云NAT网关

云NAT网关基本概念

弹性公网IP

弹性公网IP地址为可以直接访问Internet的IP地址。私有IP地址为公有云内局域网络所有的IP地址，私有IP地址禁止出现在Internet中。

弹性公网IP是基于互联网上的静态IP地址，将弹性公网IP地址和子网中关联的弹性云服务器绑定，可以实现VPC中的弹性云服务器通过固定的公网IP地址与互联网互通。

一个弹性公网IP只能给一个弹性云服务器使用。

SNAT连接

由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。其中源IP地址和源端口指SNAT转换之后的弹性公网IP和它的端口。连接能够区分不同会话，并且对应的会话是唯一的。

DNAT连接

DNAT功能绑定弹性公网IP，可通过IP映射或端口映射两种方式，实现VPC内跨可用区的多个云主机共享弹性公网IP，为互联网提供服务。

NAT网关分为公网NAT网关和私网NAT网关

一、公网NAT网关

公网NAT网关（Public NAT Gateway）能够为虚拟私有云内的云主机（弹性云服务器云主机、裸金属服务器物理机）或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器，提供最高20Gbit/s能力的网络地址转换服务，使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。

公网NAT网关分为SNAT和DNAT两个功能。

①SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享弹性公网IP，安全，高效的访问互联网。

②DNAT功能绑定弹性公网IP，可通过IP映射或端口映射两种方式，实现VPC内跨可用区的多个云主机共享弹性公网IP，为互联网提供服务。

公网NAT网关优势

灵活部署

支持跨子网部署和跨可用区域部署。公网NAT网关支持跨可用区部署，可用性高，单个可用区的任何故障都不会影响公网NAT网关的业务连续性。公网NAT网关的规格、弹性公网IP，均可以随时调整。

多样易用

多种网关规格可灵活选择。对公网NAT网关进行简单配置后，即可使用，运维简单，快速发放，即开即用，运行稳定可靠。

降低成本

多个云主机共享使用弹性公网IP。当您的私有IP地址通过公网NAT网关发送数据，或您的应用面向互联网提供服务时，公网NAT网关服务将私有地址和公网地址进行转换。用户无需为云主机访问Internet购买多余的弹性公网IP和带宽资源，多个云主机共享使用弹性公网IP，有效降低成本。

二、私网NAT网关

私网NAT网关（Private NAT Gateway），能够为虚拟私有云内的云主机（弹性云服务器、裸金属服务器）提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则，可将源、目的网段地址转换为中转IP，通过使用中转IP实现VPC内的云主机与其他VPC、云下IDC互访。

私网NAT网关分为SNAT和DNAT两个功能：

①SNAT功能通过绑定中转IP，可实现VPC内跨可用区的多个云主机共享中转IP，访问外部数据中心或其他VPC。

②DNAT功能通过绑定中转IP，可实现IP映射或端口映射，使VPC内跨可用区的多个云主机共享中转IP，为外部私网提供服务。

私网NAT网关优势

简规划

大企业不同部门间存在大量重叠网段，上云后无法互通，需要在上云前进行企业网络的重新规划。华为云首创的私网NAT网关服务，支持重叠网段通信，客户可保留原有组网上云、无需重新规划，极大简化了IDC上云的网络规划。

易运维管理

因为组织层级、分权分域、安全隔离等因素，大型企业内不同归属的部门存在分级组网，需要映射至大网才能彼此通信。私网NAT支持私网的IP地址映射，各部门的网段可映射至统一的VPC大网地址进行统一管理，让复杂组网的管理更加简易。

高安全

针对企业各部门间不同的密级，私网NAT支持暴露限定网段的IP和端口，隔离高安全等级的业务。因为安全受限等原因，行业监管部门要求各机构和单位按指定IP地址接入，私网NAT可满足行业监管要求，将私网IP映射为指定IP进行接入。

零冲突

企业多部门间业务隔离，常常使用同一个私网网段，迁移上云后极易冲突。基于私网NAT网关的大小网映射能力，可支持云上的重叠网段互通，助力客户上云后网络零冲突。

云网出口

构建VPC公网出口，弹性云服务器共享使用弹性IP访问Internet，灵活支持多种部署模式

优势

灵活部署

支持跨子网部署和跨AZ部署
多样易用

多种网关规格可灵活选择
降低成本

多个弹性云服务器共享使用弹性IP

场景适用服务

弹性云服务器 ECS

虚拟私有云 VPC

云网入口

提供DNAT端口级转发功能，使云上业务可轻松面向Internet提供服务，并同时节省大量弹性公网IP

优势

灵活部署

支持跨子网部署和跨az部署
降低成本

多个弹性云服务器共享使用弹性IP

场景使用服务

弹性云服务器 ECS

虚拟私有云 VPC

混合云公网加速

通过NAT网关，为线下IDC的主机绑定云上弹性公网IP，从而优化IDC访问Internet的速度

优势

低时延

通过专线连接到云上，并使用NAT绑定弹性公网IP给IDC中的机器，可以使用云上的Internet资源，获得更稳定的访问速度

云专线 DC

弹性公网IP EIP

公网NAT多实例

结合VPC多路由表功能，可在同一VPC下按子网创建并使用NAT网关，获得更好的业务扩展性和可靠性

场景适用服务

虚拟私有云 VPC

混合云互通

使用私网NAT网关，可将线下IDC和线上VPC网络无缝对接，保持企业线下的网络访问方式不变，并将业务平滑迁移到云上

优势

IP地址不变

私网NAT可将业务VPC下云主机的IP转换为中转VPC下的私网IP，并与远端IDC或其他VPC进行三层通信。适合于企业从线下IDC迁移部分业务上云后，希望保持原先企业内部网络通信方式的场景
IP地址重叠

利用两个私网NAT网关，可同时将源、目的网段做DNAT，解决了访问两端地址重叠的问题

场景适用服务

虚拟私有云 VPC

云专线 DC

云NAT网关相关文档

云NAT网关-产品规格

NAT网关的规格指公网NAT网关与私网NAT网关支持的SNAT最大连接数。

NAT网关的规格指公网NAT网关与私网NAT网关支持的SNAT最大连接数。

了解详情
云NAT网关-计费说明（公网NAT网关）

公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。

公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。

了解详情
云NAT网关-计费说明（私网NAT网关）

私网NAT网关在不同区域分批次开始收费。本章节主要介绍私网NAT网关的计费详情。

私网NAT网关在不同区域分批次开始收费。本章节主要介绍私网NAT网关的计费详情。

了解详情

云NAT网关-权限管理

默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

了解详情
云NAT网关-购买公网NAT网关

如果您要通过公网NAT网关访问公网或为公网提供服务，则需要购买公网NAT网关。购买公网NAT网关必须指定公网NAT网关所在VPC、子网。

如果您要通过公网NAT网关访问公网或为公网提供服务，则需要购买公网NAT网关。购买公网NAT网关必须指定公网NAT网关所在VPC、子网。

了解详情
云NAT网关-购买私网NAT网关

如果您的VPC中的资源要通过私网NAT网关访问用户本地数据中心（IDC）或其他虚拟私有云，或面向私网提供服务，则需要购买私网NAT网关。

如果您的VPC中的资源要通过私网NAT网关访问用户本地数据中心（IDC）或其他虚拟私有云，或面向私网提供服务，则需要购买私网NAT网关。

了解详情

云NAT网关-创建用户并授权使用NAT网关

如果您需要对您所拥有的NAT网关（NAT Gateway，简称NAT网关）进行精细的权限管理，您可以使用统一身份认证服务

如果您需要对您所拥有的NAT网关（NAT Gateway，简称NAT网关）进行精细的权限管理，您可以使用统一身份认证服务

了解详情
云NAT网关-约束与限制

对于新建公网NAT网关实例，系统不会在后台下发默认路由，需要您在对应路由表中添加公网NAT网关的路由。私网NAT网关目前在“华东-上海二”、“西南-贵阳一”、“中国-香港”、“拉美-圣保罗一”、“非洲-约翰内斯堡”限时免费。

对于新建公网NAT网关实例，系统不会在后台下发默认路由，需要您在对应路由表中添加公网NAT网关的路由。私网NAT网关目前在“华东-上海二”、“西南-贵阳一”、“中国-香港”、“拉美-圣保罗一”、“非洲-约翰内斯堡”限时免费。

了解详情
云NAT网关-查看监控指标

NAT网关正常运行，并且已经创建SNAT规则。由于监控数据的获取与传输会花费一定时间，因此，请等待一段时间后再查看监控数据。

NAT网关正常运行，并且已经创建SNAT规则。由于监控数据的获取与传输会花费一定时间，因此，请等待一段时间后再查看监控数据。

了解详情

云NAT网关帮助视频

NAT网关服务介绍