NAT 网关（Network Address Translation Gateway，网络地址转换网关）

NAT 网关（Network Address Translation Gateway，网络地址转换网关） 是云计算网络架构中的一个关键组件，主要用于解决私有网络内的资源访问互联网的问题，同时保障这些资源的安全性。

简单来说，它的作用是让没有公网 IP 的云服务器（如位于私有子网的数据库、后端应用）能够安全地访问互联网，但阻止互联网主动发起对这些云服务器的连接。

 

---

1. 核心功能：单向访问

NAT 网关主要提供SNAT（源地址转换）功能：

• 出向流量（内 →→ 外）：当 VPC 内的云服务器（ECS/EC2）需要访问互联网（例如下载软件包、调用外部 API、更新系统补丁）时，流量会经过 NAT 网关。NAT 网关会将数据包的“源 IP 地址”（私网 IP）替换为 NAT 网关自己的“公网 IP”，然后发给互联网。
• 入向流量（外 →→ 内）：互联网返回的响应数据包到达 NAT 网关后，网关会根据记录将“目的 IP”还原为云服务器的私网 IP，并转发给服务器。
• 关键限制：互联网无法主动发起连接访问 NAT 网关背后的服务器。因为没有公网 IP 直接绑定在服务器上，且 NAT 网关默认不处理未经请求的入站流量。这天然形成了一道防火墙。

2. 为什么要用 NAT 网关？（应用场景）

想象您有一个典型的三层架构：

• Web 层：需要被用户访问，所以放在公有子网，绑定公网 IP 或通过负载均衡暴露。
• 应用层/数据库层：存储敏感数据或运行核心逻辑，绝对不能直接被互联网访问，所以放在私有子网，只有私网 IP。

问题：如果私有子网的服务器需要去互联网下载一个安全补丁，或者调用微信/支付宝的支付接口，怎么办？

• 方案 A（不安全）：给每台服务器绑定公网 IP。 →→ 风险极大，黑客可以直接扫描攻击这些服务器。
• 方案 B（推荐）：在私有子网的路由表中配置，将所有指向互联网的流量发给 NAT 网关。 →→ 安全，服务器可以上网，但外界连不上服务器。

3. NAT 网关 vs 其他方案

 

4. 通俗类比

把 VPC 比作一个封闭的小区：

• 云服务器是小区里的住户（只有门牌号/私网 IP，没有直接对外的电话线）。
• 互联网是小区外面的世界。
• NAT 网关就是小区的传达室/门卫。
  • 住户想出去（访问互联网）：告诉门卫“我要去超市”，门卫用自己的对外电话帮住户联系，超市回电时打给门卫，门卫再转接给住户。超市只知道门卫的电话，不知道住户的具体门牌号。
  • 外人想进来（互联网访问住户）：外人直接打门卫电话想找某个住户，门卫（如果没有预先约定）会直接拒绝：“我们小区不允许外人直接闯入住户家里”。

5. 主流云厂商产品

• 阿里云：NAT 网关（支持 SNAT 和 DNAT，DNAT 可用于端口映射，但主要用途仍是 SNAT）。
• AWS：NAT Gateway（高度托管，按小时和流量收费）。
• 腾讯云：NAT 网关。
• 华为云：NAT 网关。

6.示例架构

6.1 NAT 网关 - 公网访问

公网 NAT 网关可以将 VPC 内的私网 IPv4 地址转换为 EIP，实现多服务器共享EIP访问公网。

6.1 NAT 网关 - 私网访问

 NAT 网关可以将 VPC 内的私网 IPv4 地址转换为 NAT IP，解决地址冲突网络的互访或满足使用指定地址访问的诉求。

私网冲突解决

网段重叠的 VPC 无法互连，可以使用 VPC NAT 网关对冲突的私网地址进行转换。

指定地址访问

金融证券等受监管行业，云上业务使用 VPC NAT 网关，确保通过固定的、指定的私网IP地址访问本地IDC。

总结

NAT 网关是构建安全云架构的标配。如果您有服务器部署在私有子网中，且这些服务器需要访问互联网（下载、更新、调用第三方 API），但不需要被互联网访问，那么 NAT 网关是最佳选择。它既满足了联网需求，又最大程度地收敛了攻击面。