1. NAT网关概述与产品选型
先说几个核心判断吧。在阿里云专有网络VPC里,云服务器ECS实例默认只有私网IP,说白了就像一台没有“外网通行证”的电脑,既没法直接访问公网,公网也找不着它。为了让VPC内的资源跟公网互通,阿里云推出了NAT网关(NAT Gateway)这款全托管的网络地址转换服务。它的核心逻辑是:把云服务的真实地址“藏”起来,同时完成公网访问的转换,既解决了连通问题,又避免内网地址直接暴露在外,安全性自然就上去了。
阿里云NAT网关分两种:公网NAT网关和VPC NAT网关。公网NAT网关可以绑定弹性公网IP(EIP)来实现公网访问,最典型的场景是VPC内的ECS实例要上网,或者对外提供服务。VPC NAT网关则不能绑定EIP,它专门用来处理私网地址转换,比如解决VPC之间网段冲突时的互访问题,或者满足金融等行业用指定私网IP访问本地IDC的合规需求。这篇文章重点讲公网NAT网关的配置,目标是帮大家掌握VPC内资源通过它实现公网访问的核心技能。
2. 公网NAT网关的核心功能
公网NAT网关提供两个核心功能:SNAT(源网络地址转换)和DNAT(目的网络地址转换)。这两个功能虽然方向相反,但配合起来就能玩出很多花样。
SNAT功能,简单说就是让VPC内多个没有公网IP的ECS实例,共享一个或多个EIP去访问公网。具体过程是这样的:当ECS主动发起对外访问时,NAT网关会把数据包的源IP地址(私网IP)换成NAT网关绑定的EIP。公网那边的目标服务器看到的请求来源就是EIP,而不是ECS的私网IP。等响应数据回来时,NAT网关再根据会话映射表,把目的IP还原成ECS的私网IP,完成整个通信过程。SNAT的核心价值很明显:一来节省公网IP资源——不用给每台ECS都配一个EIP;二来隐藏了内网拓扑结构,安全性更上一层楼。
DNAT功能正好反过来。它允许公网用户通过NAT网关绑定的EIP和指定端口,访问VPC内ECS实例提供的服务。DNAT支持两种模式:端口映射和IP映射。端口映射就是把公网IP的特定端口映射到内网ECS的指定端口,适合多个服务共用同一个EIP的场景。IP映射则是把整个公网IP映射到一台ECS,适合需要完整IP级访问的场景。
3. 配置前的准备工作
在正式开始配置NAT网关之前,有几件事得先搞定。
首先,确认已经创建了VPC和交换机。如果还没创建,得先去阿里云VPC控制台完成这一步。建议VPC网段选择RFC 1918规定的私有地址段,比如192.168.0.0/16、172.16.0.0/12或10.0.0.0/8,这样可以避免跟本地数据中心或其他云环境网段冲突。交换机要部署在需要访问公网的ECS所在的可用区。
其次,准备好弹性公网IP(EIP)。NAT网关必须绑定至少一个EIP才能正常工作。如果手头没有EIP,可以在创建NAT网关时选择“新购弹性公网IP”,系统会自动完成创建和绑定。当然,也可以提前在弹性公网IP控制台创建好,再在创建时选择已有的EIP进行绑定。
最后,了解NAT网关的计费方式。公网NAT网关只支持按量付费(后付费),计费项包括实例费用和CU(容量单位)费用。实例费用按小时计费,CU费用根据实际使用的流量和连接数等指标计算。单可用区容灾模式的NAT网关只支持按量计费,不支持包年包月,而且暂时不支持资源包抵扣。不过可以购买NAT网关资源包来抵扣CU费用。
4. 创建公网NAT网关
准备工作做好了,就可以进入NAT网关管理控制台开始创建。登录阿里云控制台后,在顶部菜单栏选择跟VPC相同的地域,然后在产品列表中找到“NAT网关”并进入管理页面。
点击“创建NAT网关”按钮。如果是第一次使用NAT网关,系统会提示创建服务关联角色,点击“创建关联角色”就能自动完成授权。创建页面需要配置以下关键参数:
所属地域:必须跟目标VPC所在的地域一致。
所属专有网络:选择需要开通公网访问能力的VPC。
关联交换机:选择NAT网关实例部署的交换机。注意从2022年9月19日起,新创建的公网NAT网关绑定EIP时会占用NAT网关所在交换机的一个私网IP地址。所以得确保这个交换机有足够的空闲私网IP。
访问模式:选择“VPC全通模式(SNAT)”,系统会自动为整个VPC配置SNAT条目。如果选手动模式,后续还得自己创建SNAT条目。
弹性公网IP:选择“新购弹性公网IP”或“使用已有弹性公网IP”。如果新购,需要配置带宽峰值,建议根据业务流量需求合理设置。
容灾类型:选择“跨可用区容灾”或“单可用区容灾”。跨可用区容灾是默认选项,NAT网关在两个可用区冗余部署,单可用区故障时自动切换。单可用区容灾只在单一可用区内部署,实例费用大约是跨可用区的50%,CU费用大约是80%,适合业务集中在一个可用区的场景。
参数填完,点击“立即购买”就完成了创建。创建成功后,在NAT网关列表里就能看到新创建的实例了。
5. 配置SNAT条目实现ECS访问公网
NAT网关创建好、EIP也绑定了,接下来得配置SNAT条目,VPC内的ECS实例才能通过它访问公网。
在NAT网关管理控制台,点击目标NAT网关实例ID进入详情页,切换到“SNAT管理”页签,点击“创建SNAT条目”。创建时需要配置以下参数:
SNAT条目粒度:支持VPC粒度、交换机粒度和ECS粒度。VPC粒度是给整个VPC内的所有ECS配置SNAT,最常用。交换机粒度只给指定交换机下的ECS提供SNAT。ECS粒度只针对单台ECS实例,粒度最细,优先级也最高。
源网段:根据选择的粒度填写对应的网段。VPC粒度就填VPC的CIDR网段;交换机粒度填交换机的CIDR网段;ECS粒度填ECS的私网IP。
选择公网IP:选择“使用单IP”或“使用多IP”。单个EIP能提供的SNAT端口数量有限,如果大量会话访问同一个目的地址,可能造成端口分配失败。所以建议根据并发会话数配置多个EIP。
点击“确定”就创建完成了。等SNAT条目的状态变成“可用”,就表示配置成功。这时候,源网段内的ECS实例就能通过NAT网关绑定的EIP访问公网了。
下面是使用阿里云CLI创建SNAT条目的示例代码:
6. 配置DNAT条目将内网服务暴露到公网
如果VPC内的ECS需要对外提供Web服务、数据库服务等,那就得配置DNAT条目了。
在NAT网关详情页切换到“DNAT管理”页签,点击“创建DNAT条目”。配置参数如下:
公网IP地址:选择NAT网关绑定的EIP。
公网端口:公网用户访问时使用的端口,范围1-65535。
协议类型:TCP、UDP或任意。
私网IP地址:目标ECS的私网IP。
私网端口:ECS上服务监听的端口。
举个具体例子:把EIP的80端口映射到ECS私网IP 192.168.1.10的8080端口。这样公网用户访问https://EIP:80时,请求就会被转发到ECS的8080端口。
有个细节需要注意:配置完DNAT后,还得确保ECS的安全组规则允许公网访问对应的私网端口。可以在同VPC内的其他ECS上执行telnet命令测试私网端口是否可达。
下面是使用Terraform创建DNAT条目的示例:
7. 路由表与NAT网关的协同机制
NAT网关本身只负责地址转换,并不决定流量的走向。数据包是否被发送到NAT网关,以及地址转换后流向何处,这些都由VPC的路由表来控制。
当VPC内的ECS访问公网时,数据包会去匹配路由表中的路由条目。如果存在一条目标网段为0.0.0.0/0、下一跳指向NAT网关的路由条目,那么这个流量就会被转发到NAT网关。如果VPC系统路由表里本来没有0.0.0.0/0路由,创建第一个公网NAT网关时系统会自动添加。但如果用了自定义路由表,或者系统路由表中已经存在0.0.0.0/0路由,那就要手动添加或调整路由条目了。
路由优先级方面,当多条路由的目标网段重叠时,遵循最长前缀匹配原则。举个例子,目标网段192.168.1.0/24的路由优先级要高于0.0.0.0/0。至于出口IP的优先级顺序,实例持有的固定公网IP/EIP高于DNAT IP映射(任意端口),高于SNAT条目绑定的EIP。
8. 多可用区高可用部署方案
对于生产环境,NAT网关的高可用部署值得认真考虑。阿里云NAT网关提供跨可用区容灾和单可用区容灾两种模式。
跨可用区容灾模式下,NAT网关在两个可用区各部署一套实例,主可用区由用户指定,备可用区由阿里云自动选择。单可用区故障时自动切换,适用于ECS等实例分布在多个可用区、需要共享同一NAT网关访问公网的场景。这个模式的初始性能指标是:新建连接速率2万CPS、吞吐量5Gbps、并发连接数50万、包处理速率80万PPS,弹性上限可以分别达到10万CPS、15Gbps、200万、250万PPS。
单可用区容灾模式下,NAT网关只在用户指定的单个可用区内部署,可用区内设备级冗余。这个模式的初始吞吐量为10Gbps,比跨可用区模式的5Gbps高出一倍。实例费用大约是跨可用区的50%,CU费用大约是80%。适合业务集中在某一个可用区、使用独立NAT网关访问公网的场景。建议在不同可用区分别部署单可用区NAT网关,让每个可用区的流量独立转发,这样即使单个可用区故障,其他可用区的业务仍然可以对外提供服务。
当NAT网关的性能超过最大指标时,业务访问就会面临丢包风险。所以建议结合实际的业务特点,提前做压力测试来评估实例性能,并且合理配置监控项。
9. 配额限制与注意事项
使用NAT网关时,有几个配额限制需要心里有数:
单个VPC内可以创建的NAT网关数量有配额限制,可以在配额中心查看和申请提升。
单个公网NAT网关最多可以绑定20个EIP。如果需要更多,可以通过配额管理页面自助提升。
单个NAT网关实例最多100条SNAT/DNAT规则,每条规则最多10个源CIDR。
单个NAT网关实例最多可以建立100条限速规则,单条限速规则最多支持10个源地址网段。
其他需要注意的事项:
单个EIP能提供的SNAT端口数量有限。当用户访问同一个目的地址的会话数量过多而EIP数量又不够时,可能造成端口分配失败。建议适当增加SNAT规则中配置的EIP数量。
如果需要开启IPv4网关进行统一的公网出入口管控,需要把NAT交换机关联的默认路由表里配置默认路由,并指向IPv4网关。
如果需要NAT出站安全防护,可以开启NAT边界防火墙。
建议NAT网关跟服务器在同一个可用区部署,这样可以更好地应对可用区故障风险。
10. 常见故障排查
10.1 ECS配置DNAT后无法被公网访问
可能的原因和排查方法:
安全组规则不允许公网访问DNAT条目中配置的ECS私网端口。需要检查并开放对应的端口。
路由表中没有目标网段0.0.0.0/0、下一跳为NAT网关的路由条目。因为DNAT条目中的ECS被访问后,回复响应报文时也需要有去往NAT网关的路由。需要手动添加这条路由条目。
10.2 新创建交换机的ECS无法通过SNAT访问公网
可能的原因和排查方法:
NAT网关的SNAT条目中没有包含新创建交换机的网段。需要手动为新建交换机创建SNAT条目。
新建交换机绑定了自定义路由表,但自定义路由表里没有目标网段0.0.0.0/0、下一跳为NAT网关的路由条目。需要手动添加。
10.3 VPC内存在多个NAT网关时某交换机ECS无法访问公网
如果VPC内使用系统路由表,而且只有一条0.0.0.0/0路由指向其中一个NAT网关,那么这条路由指向的NAT网关就会负责所有流量的转发。需要确保SNAT条目覆盖了所有需要访问公网的交换机网段。
11. 最佳实践建议
基于以上内容,总结几个企业级的最佳实践建议:
网段规划先行:创建VPC前做好CIDR规划,避免跟本地IDC或其他云环境网段冲突。
按可用区部署NAT网关:在每个有业务服务器的可用区独立部署NAT网关,实现可用区级容灾。
合理配置EIP数量:根据并发会话数评估所需的EIP数量,避免单EIP端口耗尽。
监控与告警:配置NAT网关的性能监控和告警,重点关注并发连接数、新建连接速率、吞吐量等指标。
安全加固:结合安全组、NAT边界防火墙等产品,构建多层安全防护体系。
成本优化:根据业务流量特点选择合适的容灾类型(单可用区容灾费用更低),购买资源包来抵扣CU费用。
12. 常见问题问答
问1:NAT网关和EIP有什么区别?可以只使用EIP实现公网访问吗?
EIP是一个公网IP地址资源,绑定到ECS后,这台ECS就可以直接访问公网和被公网访问。NAT网关是一个网络地址转换服务,绑定EIP后可以为整个VPC内多台ECS提供共享公网出口。如果只有少量ECS需要公网访问,直接绑定EIP就行;如果有多台ECS需要共享公网出口,或者要统一管理公网访问,那就应该用NAT网关。
问2:SNAT和DNAT可以同时配置吗?
可以。SNAT和DNAT解决的是不同方向的问题——SNAT让内网ECS主动访问公网,DNAT让公网用户访问内网ECS。两者可以同时配置在同一个NAT网关上,互不冲突。
问3:配置SNAT后ECS仍然无法访问公网,可能是什么原因?
常见原因包括:SNAT条目没有覆盖该ECS所在的交换机网段;VPC路由表中缺少0.0.0.0/0指向NAT网关的路由;ECS安全组出方向规则限制了访问;NAT网关绑定的EIP欠费或被释放了。可以按顺序逐一排查。
问4:NAT网关支持IPv6吗?
公网NAT网关目前只支持IPv4地址转换。如果需要IPv6公网访问,可以考虑使用IPv6网关产品。
问5:一个VPC可以创建多个NAT网关吗?
可以。一个VPC内可以创建多个公网NAT网关,用来实现不同业务系统的公网出口隔离,或者在不同可用区分别部署以实现高可用。不过VPC内NAT网关的数量有配额限制,需要注意。
问6:NAT网关的费用包括哪些部分?
公网NAT网关的费用包括实例费用和CU(容量单位)费用两部分。实例费用按小时计费,CU费用根据实际使用的流量、新建连接数、并发连接数等指标综合计算。可以购买NAT网关资源包来抵扣CU费用。另外,EIP本身也单独计费,包括保有费和信息流量费。
