,余额小于 0 的时间达到 24 小时,NAT 网关将被立即回收。
  • NAT 网关回收时,我们将通过邮件及短信的方式通知到腾讯云帐号的创建者以及所有协作者。

操作指南

如果您需要通过 NAT 网关使私有网络内中子网的资源访问 Internet,则您不仅需要创建 NAT 网关,还需在需要路由转发的子网所关联的路由表中配置路由规则。

快速入门

您需要完成以下两个步骤,您可以通过 NAT 网关访问 Internet:

第一步:创建NAT网关

  1. 登录 腾讯云控制台,选择【私有网络】选项卡,选择【NAT 网关】。
  2. 单击左上角【新建】按钮,在弹出框中依次输入或确定以下参数:
    • 网关名称
    • 网关类型(网关类型创建后可更改)
    • NAT 网关服务的私有网络
    • 为 NAT 网关分配弹性 IP,您可以选择已有的弹性 IP,或者重新购买并分配弹性 IP
  3. 选择结束后单击【确认】按钮,即可完成 NAT 网关的创建。
  4. 创建完 NAT 网关,您需要在私有网络控制台路由表页配置路由规则,以将子网流量指向 NAT 网关。

    注意:
    NAT 网关创建时将会冻结 1 小时的租用费用。

第二步:配置相关子网所关联的路由表

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台。选择【路由表】。
  2. 在路由表列表中,单击需要访问 Internet 的子网所关联的路由表 ID 进入路由表详情页,在路由策略中单击【编辑】按钮。
  3. 单击新增一行,填入目的端,下一跳类型选择【NAT 网关】,并选择已创建的 NAT 网关 ID。
  4. 单击【确定】按钮。完成以上配置后,关联此路由表的子网内的云主机访问 Intenet 的流量将指向 NAT 网关。

新建端口转发规则

端口转发表是 NAT 网关上的一张配置表,用于配置 NAT 网关上的 DNAT 功能,可将 VPC 内的云主机的[内网 IP,协议,端口]映射成[外网 IP,协议,端口],使得云主机上的服务可被外网访问。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台。选择【NAT 网关】。
  2. 在 NAT 网关列表页中单击需要修改的 NAT 网关 ID 进入详情页,选择【端口转发】
  3. 单击【新建】,选择协议、外部IP端口、及内部 IP 端口。

注意:
内部 IP 仅支持该私有网络内的云主机内网 IP。

查询端口转发规则

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台。选择【NAT 网关】。
  2. 在 NAT 网关列表页中单击需要查询的 NAT 网关 ID 进入详情页,选择【端口转发】
  3. 在搜索框内,选择协议\IP\端口 ,填写相关属性值后,即可查询相关端口转发规则。

注意:
请检查是否已经为实例所在子网关联的路由表内添加了NAT网关路由策略。

修改 NAT 网关配置

NAT 网关创建后,可以对其属性进行修改。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台。选择【NAT 网关】。
  2. 在 NAT 网关列表页中单击需要修改的 NAT 网关 ID 进入详情页,在详情页您可以完成以下属性的修改:
    • 修改 NAT 网关的自定义名称
    • 更改 NAT 网关的规格,规格更改后实时设定,实时生效(变更规格不会中断原网络连接)

管理 NAT 网关的弹性 IP

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表中单击 ID 进入 NAT 网关详情页。
  3. 在关联弹性 IP 表中,您可以选择【新增】弹性 IP或者【解绑】弹性 IP。

查看 NAT 网关监控信息

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表页,单击需要查看的 NAT 网关条目中的监控按钮,即可查看该 NAT 网关的监控信息。
    (或)在 NAT 网关列表页,单击需要查看的 NAT 网关 ID 进入详情页,单击监控选项卡查看该 NAT 网关的监控信息。

设置告警

  1. 登录 腾讯云控制台单击顶部导航条【云产品】-【监控与管理】-【云监控】,选择左导航栏内的【我的告警】-【告警策略】,单击:新增告警策略。
    2.填写告警策略名称,在策略类型中选择【NAT 网关】,然后添加告警触发条件。
    3.关联告警对象:选择告警接收组,保存后即可在告警策略列表中查看已设置的告警策略。
    4.查看告警信息:告警条件被触发后,您将接受到短信/邮件/站内信等通知,同时可以在左导航【我的告警】-【告警列表】中查看。有关告警的更多信息,请参考 创建告警

删除 NAT 网关

用户可以在不需要 NAT 网关时随时将其删除,删除时会将含有此 NAT 网关的路由表的相关路由策略一并删除,Internet 转发请求将立即中断,请提前做好网络中断准备。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 选中需要删除的 NAT 网关,单击【删除】按钮并确认即可完成删除。

开启网关流控明细

开启后,可查看某 NAT 网关上过去 7 天内的经过该网关的 IP 流量指标,可设置某个 IP 流向某 NAT 网关的出带宽。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表中单击 ID 进入 NAT 网关详情页。
  3. 单击监控 tab,开启右上角开启网关流控明细开关。
    开启网关流控明细,需要 5-6 分钟采集数据、发布数据,一段时间您可在监控图表下方查看监控明细表格。

设置网关流控明细

您在开启网关流控明细,可设置某个 IP 留向某 NAT 网关的出带宽。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表中单击 ID 进入 NAT 网关详情页。
  3. 单击监控 tab,找到需要设置监控明细的 IP,设置其出带宽限制。

查看网关流控明细

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表中单击 ID 进入 NAT 网关详情页。
  3. 单击监控 tab,在网关流控明细表右上方,单击【查看已限制 IP】。

绑定高防包

  1. 登录 腾讯云控制台单击导航条【安全】>【大禹网络安全】,选择左导航栏的【BGP高防包】
  2. 选择您已有的高防包实例,单击更换设备操作,选择需要防护的 NAT 网关上的 EIP。
  3. 单击【确认】,即为该 NAT 网关关联了高防包功能。

API 概览

您可以使用 API 操作来设置和管理您的 NAT 网关,有关更多 VPC 内其他资源的内容,可以查看 VPC 所有 API 概览

接口功能 Action ID 功能描述
创建NAT网关 CreateNatGateway 创建 NAT 网关。
查询NAT网关创建状态 QueryNatGatewayProductionStatus 查询 NAT 网关创建状态。
删除NAT网关 DeleteNatGateway 删除 NAT 网关。
修改NAT网关 ModifyNatGateway 修改 NAT 网关。
查询NAT网关 DescribeNatGateway 查询 NAT 网关。
NAT网关绑定EIP EipBindNatGateway NAT 网关绑定 EIP。
NAT网关解绑EIP EipUnBindNatGateway NAT 网关解绑 EIP。
升级NAT网关规格 UpgradeNatGateway 升级 NAT 网关规格。
常见问题
API文档

NAT网关

最近更新时间:2018-06-14 15:08:19

查看pdf

简介

NAT 网关是一种将私有网络中内网 IP 地址和公网 IP 地址进行转换的网关,是 VPC 内的一个公网流量的出入口。腾讯云私有网络 NAT 网关的典型应用场景如下:

  • 大带宽、高可用公网访问。针对用户需要超大带宽、公网 IP 使用量大、部署服务较多的公网访问应用场景,腾讯云 NAT 网关均可以满足需求。
  • 安全的公网访问。腾讯云私有网络的 NAT 网关提供 IP 的安全转换。如果用户希望隐藏私有网络内主机的公网 IP 以避免暴露其网络部署,同时又希望与公网通信,那么使用腾讯云 NAT 网关可以满足这类需求。

网络拓扑关系

如下图所示,NAT 网关是一个处于 Internet 和 VPC 边界的网关,并接在 VPC 的路由器上。由这样的拓扑图可知,VPC 内云主机等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。然后 NAT 网关通过绑定的弹性 IP 地址作为源 IP 地址,将流量发送到 Internet:

主要功能

  • NAT 网关支持 SNAT 和 DNAT:

    • SNAT:源地址转换,支持 VPC 内多个云主机通过同一公网 IP 主动访问互联网。
    • DNAT:目的地址转换,用于将 VPC 内的云主机的[内网IP,协议,端口]映射成[外网IP,协议,端口],使得云主机上的服务可被外网访问。
  • NAT 网关支持高防服务:
    BGP 高防可为腾讯云客户提供超大带宽的 DDoS 和 CC 防护,最高支持 310Gbps 防护。您可以将高防包绑定到需要防护的 NAT 网关上,实现安全防护。

NAT网关和公网网关的区别

NAT 网关与公网网关都用于私有网络内云主机访问 Internet,但二者存在一些差异:

属性 NAT网关 公网网关
可用性 双机热备,自动热切换 手动切换故障网关
公网带宽 最大 5Gbps 取决于云服务器网络带宽
公网 IP 最多绑定 10 个弹性 IP 1 个弹性 IP or 普通公网 IP
公网限速 取决于云服务器限速
最大连接数 1000w 50w
内网 IP 不占用私有网络用户的内网 IP 占用子网内 IP
安全组 NAT 网关不支持绑定安全组,可以对 NAT 网关后端云服务器绑定安全组 支持
网络 ACL NAT 网关不支持绑定网络 ACL,可以对 NAT 网关后端云服务器所在子网绑定网络 ACL。 公网网关不支持绑定网络 ACL,可以对公网网关所在子网绑定网络 ACL。
费用 大陆地区:
小型(最大 100w 连接数):0.5 元 / 小时
中型(最大 300w 连接数):1.5 元 / 小时
大型(最大 1000w 连接数):5 元 / 小时
取决于作为公网网关的云服务器规格,以大陆地区为例:
1 核 2G:0.44元 / 小时
4 核 8G:1.76元 / 小时
12 核 24G:5.28元 / 小时

通过上表对比可知,腾讯云 NAT 网关具有三大优势:

  • 大容量:最大支持 1000W 并发连接、5Gbps 带宽和 10 个弹性 IP,满足大规模用户诉求。
  • 双机热备高可用:单机故障自动切换,相比于公网网关的手动切换,实现了自动容灾,保障 99.99% 的服务可用性。
  • 省成本:提供高、中、低三种配置,用户可按需购买,弹性计费,更省成本。

配置类型

NAT 网关支持绑定 10 个弹性 IP,同时提供了三种配置类型,最大满足 5Gbps 突增流量和 1000w 并发连接数。

  • 小型(最大 100w 连接数)
  • 中型(最大 300w 连接数)
  • 大型(最大 1000w 连接数)

NAT 网关最大外网出带宽(单位:Mbps)的可选值有:10, 20, 50, 100, 200, 500, 1000, 2000, 5000 。

NAT 网关和弹性公网 IP 的使用

NAT 网关和弹性公网 IP 是云主机访问 Internet 的两种方式,您可以选择其中一种或两种用于您的公网访问架构设计:

方案 1:只使用 NAT 网关

云服务器不绑定弹性公网 IP,所有访问 Internet 流量通过 NAT 网关转发。此种方案中,云服务器访问 Internet 的流量会通过内网转发至 NAT 网关,因而不会受云服务器购买时公网带宽的带宽上限限制,NAT 网关产生的网络流量费用也不会占用云服务器的公网带宽出口。

方案 2:只使用弹性公网 IP

云服务器只绑定弹性公网 IP,不使用 NAT 网关。此种方案,云服务器所有访问 Internet 流量通过弹性公网 IP 出,会受到云服务器购买时公网带宽的带宽上限限制。访问公网产生的相关费用,根据云服务器网络计费模式而定。

方案 3:同时使用 NAT 网关和弹性公网 IP

云服务器绑定了弹性公网 IP,同时所在子网路由访问 Internet 流量指向了 NAT 网关。此种方案中,所有云服务器主动访问 Internet 的流量只通过内网转发至 NAT 网关,回包也经过 NAT 网关返回至云服务器,此部分流量不会受云服务器购买时公网带宽的带宽上限限制,NAT 网关产生的网络流量费用不会占用云服务器的公网带宽出口。如果来自 Internet 的流量主动访问云服务器的弹性公网 IP,则云主机回包统一通过弹性公网 IP 返回,这样产生的公网出流量受到云服务器购买时公网带宽的带宽上限限制。访问公网产生的相关费用,根据云服务器网络计费模式而定。

注意:
如果用户账号开通了带宽包共享带宽功能,则 NAT 网关产生的出流量按照带宽包整体结算(不再重复收取 0.8 元/GB 的网络流量费),建议您限制 NAT 网关的出带宽,以避免因为 NAT 网关出带宽过高产生高额的带宽包费用。

关键特性

NAT 网关主要有以下几点关键特性:

  • SNAT:源网络地址转换,支持多个 VPC 云主机通过同一公网IP主动访问互联网。
  • DNAT:目的地址转换,用于将 VPC 内的云主机的[内网 IP,协议,端口]映射成[外网IP,协议,端口],使得云主机上的服务可被外网访问。
  • 高性能:NAT 网关可以支撑单实例 5Gbps 级别的转发能力;
  • 高可用:NAT 网关使用双机热备,单机出故障自动切换业务无感知。
  • 监控明细展示 :可展示所有内网 IP 流往 NAT 网关的关键指标,便于您快速排查故障,定位异常流量,该监控明细数据可保存7天。
  • 网关精细化流控 :可对某内网 IP 与 NAT 网关之间的带宽进行限制,保障关键业务。

NAT 网关流控

NAT网关流控提供 IP-网关粒度的“监”与“控”能力,精细化网关流量可视化让网络运维人员对网关中流量一目了然,IP-网关粒度的限速能力助力异常流量屏蔽。
举个例子,某日凌晨,某公司的网关流量突增,通过智能网关流控,运维人员可根据该突增时间点,追踪是哪些 IP 造成的流量突增,从而快速定位根源。不仅如此,网关流控提供基于 IP-网关粒度的带宽控制,可限制某 IP 到网关的带宽,可屏蔽异常流量,保障关键业务。

网关流控主要价值如下:

  • 精确的网关故障排查能力,最小化网络故障时间;结合流量实时查询、TOP N 排名功能,可分析来源 IP 及其关键指标,快速定位异常流量。
  • 基于 IP-网关粒度的“监”与“控”能力;结合分钟级的网络流量查询,可及时发现异常流量抢占带宽,设置 IP-网关粒度带宽限制,保障核心业务稳定畅行。
  • 全时全流的网关流量分析能力,降低云上网络成本。通过 qos 控制成本,可在网络预算有限的情况下,限制非关键业务带宽,以降低成本。

使用约束

关于 NAT 网关的使用,您需要注意以下几点:

  • 删除 NAT 网关会解除其弹性 IP 地址的关联,但不会从用户帐号释放该弹性 IP 地址。
  • 不能为 NAT 网关关联安全组,但可以为私有子网中的实例使用安全组以便控制进出这些实例的流量。
  • 用户无法直接使用网络 ACL 控制进出 NAT 网关的流量,但可以使用网络 ACL 控制进出 NAT 网关所关联子网的流量。
  • 用户无法通过 VPC 对等连接、VPN 连接或专线接入将流量路由到 NAT 网关,这些连接另一端的资源不能使用 NAT 网关。例如,VPC 1 的发往 Internet 的流量都可以通过 NAT 网关实现,现在 VPC 1 和 VPC 2 建立了对等连接,VPC 2 里所有资源可以访问 VPC 1 中的所有资源,但 VPC 2 中的所有资源不可以经过 NAT 网关访问 Internet。
  • NAT 网关支持 TCP、UDP 和 ICMP 协议,而 GRE 隧道和 IPSec 使用的 ESP、AH 则无法使用 NAT 网关,这是由于 NAT 网关本身的特性决定的,与服务提供商无关。幸运的是互联网大部分应用都是 TCP 应用,TCP 和 UDP 应用合起来占互联网应用类型的99%。
  • NAT 网关资源支持限制如下表所示,您还可以查看 VPC 其它产品的使用约束
资源 限制
每个私有网络支持的 NAT 网关数 3个
每个 NAT 网关支持弹性 IP 个数 10
每个 NAT 网关最多支持转发能力 5Gbps
每个 NAT 网关的最大端口转发条目 200

计费方式

NAT 网关设备共收取两项服务费用:网关租用费(按小时计费)和访问 Internet 产生的流量费用。流量部分的费用可以参考云服务器网络费用中的按流量计费。NAT 网关本体计费模式如下表:

类型 国内 新加坡、硅谷、韩国、法兰克福、香港 多伦多
小型(最大 100w 连接数) 0.5元/h 0.75元/h 0.8元/h
中型(最大 300w 连接数) 1.5元/h 2.25元/h 2.4元/h
大型(最大 1000w 连接数) 5元/h 7.5元/h 8元/h

注意:

  • 如果用户账号开通了带宽包共享带宽功能,则 NAT 网关产生的出流量按照带宽包整体结算(不再重复收取 0.8元/GB 的网络流量费),建议您限制 NAT 网关的出带宽,以避免因为 NAT 网关出带宽过高产生高额的带宽包费用,单击查看 带宽包计费详情
  • 欠费逻辑:与按量计费主机保持一致,单击查看私有网络价格总览
  • 由于 NAT 网关具备双机热备的特性,系统每 3 秒会分别给 NAT 网关的主备服务器发送一个 5KB 的探测包,因此每天会产生 0.2747GB 的流量,对应大陆、香港、北美会分别产生:0.2197元、0.2747元、0.1373 元的费用。

到期提醒

  • 当您的账户余额不足。从余额为 0 的时刻开始,2 小时内 NAT 网关可继续使用且继续扣费。
  • 2 小时后,若您的账户仍未充值到大于 0,NAT 网关将自动停止服务并停止扣费。
  • NAT 网关停止服务后的 24 小时内,若您的账户余额仍未充值到大于 0,则保持为不可用状态;若充值到余额大于 0,则网关重新可用,且计费重新开始。
  • NAT 网关停止服务后,余额小于 0 的时间达到 24 小时,NAT 网关将被立即回收。
  • NAT 网关回收时,我们将通过邮件及短信的方式通知到腾讯云帐号的创建者以及所有协作者。

操作指南

如果您需要通过 NAT 网关使私有网络内中子网的资源访问 Internet,则您不仅需要创建 NAT 网关,还需在需要路由转发的子网所关联的路由表中配置路由规则。

快速入门

您需要完成以下两个步骤,您可以通过 NAT 网关访问 Internet:

第一步:创建NAT网关

  1. 登录 腾讯云控制台,选择【私有网络】选项卡,选择【NAT 网关】。
  2. 单击左上角【新建】按钮,在弹出框中依次输入或确定以下参数:
    • 网关名称
    • 网关类型(网关类型创建后可更改)
    • NAT 网关服务的私有网络
    • 为 NAT 网关分配弹性 IP,您可以选择已有的弹性 IP,或者重新购买并分配弹性 IP
  3. 选择结束后单击【确认】按钮,即可完成 NAT 网关的创建。
  4. 创建完 NAT 网关,您需要在私有网络控制台路由表页配置路由规则,以将子网流量指向 NAT 网关。

    注意:
    NAT 网关创建时将会冻结 1 小时的租用费用。

第二步:配置相关子网所关联的路由表

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台。选择【路由表】。
  2. 在路由表列表中,单击需要访问 Internet 的子网所关联的路由表 ID 进入路由表详情页,在路由策略中单击【编辑】按钮。
  3. 单击新增一行,填入目的端,下一跳类型选择【NAT 网关】,并选择已创建的 NAT 网关 ID。
  4. 单击【确定】按钮。完成以上配置后,关联此路由表的子网内的云主机访问 Intenet 的流量将指向 NAT 网关。

新建端口转发规则

端口转发表是 NAT 网关上的一张配置表,用于配置 NAT 网关上的 DNAT 功能,可将 VPC 内的云主机的[内网 IP,协议,端口]映射成[外网 IP,协议,端口],使得云主机上的服务可被外网访问。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台。选择【NAT 网关】。
  2. 在 NAT 网关列表页中单击需要修改的 NAT 网关 ID 进入详情页,选择【端口转发】
  3. 单击【新建】,选择协议、外部IP端口、及内部 IP 端口。

注意:
内部 IP 仅支持该私有网络内的云主机内网 IP。

查询端口转发规则

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台。选择【NAT 网关】。
  2. 在 NAT 网关列表页中单击需要查询的 NAT 网关 ID 进入详情页,选择【端口转发】
  3. 在搜索框内,选择协议\IP\端口 ,填写相关属性值后,即可查询相关端口转发规则。

注意:
请检查是否已经为实例所在子网关联的路由表内添加了NAT网关路由策略。

修改 NAT 网关配置

NAT 网关创建后,可以对其属性进行修改。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台。选择【NAT 网关】。
  2. 在 NAT 网关列表页中单击需要修改的 NAT 网关 ID 进入详情页,在详情页您可以完成以下属性的修改:
    • 修改 NAT 网关的自定义名称
    • 更改 NAT 网关的规格,规格更改后实时设定,实时生效(变更规格不会中断原网络连接)

管理 NAT 网关的弹性 IP

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表中单击 ID 进入 NAT 网关详情页。
  3. 在关联弹性 IP 表中,您可以选择【新增】弹性 IP或者【解绑】弹性 IP。

查看 NAT 网关监控信息

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表页,单击需要查看的 NAT 网关条目中的监控按钮,即可查看该 NAT 网关的监控信息。
    (或)在 NAT 网关列表页,单击需要查看的 NAT 网关 ID 进入详情页,单击监控选项卡查看该 NAT 网关的监控信息。

设置告警

  1. 登录 腾讯云控制台单击顶部导航条【云产品】-【监控与管理】-【云监控】,选择左导航栏内的【我的告警】-【告警策略】,单击:新增告警策略。
    2.填写告警策略名称,在策略类型中选择【NAT 网关】,然后添加告警触发条件。
    3.关联告警对象:选择告警接收组,保存后即可在告警策略列表中查看已设置的告警策略。
    4.查看告警信息:告警条件被触发后,您将接受到短信/邮件/站内信等通知,同时可以在左导航【我的告警】-【告警列表】中查看。有关告警的更多信息,请参考 创建告警

删除 NAT 网关

用户可以在不需要 NAT 网关时随时将其删除,删除时会将含有此 NAT 网关的路由表的相关路由策略一并删除,Internet 转发请求将立即中断,请提前做好网络中断准备。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 选中需要删除的 NAT 网关,单击【删除】按钮并确认即可完成删除。

开启网关流控明细

开启后,可查看某 NAT 网关上过去 7 天内的经过该网关的 IP 流量指标,可设置某个 IP 流向某 NAT 网关的出带宽。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表中单击 ID 进入 NAT 网关详情页。
  3. 单击监控 tab,开启右上角开启网关流控明细开关。
    开启网关流控明细,需要 5-6 分钟采集数据、发布数据,一段时间您可在监控图表下方查看监控明细表格。

设置网关流控明细

您在开启网关流控明细,可设置某个 IP 留向某 NAT 网关的出带宽。

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表中单击 ID 进入 NAT 网关详情页。
  3. 单击监控 tab,找到需要设置监控明细的 IP,设置其出带宽限制。

查看网关流控明细

  1. 登录 腾讯云控制台单击导航条【私有网络】,进入 私有网络控制台,选择【NAT 网关】。
  2. 在 NAT 网关列表中单击 ID 进入 NAT 网关详情页。
  3. 单击监控 tab,在网关流控明细表右上方,单击【查看已限制 IP】。

绑定高防包

  1. 登录 腾讯云控制台单击导航条【安全】>【大禹网络安全】,选择左导航栏的【BGP高防包】
  2. 选择您已有的高防包实例,单击更换设备操作,选择需要防护的 NAT 网关上的 EIP。
  3. 单击【确认】,即为该 NAT 网关关联了高防包功能。

API 概览

您可以使用 API 操作来设置和管理您的 NAT 网关,有关更多 VPC 内其他资源的内容,可以查看 VPC 所有 API 概览

接口功能 Action ID 功能描述
创建NAT网关 CreateNatGateway 创建 NAT 网关。
查询NAT网关创建状态 QueryNatGatewayProductionStatus 查询 NAT 网关创建状态。
删除NAT网关 DeleteNatGateway 删除 NAT 网关。
修改NAT网关 ModifyNatGateway 修改 NAT 网关。
查询NAT网关 DescribeNatGateway 查询 NAT 网关。
NAT网关绑定EIP EipBindNatGateway NAT 网关绑定 EIP。
NAT网关解绑EIP EipUnBindNatGateway NAT 网关解绑 EIP。
升级NAT网关规格 UpgradeNatGateway 升级 NAT 网关规格。