更新时间:2024-03-05 GMT+08:00
分享

约束与限制

公网NAT网关

关于公网NAT网关的使用,您需要注意以下几点:

  • 公共限制
    • 同一个公网NAT网关下的多条规则可以复用同一个弹性公网IP,不同网关下的规则必须使用不同的弹性公网IP
    • 一个VPC支持关联多个公网NAT网关。
    • SNAT、DNAT可以共用同一个弹性公网IP,节省弹性公网IP资源。但是在选用全端口模式下,DNAT优先占用全部端口,这些端口不能被 SNAT 使用。因此SNAT规则不能和全端口的DNAT规则共用EIP,以免出现业务相互抢占问题。
    • 公网NAT网关支持转换的资源类型不包括企业型VPN。
    • 当云主机同时配置弹性公网IP服务和公网NAT网关服务时,数据均通过弹性公网IP转发。
    • 出于安全因素考虑,部分运营商会对下列端口进行拦截,导致无法访问。建议避免使用下列端口:

      协议

      不支持端口

      TCP

      42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996

      UDP

      135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996

    • NAT 网关支持 TCP、UDP 和 ICMP 协议,暂不支持ALG 相关技术,且GRE 隧道和 IPSec 使用的 ESP、AH无法使用 NAT 网关,这是由NAT网关本身的特性决定的。
  • SNAT限制
    • VPC内的每个子网只能添加一条SNAT规则。
    • SNAT规则中添加的自定义网段,对于虚拟私有云的配置,必须是虚拟私有云子网网段的子集,不能相等。
    • SNAT规则中添加的自定义网段,对于云专线的配置,必须是云专线侧网段,且不能与虚拟私有云侧的网段冲突。
    • 公网NAT网关支持添加的SNAT规则的数量没有限制。
  • DNAT限制
    • 一个云主机的一个端口对应一条DNAT规则,一个端口只能映射到一个EIP,不能映射到多个EIP。
    • 公网NAT网关支持添加的DNAT规则的数量为200个。

私网NAT网关

关于私网NAT网关的使用,您需要注意以下几点:

  • 公共限制
    • 用户需要在VPC下手动添加私网路由,即通过创建对等连接或开通云专线/VPN连接远端私网。
    • 中转IP和目的IP不能在同一个VPC中。
    • SNAT规则和DNAT规则不能共用同一个中转IP。
    • 私网NAT网关支持添加的DNAT规则和SNAT规则的数量如下:
      • 小型:DNAT规则和SNAT规则的总数不超过20个。
      • 中型:DNAT规则和SNAT规则的总数不超过50个。
      • 大型:DNAT规则和SNAT规则的总数不超过200个。
      • 超大型:DNAT规则和SNAT规则的总数不超过500个。
  • SNAT限制
    • VPC内的每个子网只能添加一条SNAT规则。
  • DNAT限制
    • DNAT的全端口模式不能和具体端口模式共用同一个中转IP。

相关文档