更新时间:2024-03-05 GMT+08:00
约束与限制
公网NAT网关
关于公网NAT网关的使用,您需要注意以下几点:
- 公共限制
- 同一个公网NAT网关下的多条规则可以复用同一个弹性公网IP,不同网关下的规则必须使用不同的弹性公网IP。
- 一个VPC支持关联多个公网NAT网关。
- SNAT、DNAT可以共用同一个弹性公网IP,节省弹性公网IP资源。但是在选用全端口模式下,DNAT优先占用全部端口,这些端口不能被 SNAT 使用。因此SNAT规则不能和全端口的DNAT规则共用EIP,以免出现业务相互抢占问题。
- 公网NAT网关支持转换的资源类型不包括企业型VPN。
- 当云主机同时配置弹性公网IP服务和公网NAT网关服务时,数据均通过弹性公网IP转发。
- 出于安全因素考虑,部分运营商会对下列端口进行拦截,导致无法访问。建议避免使用下列端口:
协议
不支持端口
TCP
42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996
UDP
135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996
- NAT 网关支持 TCP、UDP 和 ICMP 协议,暂不支持ALG 相关技术,且GRE 隧道和 IPSec 使用的 ESP、AH无法使用 NAT 网关,这是由NAT网关本身的特性决定的。
- SNAT限制
- VPC内的每个子网只能添加一条SNAT规则。
- SNAT规则中添加的自定义网段,对于虚拟私有云的配置,必须是虚拟私有云子网网段的子集,不能相等。
- SNAT规则中添加的自定义网段,对于云专线的配置,必须是云专线侧网段,且不能与虚拟私有云侧的网段冲突。
- 公网NAT网关支持添加的SNAT规则的数量没有限制。
- DNAT限制
- 一个云主机的一个端口对应一条DNAT规则,一个端口只能映射到一个EIP,不能映射到多个EIP。
- 公网NAT网关支持添加的DNAT规则的数量为200个。
私网NAT网关
关于私网NAT网关的使用,您需要注意以下几点:
- 公共限制
- 用户需要在VPC下手动添加私网路由,即通过创建对等连接或开通云专线/VPN连接远端私网。
- 中转IP和目的IP不能在同一个VPC中。
- SNAT规则和DNAT规则不能共用同一个中转IP。
- 私网NAT网关支持添加的DNAT规则和SNAT规则的数量如下:
- 小型:DNAT规则和SNAT规则的总数不超过20个。
- 中型:DNAT规则和SNAT规则的总数不超过50个。
- 大型:DNAT规则和SNAT规则的总数不超过200个。
- 超大型:DNAT规则和SNAT规则的总数不超过500个。
- SNAT限制
- VPC内的每个子网只能添加一条SNAT规则。
- DNAT限制
- DNAT的全端口模式不能和具体端口模式共用同一个中转IP。
