公网IP,公网网关, NAT 网关
在阿里云和腾讯云上买的主机要访问互联网,或者互联网要访问主机。要用到一些公网类产品。
用户只存在单一应用,并且业务较小的时候,单台ECS即可满足用户的需求,应用程序、数据库、文件都部署在该ECS上面。为这台ECS绑定一个公网EIP即可对外提供服务。
公网IP
服务器需要外网访问能力的时候,需要为服务器分配公网IP,如果服务器不分配公网IP,则不支持外出流量,并且无法使用外网IP对外进行通信。
公网网关
公网网关是开启了转发功能的云主机,没有外网 IP 但需要进行 Internet 访问的云服务器可通过位于不同子网的公网网关来访问 Internet。公网网关主机将对公网流量进行源地址转换,所有其他主机访问外网的流量经过公网网关后,IP 都被转换为公网网关主机的 IP 地址,如下图:
公网网关和带有外网 IP 的云服务器的区别
公网网关在镜像里开通了公网流量路由转发功能,而带有外网 IP 的云主机默认不具备流量转发功能。
所以带有外网 IP 的云服务器只能满足该服务器自身访问 Internet 的需求,而公网网关还可以对其它云服务器访问 Internet 的流量进行转发。
NAT 网关
NAT 网关是一种将私有网络中内网 IP 地址和公网 IP 地址进行转换的网关,是 VPC 内的一个公网流量的出入口。腾讯云私有网络 NAT 网关的典型应用场景如下:
大带宽、高可用公网访问。针对用户需要超大带宽、公网 IP 使用量大、部署服务较多的公网访问应用场景,腾讯云 NAT 网关均可以满足需求。
安全的公网访问。腾讯云私有网络的 NAT 网关提供 IP 的安全转换。如果用户希望隐藏私有网络内主机的公网 IP 以避免暴露其网络部署,同时又希望与公网通信,那么使用腾讯云 NAT 网关可以满足这类需求。
网络拓扑关系
如下图所示,NAT 网关是一个处于 Internet 和 VPC 边界的网关,并接在 VPC 的路由器上。由这样的拓扑图可知,VPC 内云主机等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。然后 NAT 网关通过绑定的弹性 IP 地址作为源 IP 地址,将流量发送到 Internet
NAT网关作为一个网关设备,需要绑定公网IP才能正常工作。
NAT 网关 与公网网关的区别
NAT 网关比公网网关具有如下优势:
大容量
最大支持 1000 万并发连接、5 Gbps 带宽和 10 个弹性 IP,满足大规模用户诉求。
双机热备高可用
单机故障自动切换,相对于公网网关的手动切换,实现了自动容灾,保障 99.99% 的服务可用性。
省成本
提供高、中、低三种配置,用户可按需购买,弹性计费,更省成本。
有两种。
1、SNAT 源地址转换
为VPC内无公网IP的ECS实例提供访问互联网的代理服务。
此外,NAT网关的SNAT功能还可以作为一个简易防火墙使用。通过SNAT保护后端的服务器,只有后端服务主动和外部终端建立连接后,外部终端才可以访问内部服务器,而未建立连接的外部不可信终端是无法访问后端服务器的。
2、DNAT 目标地址转换
将NAT网关上的公网IP映射给ECS实例使用,使ECS实例能够提供互联网服务。
DNAT支持端口映射和IP映射。
如何区分SNAT和DNAT?
从定义来讲它们一个是源地址转换,一个是目标地址转换。都是地址转换的功能,将私有地址转换为公网地址。
要区分这两个功能可以简单的由连接发起者是谁来区分:
内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。
在配置防火墙或者路由acl策略时要注意这两个NAT一定不能混淆