百度智能云 NAT 网关支持用户的私有子网中的BCC、DCC、BBC实例连接 Internet 网络或其他百度智能云服务。
NAT网关支持SNAT和DNAT功能。
- SNAT:源网络地址转换,为VPC内无公网IP的云服务器提供访问互联网的代理服务。此外,NAT网关的SNAT功能还可以作为一个简易防火墙使用,保护私有网络信息不直接暴露公网。
- DNAT:目的网络地址转换,将NAT网关上的公网IP映射给BCC实例使用,使BCC实例能够提供互联网服务,支持IP映射和端口映射。所有端口属于IP映射,相当于为目标BCC实例配置了一个弹性公网IP,任何访问该公网IP的请求都将转发到目标BCC实例上。具体端口属于端口映射,NAT网关会将以指定协议和端口访问该公网IP的请求转发到目标BCC实例的指定端口上。
NAT网关有三种类型,以下绑定多个公网IP仅支持使用共享带宽:
- 小型NAT网关,最多支持绑定5个公网IP,最大连接数约1万,最大转发能力1Gbps。
- 中型NAT网关,最多支持绑定10个公网IP,最大连接数约5万,最大转发能力2Gbps。
- 大型NAT网关,最多支持绑定15个公网IP,最大连接数约20万,最大转发能力5Gbps。
适用场景:
- 绑定单个EIP:云服务器访问 Internet,通过NAT 网关实现内网IP转换为单个公网IP地址。
- 共享带宽:通过NAT 网关与共享带宽配合使用,实现内网IP转换为多个公网IP地址。
配置前您需要了解:
- 每个 VPC 最多支持3个 NAT 网关。
- SNAT或DNAT可以绑定一个普通EIP或共享带宽中的多个IP,但是不支持既绑定普通EIP又绑定共享带宽包的IP。
- SNAT+DNAT的EIP小于等于NAT可绑定EIP的数量。
- SNAT、DNAT可以共用一个共享带宽,但是公网IP不能冲突,同一个公网IP不能同时既用于SNAT又用于DNAT。
- 一个SNAT表最多可添加40个条目。
- 一个SNAT条目支持可关联的公网IP的数量64个。
- 一个DNAT表最多可添加100个端口转发条目。
创建NAT网关
- 在VPC实例列表页,选择已创建的VPC实例,点击进入详情页面。如果您需要在非默认 VPC中创建NAT网关,首先需要在该VPC中创建一个子网。
- 导航栏选择“NAT网关”,点击“创建 NAT网关”按键。
- 填写下列配置信息:
| 配置项 | 说明 |
|---|---|
| 付费方式 | 选择预付费或后付费 |
| 当前地域 | 支持北京、保定、广州、苏州、武汉、香港,通过左上角区域进行切换 |
| 网卡名称 | 用户自定义NAT网关名称 |
| 类型 | 选择NAT网关类型,支持小型、中型、大型 |
| SNAT公网IP | 选择SNAT的公网连接类型,包括两种类型,弹性公网IP 和共享带宽 |
| DNAT公网IP | 选择DNAT网关的公网连接类型,包括两种类型,弹性公网IP 和共享带宽 |
| 描述 | 编辑NAT网关相关描述信息 |
- 点击“创建”,完成 NAT网关的创建。
配置NAT路由
- 导航栏选择“路由表”。
- 在路由表列表中,点击“添加路由”。
-
配置需要访问 Internet 的子网所关联的路由表。
- 源网段 :需通过NAT网关访问Internet子网
- 输入目标网段:0.0.0.0/0
- 路由类型:选择“NAT网关”
- 下一跳实例:选择已创建的NAT网关ID。该子网内所有访问公网的流量的下一跳将全部指向该NAT网关实例。
说明:
- 通用型子网已支持使用NAT网关,不再支持新增NAT专属子网。
- 子网内有实例绑定EIP,添加NAT路由后,若EIP路由与NAT路由冲突,则会优先走EIP路由。
- 由于VPC内所有子网默认互通,在NAT专属子网和通用型子网内的BCC实例之间仍然可以连通。
- 点击“确定”,完成路由器配置,关联此路由表的子网内的BCC访问 Intenet 时流量将指向 NAT网关。
配置SNAT表
- 点击NAT实例名称或点击操作中的“设置SNAT“进入SNAT表页面。
- 点击SNAT列表上方的“添加SNAT条目“,出现添加SNAT条目弹框。
- 填写下列配置信息:
| 配置项 | 说明 |
|---|---|
| 条目名称 | 用户自定义条目名称 |
| 源网段 | 必填,该网段下的BCC实例将通过SNAT功能进行公网访问 |
| 公网IP地址 | 必选,在SNAT公网IP中选择用来提供互联网访问的公网IP |
- 点击“确认”,完成 SNAT条目的添加。
说明:
- 在配置SNAT条目前,请确保NAT网关所在的VPC中已经添加了NAT路由。
- 若未配置SNAT条目,则轮询所有SNAT公网IP访问互联网,若配置SNAT条目,则轮询SNAT条目指定的公网IP访问互联网。
配置DNAT表
- 点击NAT实例名称或点击操作中的“设置DNAT“进入DNAT表页面。
- 点击DNAT列表上方的“添加DNAT条目“,出现添加DNAT条目弹框。
- 填写下列配置信息:
| 配置项 | 说明 |
|---|---|
| 条目名称 | 用户自定义条目名称 |
| 公网IP地址 | 必选,在DNAT公网IP中选择一个IP |
| 内网IP地址 | 必填,输入目标实例的内网IP |
| 协议 | 必选,转发端口的协议类型。默认“全部协议“,协议类型:全部协议、TCP、UDP |
| 源端口 | 必填,公网端口,进行端口转发的外部端口,取值范围1-65535之间的整数。 |
| 目标端口 | 必填,内网端口,进行端口转发的内部端口,取值范围1-65535之间的整数。 |
- 点击“确认”,完成 DNAT条目的添加。
说明:
- 在配置DNAT条目前,请确保NAT网关所在的VPC中已经添加了NAT路由。
- 在解绑EIP前,确保该EIP没有被任何DNAT条目占用。
查看绑定NAT的EIP列表
登录控制台“产品服务>弹性公网IP”的实例列表页,能够查看绑定NAT的EIP实例。EIP到期7天内,与NAT保持绑定,EIP 在到期超过7天后,自动与NAT解绑并释放EIP。
查看监控
- 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏中选择NAT网关,进入NAT网关实例列表。
- 选择实例后面的"监控",页面右侧出现监控浮窗。
- 点击"查看更多",进入实例详情页面的监控。
- 可以查看NAT网关监控信息和后端服务器监控信息。
- 在监控页面点击“报警详情”进入报警策略配置页面,可以管理NAT网关的报警策略,详细操作步骤请见BCM管理报警。
说明:
- 后端服务器数量少于10个时,默认展示所有后端服务器监控信息。用户可自定义选择需要展示的后端服务器监控信息,最多可选10个。
NAT网关支持TOPN统计
TOPN: 您可在选择时间范围、统计方式、监控项后,开启显示TOP功能并点击最左侧的刷新按钮,此时系统根据您的选择,自动展示流量占比排名前10的后端服务器实例ID及IP。
统计方式: 平均值、最大值、最小值、和值。
监控项:入流量、出流量、入带宽、出带宽、入包速率、出包速率、连接数。
说明:
- NAT网关状态为“运行中”,并且SNAT或DNAT状态为“可用”;
- 必须有网络流量经过NAT转换;
- 点刷新按钮后,流量图有延时,需等待大概3分钟左右后显示。
