VPN网关
VPN网关提供IPsec-VPN和SSL-VPN两种网络连接方式,不同的网络连接方式适用于不同的应用场景。
IPsec-VPN
IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便您配置和维护VPN策略,适用于在企业本地数据中心或企业办公网络与VPC之间建立网络连接。
注意事项
- 本地数据中心和VPC间互通的网段没有重叠
- 本地数据中心的网关设备必须配置静态公网IP地址
- 需要在本地数据中心的网关设备中加载阿里云上VPN网关的配置,
SSL-VPN
SSL VPN是采用SSL(Security Socket Layer)/TLS(Transport Layer Security)协议来实现远程接入的一种轻量级VPN技术。
SSL-VPN是一种基于OpenVPN架构的网络连接技术,适用于在互联网客户端与VPC之间建立网络连接。部署后,仅需要在互联网客户端中加载证书并发起连接,互联网客户端便可与VPC互通。
SSL-VPN仅支持绑定国际标准商用密码算法的公网VPN网关实例。
VPC网关
IPv4网关
IPv4网关是连接专有网络VPC(Virtual Private Cloud)和公网的网络组件。VPC访问IPv4公网的流量经过IPv4网关,由IPv4网关实现路由转发以及私网地址到公网地址的转换,最终实现对公网的访问。
功能
- 作为VPC路由表中的路由下一跳,控制VPC访问公网的目的地址范围。
- 为VPC中分配了IPv4公网地址的网络资源(例如弹性网卡、ECS等),提供网络地址转换功能。
使用限制
- IPv4网关是地域级别的资源,只能在同一个地域中使用。
- 一个VPC下只支持创建一个IPv4网关,且一个IPv4网关仅能关联一个VPC。
- 只有激活成功的IPv4网关才具有公网访问能力。
- 一个IPv4网关仅能绑定一张网关路由表。
- IPv4网关不能绑定系统路由表。
- 已绑定交换机的路由表不能与IPv4网关绑定。
- 网关路由表不支持配置自定义路由条目,但可以修改网关路由表中路由条目的下一跳类型。
- VPC内包含特定资源(VPC内存在网卡可见模式的EIP资源)时,不支持创建IPv4网关。
NAT网关(Network Address Translation)
网络地址转换,是将IP数据包头中的IP地址转换为另一个IP地址的过程。在实际的应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。
公网NAT网关
公网NAT网关是一款针对公网访问的企业级安全网关产品,提供NAT代理功能(SNAT和DNAT),具有100 Gbps的转发能力及跨可用区的容灾能力。公网NAT网关具有高性能、自动弹性、灵活计费、精细化运维等特性,可以帮助您更好地管理公网访问流量。
业务场景需求:
- 如果您的云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网上从而有被攻击的风险,您可以选用公网NAT网关为业务提供安全防护能力。
- 如果您的业务具有突增的访问公网的流量需求,您可以选用公网NAT网关为您提供灵活和弹性的扩容能力,并且只需要按使用量付费,节省企业成本。
- 如果您有大量访问公网的机器,您可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。
功能类型
SNAT(Source Network Address Translation)
为专有网络VPC(Virtual Private Cloud)内无公网IP的ECS实例提供访问公网的代理服务。改变原来IP实现对外部资源的访问DNAT(Destination Network Address Translation)
将公网NAT网关上绑定的弹性公网IP(Elastic IP Address,简称EIP)映射给VPC内的ECS实例使用,使ECS实例可以面向公网提供服务。改变外部访问的目标IP(改为私网IP)实现业务的对外服务
私网NAT网关
功能类型
SNAT(Source Network Address Translation)
通过NAT IP地址为VPC内的ECS实例提供访问外部私有网络代理服务。
DNAT(Destination Network Address Translation)
通过将NAT IP地址和端口映射转换为VPC内ECS实例的IP和端口,使ECS实例对外提供私网访问服务。