公有云产品NAT&EIP最佳实践指南

2021-05-27 18:57:33 浏览数 (1)

一、 NAT网关&EIP简介

NAT 网关(NAT Gateway 简称NAT)是一种支持 IP 地址转换服务,提供 SNAT 和 DNAT 能力,为私有网络(VPC)内的资源提供安全、高性能的 Internet 访问服务。适用于云上主动访问公网及对外提供公务服务能力等场景。

弹性公网 IP (Elastic IP,EIP)是可以独立购买和持有的、某个地域下固定不变的公网 IP 地址。EIP 可以与 CVM、NAT 网关、弹性网卡和高可用虚拟 IP 等云资源绑定,提供访问公网和被公网访问的能力。

二、NAT网络拓扑关系

如下图所示,VPC 内云服务器等资源通过 NAT 网关向外发送数据包时,数据会先经过路由器,按照路由策略进行路由选择。最后 NAT 网关把绑定的弹性 IP 地址作为源 IP 地址,将流量发送到 Internet。

三、EIP网拓扑络关系

EIP绑定 CVM

EIP 可以与云服务器(CVM)绑定 ,为 CVM 提供访问公网和被公网访问的能力。

绑定 NAT 网关

EIP 可以与 NAT 网关绑定,通过 NAT 网关的 SNAT 和 DNAT 功能,为多个无公网 IP 的 CVM 提供访问公网和被公网访问的能力。

四、NAT产品功能

腾讯云 NAT 网关具备 SNAT(Source Network Address Translation,源网络地址转换)、DNAT(Destination Network Address Translation,目的网络地址转换)、网关流控、流量告警、共享带宽包、安全高防、自动容灾等多种功能

SNAT

为私有网络(VPC)内无公网IP的CVM实例提供主动访问互联网能力代理,可支持单NAT实例5Gbps转发能力。

DNAT

将NAT网关实例绑定的EIP映射给VPC内CVM实例使用,使CVM实例可以面向被外部主动访问公网服务能力。

共享带宽包

NAT网关绑定多个EIP时、可将EIP加入共享带宽包、用于不同流量错峰场景、有效降低带宽成本。

网关流控

网关流控可对某内网IP与NAT网关之间进行限制、提供IP粒度的“监” 与 “控” 能力。

监控告警

结合云监控自定义NAT网关实例带宽、包量、连接数、丢包量等维度的告警监控,协助快速发现和定位故障。

自动容灾

NAT网关是双击热备模式、Session主备设备自动实时同步,单机故障业务无感知自动切换。

五、EIP的IP地址类型

腾讯云支持常规 BGP IP、精品 BGP IP、加速 IP 和静态单线 IP 等多种类型的弹性公网 IP。

  • 常规 BGP IP:普通 BGP IP,用于平衡网络质量与成本。
  • 精品 BGP IP:专属线路,避免绕行国际运营商出口,网络延时更低。
  • 加速 IP:采用 Anycast 加速,使公网访问更稳定、可靠、低延迟。
  • 静态单线 IP:通过单个网络运营商访问公网,成本低且便于自主调度。

六、常见场景及最佳实践推荐

NAT网关实例绑定单EIP搭建访问公网服务器的SNAT&DNAT场景最佳推荐

最佳实践推荐:

  1. 每NAT实例对应绑定一个弹性EIP。
  2. 重要业务多个NAT实例部署不同NATGW集群(需后端同学协助确认、如同一集群需迁移)。
  3. 每NAT实例带宽不超过5Gbps、源端口转换连接数不超过5W(10G&40G集群)。
  4. 每NAT实例带宽共享集群不超过20Gbps、独占集群不超过50Gbps、源端口转换连接数不超过5W(100G集群)。
  5. EIP加入共享带宽包、用于不同流量错峰场景、有效降低带宽成本。

最佳实践拓扑:

NAT网关实例绑定多EIP搭建访问公网服务器的SNAT&DNAT场景最佳推荐

  1. 每NAT实例对应绑定多个弹性EIP、多个EIP可以部署不同可用区集群(EIP部署不同可用区需开白)。
  2. 重要业务多个NAT实例部署不同NATGW集群(需后端同学协助确认、如同一集群需迁移)。
  3. 每NAT实例带宽不超过5Gbps、源端口转换连接数不超过5W(10G&40G集群)。
  4. 每NAT实例带宽共享集群不超过20Gbps、独占集群不超过50Gbps、源端口转换连接数不超过5W(100G集群)。
  5. EIP加入共享带宽包、用于不同流量错峰场景、有效降低带宽成本。

最佳实践拓扑:

NAT网关实例绑定多EIP跨可用区级别搭建访问公网服务器的SNAT&DNAT场景最佳推荐

注:NAT实例故障期间需客户侧控制台人工摘除异常网关实例路由。

  1. 每NAT实例对应绑定多个弹性EIP、多个EIP可以部署不同可用区集群(EIP部署不同可用区需开白)。
  2. 重要业务多个NAT实例部署不同可用区NATGW集群(NAT集群可用区需开白)。
  3. 每NAT实例带宽不超过5Gbps、源端口转换连接数不超过5W(10G&40G集群)。
  4. 每NAT实例带宽共享集群不超过20Gbps、独占集群不超过50Gbps、源端口转换连接数不超过5W(100G集群)。
  5. EIP加入共享带宽包、用于不同流量错峰场景、有效降低带宽成本。

最佳实践拓扑:

EIP与后端CVM避免跨可用区绑定

注:EIP与后端CVM避免跨可用区绑定(新增EIP可开白后选择可用区属性)

七、 配置参考

申请不同可用区弹性EIP(EIP类型及带宽根据业务实际需求申请)

创建NAT网关实例、并分别与步骤一申请的不同可用区EIP绑定。

配置相关子网所关联的路由表多个不同可用区NAT路由ECMP。

开启网关流控模式(可选)

配置监控告警

0 人点赞