產品概述

NAT網(wang)關(guan)（CT-NAT Gateway）是一種支持 IP 地址轉換(huan)的網(wang)絡云(yun)服務，能夠為虛擬私有(you)云(yun)（Virtual Private Cloud，CT-VPC）內(nei)的計算實例提供網(wang)絡地址轉換(huan)（Network Address Translation），分為SNAT和DNAT兩個功能。

產品類型：

NAT網關可分(fen)為公網NAT網關和私網NAT網關。

公網NAT網關

公網(wang)(wang)(wang)NAT網(wang)(wang)(wang)關能夠為虛擬(ni)私有(you)云(yun)內(nei)的計(ji)算實例提(ti)供公網(wang)(wang)(wang)地址轉換(huan)服務(wu)。通(tong)過(guo)SNAT可使多個(ge)(ge)計(ji)算實例共享(xiang)使用彈性IP訪(fang)問Internet，通(tong)過(guo)DNAT可使多個(ge)(ge)計(ji)算實例提(ti)供互(hu)聯網(wang)(wang)(wang)服務(wu)。公網(wang)(wang)(wang)NAT網(wang)(wang)(wang)關是 VPC 內(nei)的一個(ge)(ge)公網(wang)(wang)(wang)流量(liang)的出入口，保護(hu)私有(you)網(wang)(wang)(wang)絡信息不直接對公網(wang)(wang)(wang)暴(bao)露。

私網NAT網關

私(si)網(wang)NAT網(wang)關能夠(gou)為虛擬私(si)有云內(nei)的(de)計算(suan)實(shi)例提供私(si)網(wang)地(di)址(zhi)(zhi)(zhi)轉(zhuan)換服務。通過(guo)私(si)網(wang)NAT網(wang)關上的(de)SNAT、DNAT規(gui)則，可(ke)將源、目的(de)網(wang)段地(di)址(zhi)(zhi)(zhi)轉(zhuan)換為VPC私(si)網(wang)中轉(zhuan)IP地(di)址(zhi)(zhi)(zhi)，通過(guo)使用中轉(zhuan)IP實(shi)現VPC內(nei)的(de)計算(suan)實(shi)例與(yu)其他VPC、云下IDC的(de)指定地(di)址(zhi)(zhi)(zhi)互訪。

產品基本概念

NAT（網絡地址轉換）

VPC內(nei)的云(yun)上資(zi)源分配的是私(si)網(wang)IP，在(zai)互(hu)(hu)聯網(wang)上私(si)網(wang)IP不可(ke)被路(lu)由。如果VPC內(nei)的云(yun)上資(zi)源要與互(hu)(hu)聯網(wang)互(hu)(hu)通(tong)或對互(hu)(hu)聯網(wang)提供(gong)服務，則需要將云(yun)上資(zi)源的私(si)網(wang)IP轉換成(cheng)可(ke)被路(lu)由的公網(wang)IP，并對外(wai)進行(xing)發(fa)布。

彈性IP地址

由(you)天翼云(yun)提供的互聯網(wang)(wang)協議地(di)址，是互聯網(wang)(wang)上可以被(bei)路由(you)的地(di)址。云(yun)上資源如果要對外提供服務(wu)，需要購(gou)買彈(dan)性公網(wang)(wang)地(di)址并直接通過資源綁定或通過NAT網(wang)(wang)關規則(ze)綁定。

中轉IP

中(zhong)轉(zhuan)(zhuan)IP地址(zhi)是私網(wang)(wang)NAT在SNAT功(gong)能或(huo)(huo)DNAT功(gong)能中(zhong)用于源(yuan)或(huo)(huo)目的(de)地址(zhi)轉(zhuan)(zhuan)換的(de)私網(wang)(wang)IP地址(zhi)。中(zhong)轉(zhuan)(zhuan)IP從私網(wang)(wang)NAT中(zhong)轉(zhuan)(zhuan)地址(zhi)段中(zhong)分(fen)配，私網(wang)(wang)NAT創建時(shi)從中(zhong)轉(zhuan)(zhuan)地址(zhi)段中(zhong)默(mo)認分(fen)配一個中(zhong)轉(zhuan)(zhuan)IP地址(zhi)。

中轉地址段

中轉(zhuan)(zhuan)IP地址(zhi)段是私(si)網(wang)NAT進行私(si)網(wang)NAT地址(zhi)管理的(de)(de)地址(zhi)集合。私(si)網(wang)NAT網(wang)關(guan)創建(jian)時(shi)會(hui)默認把創建(jian)時(shi)選擇的(de)(de)子網(wang)網(wang)段作為中轉(zhuan)(zhuan)地址(zhi)段。

DNAT（目的地址轉換）

定義：通過(guo)IP映(ying)射或端口映(ying)射，將IP報文中(zhong)的目的地址進行轉換。

用戶可以通過配置NAT網關DNAT規(gui)則(ze)實(shi)現VPC內多個云主機資源共享(xiang)彈性(xing)IP對外提(ti)供(gong)服務。

SNAT（源地址轉換）

定義(yi)：將(jiang)IP報(bao)文的源(yuan)地址(zhi)、源(yuan)端口進(jin)行(xing)轉(zhuan)換。

用(yong)戶可以(yi)通過(guo)配置(zhi)NAT網關SNAT規則(ze)，將云(yun)主(zhu)(zhu)機(ji)的私網IP轉(zhuan)換成彈性公網IP，使VPC內沒有公網IP的云(yun)主(zhu)(zhu)機(ji)可以(yi)直接訪(fang)(fang)問(wen)公網，實現(xian)VPC內多個云(yun)主(zhu)(zhu)機(ji)資源(yuan)共享彈性IP主(zhu)(zhu)動訪(fang)(fang)問(wen)Internet。

產品架構

NAT網關分為SNAT和DNAT兩個功能。

公網NAT網關

公網NAT網關分為SNAT和(he)DNAT兩個功(gong)能。

SNAT功能通過綁定彈(dan)性(xing)公(gong)(gong)網IP，實現私(si)有(you)IP向公(gong)(gong)有(you)IP的(de)轉換，可實現VPC內跨可用區的(de)多個云主機共(gong)享彈(dan)性(xing)公(gong)(gong)網IP安全(quan)、高效的(de)訪(fang)問互聯網。

DNAT將外網 IP、端口(kou)映射到VPC內的云(yun)主機內網IP、端口(kou)，使得云(yun)主機上的服(fu)務可被(bei)外網訪問。

私網NAT網關

使(shi)(shi)用(yong)(yong)私(si)網(wang)NAT網(wang)關的SNAT和DNAT功能，可以實(shi)現(xian)云上VPC使(shi)(shi)用(yong)(yong)指定(ding)私(si)網(wang)地(di)址(zhi)和其他VPC或IDC進行跨(kua)VPC私(si)網(wang)互訪。

公網NAT網關如何和IPV4網關配合規劃用戶網絡

背景信息

VPC創建(jian)時(shi)，部分資(zi)源池默認會創建(jian)IPv4網(wang)(wang)(wang)關(guan)來統一管(guan)理進出VPC的公(gong)網(wang)(wang)(wang)流量(liang)，所有通過公(gong)網(wang)(wang)(wang)IP訪問公(gong)網(wang)(wang)(wang)的流量(liang)都受到(dao)IPv4網(wang)(wang)(wang)關(guan)的管(guan)理。IPv4網(wang)(wang)(wang)關(guan)和VPC同生命(ming)周期，不允(yun)許單獨刪除IPv4網(wang)(wang)(wang)關(guan)。

在(zai)VPC中(zhong)創建NAT網(wang)(wang)關后(hou)，在(zai)子(zi)網(wang)(wang)關聯的(de)路由(you)表中(zhong)增(zeng)加(jia)一(yi)條目(mu)的(de)地址為(wei)0.0.0.0/0指向NAT網(wang)(wang)關的(de)路由(you)規則后(hou)（可用區資源池(如華東(dong)1，華北2等)需要執(zhi)行該步(bu)驟，以控(kong)制臺(tai)為(wei)準(zhun)），VPC中(zhong)的(de)云主機可以通過NAT網(wang)(wang)關的(de)SNAT或DNAT規則訪問公網(wang)(wang)或對外提供服務。

                    
注意
                    
系(xi)(xi)統類(lei)(lei)型(xing)的(de)(de)路(lu)(lu)由(you)規則不允許修(xiu)改(gai)、刪除；路(lu)(lu)由(you)目的(de)(de)地址相同時系(xi)(xi)統類(lei)(lei)型(xing)的(de)(de)路(lu)(lu)由(you)規則優先級低于客戶手動創建的(de)(de)路(lu)(lu)由(you)規則。
在同一個子網內云主機同時綁定公網IP和SNAT規則時，由于指向NAT網關的路由優先級高于指向IPv4網關的系統路由，默認會通過SNAT訪問公網，云主機綁定的EIP無法訪問公網。因此，不建議同一個子網內的云主機同時綁定公網IP或者NAT網關。

                    
                  
                  

操作步驟

具體操作步驟參見彈性IP-如何通過彈性公網IP或NAT網關訪問公網。

如何訪問NAT網關

天翼云提供如下方(fang)式進(jin)行NAT網關(guan)的配置和管理：

• 控制臺：天翼云提供Web化的服務管理平臺
• OpenAPI：天翼云提供基于HTTPS請求的API（Application programming interface）管理方式