本文介绍 NAT 网关的使用规则和使用限制。
说明:
NAT 网关支持 TCP、UDP 和 ICMP 协议,而 GRE 隧道和 IPSec 使用的 ESP、AH 无法使用 NAT 网关,且暂不支持 ALG 相关技术。这是由 NAT 网关本身的特性决定的,与服务提供商无关。当前互联网大部分应用都是 TCP 应用,TCP 和 UDP 应用总和约占互联网应用类型的99%。
使用规则
在使用 NAT 网关时,您需要注意以下几点:
用户删除 NAT 网关会解除其弹性公网 IP 地址的关联,但不会从用户账号释放该弹性 IP 地址。
用户不能为 NAT 网关关联安全组,但可以为私有子网中的实例绑定安全组,以控制进出这些实例的流量。
用户无法直接使用网络 ACL 控制进出 NAT 网关的流量,但可以使用网络 ACL 控制进出 NAT 网关所关联子网的流量。
用户无法通过 VPC 对等连接、VPN 连接将流量路由到 NAT 网关,因为此类连接另一端的资源不能使用 NAT 网关。
例如,VPC 1 发往 Internet 的流量都可通过 NAT 网关实现, VPC 1 和 VPC 2 建立了对等连接,VPC 2 中所有的资源可访问 VPC 1 中的所有资源,但 VPC 2 中的所有资源不可以通过 NAT 网关访问 Internet。
SNAT 规则限制
当 NAT 网关解关联 EIP 时,若该 EIP 为 SNAT 规则的唯一 EIP,则同时删除此条 SNAT 规则;若该 EIP 为此 SNAT 规则的非唯一 EIP,则 SNAT 规则中删除此 EIP。
SNAT 规则中使用的子网不存在时,联动删除该 SNAT 规则。
SNAT 规则中使用的云服务器不存在时,联动从 SNAT 规则中删除该云服务器;若为 SNAT 规则中最后一台云服务器,则联动删除 SNAT 规则。
由于标准协议限制,对于同一协议/目的 IP/目的端口,连接数上限 = 绑定的 EIP 数 * 55000,如需提升连接数,请新增绑定 EIP 或调整目的 IP/端口。
NAT 网关相关配额限制
资源 | 限制 |
每个 VPC 支持的 NAT 网关数 | 3个 |
每个 NAT 网关支持弹性 IP 个数 | 10个 |
每个 NAT 网关最多支持转发能力 | 5Gbps |
每个 NAT 网关的最大端口转发条数 | 200条 |
每个 NAT 网关的 SNAT 规则条目数 | 200条 |