NAT 网关（NAT Gateway）是一种网络地址转换服务，提供 NAT 代理（SNAT 和 DNAT）能力。阿里云 NAT 网关分为公网 NAT 网关和 VPC NAT 网关，公网 NAT 网关提供公网地址转换服务，而 VPC NAT 网关提供私网地址转换服务，您可以根据业务需求灵活选择。

2.1、产品类型

公网 NAT 网关：一款企业级针对公网访问的安全网关产品，提供公网地址转换服务，具有 100 Gbps 的转发能力及跨可用区的容灾能力。更多信息，请参见什么是公网 NAT 网关。

VPC NAT 网关：为 VPC 内的 ECS 实例提供访问外部私有网络的能力，也能使 ECS 实例对外提供私网访问服务。更多信息，请参见什么是 VPC NAT 网关。

2.1.1、公网 NAT 网关

公网 NAT 网关是一款针对公网访问的企业级安全网关产品，提供 NAT 代理功能（SNAT 和 DNAT），具有 100 Gbps 的转发能力及跨可用区的容灾能力。公网 NAT 网关具有高性能、自动弹性、灵活计费、精细化运维等特性，可以帮助您更好地管理公网访问流量。

2.1.1.1、背景信息

公网 NAT 网关的网络拓扑如下图所示。您可以选用公网 NAT 网关，满足您以下业务场景需求：

• 如果您的云上网络只希望主动访问公网上的业务，而不希望云上的业务直接暴露在公网上从而有被攻击的风险，您可以选用公网 NAT 网关为业务提供安全防护能力。
• 如果您的业务具有突增的访问公网的流量需求，您可以选用公网 NAT 网关为您提供灵活和弹性的扩容能力，并且只需要按使用量付费，节省企业成本。
• 如果您有大量访问公网的机器，您可以通过公网 NAT 网关统一公网出口，并通过公网 NAT 网关准确和精细化的运维监控能力管理企业访问公网的流量。

2.1.1.2、产品特性

2.1.1.3、性能规格

公网 NAT 网关具有较强的突发性能（按使用量计费的公网 NAT 网关），并可通过工单提升更大性能。

2.1.1.4、产品功能

2.1.1.5、应用场景

2.1.1.5.1、搭建访问公网服务的 SNAT 网关

您可以创建公网 NAT 网关，并为其绑定 EIP，然后通过公网 NAT 网关的 SNAT 功能，实现 VPC 内的多个 ECS 实例共享 EIP 上网，节省公网 IP 资源。具体操作，请参见使用公网 NAT 网关 SNAT 功能访问互联网。

您也可以为公网 NAT 网关绑定多个 EIP，绑定成功后，ECS 实例会随机通过 SNAT 地址池中的 EIP 访问公网。当其中一个 EIP 被攻击时，ECS 实例可以随机使用其他 EIP 访问公网，最大程度保障业务的正常运行。避免出现在单 EIP 场景下，EIP 故障导致的全业务中断。

说明：指定多个 EIP 配置至 SNAT IP 地址池时，业务连接会通过哈希算法分配到多个 EIP，由于每个连接的流量不同，可能会出现多 EIP 业务流量不均匀的情况，建议您将每个 EIP 加入到同一个共享带宽中以避免单 EIP 带宽达到上限导致业务受损。具体操作，请参见加入与移出共享带宽。

2.1.1.5.2、搭建提供公网服务的 DNAT 网关

您可以创建公网 NAT 网关，并为其绑定 EIP，然后配置公网 NAT 网关的 DNAT 功能。配置成功后，VPC 内的 ECS 实例可以通过端口映射或 IP 映射面向公网提供服务。具体操作，请参见通过公网 NAT 网关 DNAT 功能实现 ECS 对外提供服务。

说明：端口映射和 IP 映射的说明如下。

端口映射：公网 NAT 网关会将以指定协议和端口访问 EIP 的请求转发到目标 ECS 实例的指定协议和端口上。

IP 映射：公网 NAT 网关会将所有访问 EIP 的请求都转发到目标 ECS 实例上，目标 ECS 实例也可以使用该公网 IP 主动访问公网。如果公网 NAT 网关既配置了 DNAT IP 映射方式，又配置了 SNAT 条目，则 ECS 实例会优先通过 DNAT IP 映射方式的公网 IP 访问公网。

2.1.1.5.3、共享公网带宽

如果部署在 ECS 实例的应用需要面向公网提供服务，您需要为该应用购买公网带宽。为了应对业务流量可能发生的变化，在购买公网带宽时需要考虑一定的冗余。当同时存在多个需要面向公网提供服务的应用时，为每个应用购买冗余带宽会造成资源和成本的浪费。

您可以创建公网 NAT 网关，并为公网 NAT 网关绑定 EIP，然后将绑定到公网 NAT 网关的 EIP 加入到同一共享带宽中，不仅可以帮助您统一管理和监控公网流量，还可以帮助您降低公网带宽使用成本。

2.1.1.6、使用原则

• 创建公网 NAT 网关时，您需要指定公网 NAT 网关要关联的 VPC 和交换机。公网 NAT 网关创建成功后，系统会为公网 NAT 网关分配一个交换机内的空闲私网 IP 地址。建议您为公网 NAT 网关创建独立的交换机，以便支持后续网络的规划。
  • 公网 NAT 网关支持多可用区容灾，您创建时指定的交换机是主可用区所在的交换机，备可用区的交换机无需您在创建时选择。
  • 公网 NAT 网关的创建流程，请参见购买公网 NAT 网关。
  • 通过组合购买公网 NAT 网关和 EIP 的方式，将创建的 EIP 自动绑定到创建的公网 NAT 网关。具体操作，请参见VPC 全通模式组合购买公网 NAT 网关和弹性公网 IP。
• 公网 NAT 网关会从您指定的交换机中分配一个弹性网卡 ENI（Elastic Network Interface），该 ENI 会关联创建一个安全组，此安全组您可以查看但是无法修改。更多信息，请参见弹性网卡概述。
• 公网 NAT 网关默认的吞吐能力是 5 Gbps，可根据使用量弹性扩大至 15 Gbps，如果需要更大的吞吐能力，请提交工单。

2.1.1.7、使用限制

2.1.1.7.1、实例限制

2.1.1.7.2、SNAT 限制

2.1.1.7.3、DNAT 限制

2.1.2、VPC NAT网关

VPC NAT 网关能够为 VPC 内的 ECS 实例提供私网地址转换服务，使多个 ECS 实例可以通过中转私网地址（即 NAT IP 地址）访问您的本地数据中心 IDC 或其他 VPC。ECS 实例也可以通过使用 VPC NAT 网关的中转私网地址对外提供私网访问服务。

2.1.2.1、产品功能

VPC NAT 网关支持 SNAT 和 DNAT 功能，功能说明如下：

2.1.2.2、性能规格

VPC NAT 网关具有较强的突发性能，并可通过工单提升更大性能。

2.1.2.3、应用场景

2.1.2.3.1、混合云使用指定地址互访场景

随着金融证券行业云上业务规模的扩大，多网络间进行私网互通时，会遇到被监控机构要求使用固定私网地址访问的场景。您可以使用 VPC NAT 网关的 SNAT 功能和 DNAT 功能实现固定私网地址访问的场景。

2.1.2.3.2、VPC 互访地址冲突

由于早期网络规划单一或后期的业务合并，云上可能存在需要互通的两个业务 VPC 地址冲突的情况。您可以为两个业务 VPC 各配置一个 VPC NAT 网关并配置两个不冲突的中转私网地址。主动访问的业务 VPC 使用 SNAT 功能将源地址转换为 VPC NAT 网关的中转地址，被访问的业务 VPC 通过 DNAT 功能使用 VPC NAT 网关的中转私网地址对外提供私网服务，从而实现地址冲突的两个业务 VPC 互访。

2.1.2.4、使用建议

• 您在创建 VPC NAT 网关时需要选择 VPC，还需要指定 VPC 内的交换机，为了便于路由配置，建议您使用独立的交换机供 VPC NAT 网关使用。
• NAT IP 地址是在 SNAT 功能或 DNAT 功能中用于源或目的地址转换的 IP 地址。VPC NAT 网关创建成功后，系统会使用 VPC NAT 网关所在交换机的网段作为默认 NAT IP 地址段，使用默认 NAT IP 地址段中的一个 IP 地址作为默认 NAT IP 地址。您可以在默认地址段中添加 NAT IP 地址，也可以新建地址段并添加 NAT IP 地址。关于如何使用 NAT IP 地址段配置路由，请参见配置路由。

2.1.2.5、使用限制

2.2、NAT 网关产品优势

• 安全防护

  NAT 网关的 SNAT 功能具有安全防护的能力，只有当 VPC 内的 ECS 实例主动访问外部才可以建立连接进行通信，而外部无法主动访问 VPC 内的 ECS 实例。SNAT 功能会屏蔽 VPC 内 ECS 实例对外的端口，保护 VPC 内的 ECS 实例免受外部的入侵和攻击。

• 高性能

  NAT 网关是基于阿里云自研分布式网关，使用 SDN 技术推出的一款虚拟网络硬件。NAT 网关支持 100 Gbps 的转发能力，为大规模公网应用提供支撑。

• 节约成本

  NAT 网关的规格、EIP 的规格和个数均可以随时升降，轻松应对业务变化，同时 NAT 网关还可以按使用量计费。

• 区域高可用性

  NAT 网关跨可用区部署，可用性高。单个可用区的故障都不会影响 NAT 网关的业务连续性。