为TaurusDB绑定或解绑NAT网关（公测）

操作场景

在公网访问场景中，用户需要通过弹性公网IP实现外部网络与数据库实例的连接。然而，传统的直接绑定弹性公网IP的方式存在安全风险，如果安全策略配置不完善或存在安全漏洞，攻击者可能窃取访问凭证，进而对数据库资源进行恶意操作。

为了解决这一安全隐患，TaurusDB支持绑定或解绑NAT网关，将绑定弹性公网IP逻辑升级为通过公网NAT网关创建单向DNAT规则，仅允许预设端口的入向流量穿透至数据库实例的内网IP，从而在满足业务需求的同时，有效隔离潜在的攻击路径并降低凭据泄露的风险。

如果您的实例不再需要通过弹性公网IP进行连接，您可以解绑NAT网关地址，请在评估业务需求后谨慎操作。

前提条件

• 绑定NAT网关功能当前处于公测阶段，如需使用该功能，请提交工单。
• 需要提前创建公网NAT网关，并确保该NAT网关的虚拟私有云和子网与TaurusDB实例的虚拟私有云和子网保持一致。如何创建公网NAT网关请参见购买公网NAT网关。

权限要求

• 如果用户通过主账号绑定网关地址，不需要任何额外配置。如果是IAM子用户并且是第一次操作绑定网关地址，则需要给子用户临时配置创建委托的权限。
• 为TaurusDB绑定DNAT网关，策略授权时推荐您选择IAM项目授权，不支持通过企业项目授权。
• 绑定网关地址时必须拥有如下权限：

  表1 IAM权限与委托

  当前IAM策略	需要的IAM 3.0权限	需要的IAM 5.0权限
  基于角色或策略（IAM 3.0）	gaussdb:instance:unbindPublicIp gaussdb:instance:bindPublicIp gaussdb:instance:list nat:dnatRules:create nat:natGateways:list nat:snatRules:list nat:dnatRules:delete nat:natGateways:get nat:dnatRules:get nat:dnatRules:update nat:dnatRules:list 如不满足，请创建自定义策略。	eip:publicIps:associateInstance eip:publicIps:disassociateInstance nat:natGateways:listTags 如不满足，请创建自定义策略并附加至主体。
  基于身份策略（IAM 5.0）	不涉及	nat:dnatRules:create nat:dnatRules:delete nat:dnatRules:get nat:dnatRules:list nat:dnatRules:update nat:natGateways:get nat:natGateways:list nat:natGateways:listTags nat:snatRules:list eip:publicIps:associateInstance eip:publicIps:disassociateInstance 如不满足，请创建自定义策略并附加至主体。

注意事项

• 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则，操作请参见设置TaurusDB安全组规则。
• 使用NAT网关可将同一个弹性公网IP的不同端口映射到不同实例上。绑定网关地址后，如果无法访问数据库，可参考公网NAT网关配置完成后，网络不通如何处理排查。

约束限制

• 对于已绑定弹性公网IP的实例，需解绑弹性公网IP后才可绑定NAT网关地址。
• 实例绑定NAT网关后，不能在NAT网关的DNAT规则页面删除对应规则，若删除后TaurusDB页面不会同步删除且会导致弹性公网IP无法连接数据库实例。

计费说明

NAT网关和公网IP需要单独付费。NAT网关的详细收费标准请参考NAT网关价格详情。公网IP的详细收费标准请参考弹性公网IP价格详情。

绑定或解绑NAT网关