摘要：云硬盤容量是由統一存儲的從存儲集群容量中分配的，所有云硬盤共享整個分布式存儲池的容量及性能。支持云硬盤創建掛載卸載磁盤擴容刪除等生命周期管理，單塊云硬盤同時僅能掛載一臺虛擬機。云硬盤最小支持的容量，步長為，可自定義控制單塊云硬盤的最大容量。

云硬盤是一種基于分布式存儲系統為虛擬機提供持久化存儲空間的塊設備。具有獨立的生命周期，支持隨意綁定/解綁至多個虛擬機使用，并能夠在存儲空間不足時對云硬盤進行擴容，基于網絡分布式訪問，為云主機提供高安全、高可靠、高性能及可擴展的數據磁盤。

存儲系統兼容并支持多種底層存儲硬件，如通用服務器（計算存儲超融合或獨立通用存儲服務器）和商業存儲，并將底層存儲硬件分別抽像不同類型集群的存儲資源池，由分布式存儲系統統一調度和管理。在實際應用場景中，可以將普通 SATA 接口的機械盤統一抽像為【SATA 存儲集群】，將 SSD 全閃磁盤統一抽象為【SSD 存儲集群】，分別由統一存儲封裝后提供平臺用戶使用。

如示意圖所示，將 SATA 存儲集群的資源封裝為普通云盤，將 SSD 全閃存儲集群的資源封裝為高性能云盤。平臺的虛擬機和數據庫服務可根據需求掛載不同存儲集群類型的磁盤，支持同時掛載多種集群類型的云硬盤。云平臺管理員可通過管理員控制臺自定義存儲集群類型的別名，用于標識不同磁盤介質、不同品牌、不同性能或不同底層硬件的存儲集群，如 EMC 存儲集群、SSD 存儲集群等。

通常 SSD 磁盤介質的云硬盤的性能與容量的大小成線性關系，容量越大提供的 IO 性能越高，如對 IO 性能有強烈需求，可考慮擴容 SSD 磁盤介質的云硬盤。

分布式存儲底層數據通過 PG 映射的方式進行數據存儲，同時以多副本存儲的方式保證數據安全，即寫入至云平臺存儲集群的數據塊會同時保存多份至不同服務器節點的磁盤。多副本存儲的數據提供一致性保證，可能導致寫入的多份數據因誤操作或原始數據異常導致數據不準確；為保證數據的準確性，云平臺提供硬盤快照能力，將云盤數據在某一時間點的數據文件及狀態進行備份，在數據丟失或損壞時，可通過快照快速恢復數據，包括數據庫數據、應用數據及文件目錄數據等，可實現分鐘級恢復。

4.3.2 功能與特性

云硬盤由統一存儲從存儲集群容量中分配，為平臺虛擬資源提供塊存儲設備并共享整個分布式存儲集群的容量及性能；同時通過塊存儲系統為用戶提供云硬盤資源及全生命周期管理，包括云硬盤的創建、綁定、解綁、擴容、克隆、快照及刪除等管理。

• 云硬盤容量是由統一存儲的從存儲集群容量中分配的，所有云硬盤共享整個分布式存儲池的容量及性能。
• 支持云硬盤創建、掛載、卸載、磁盤擴容、刪除等生命周期管理，單塊云硬盤同時僅能掛載一臺虛擬機。
• 支持在線和離線的方式擴容磁盤容量，磁盤擴容后需要在虛擬機的操作系統進行磁盤容量的擴容操作。
• 為保證數據安全性及準確性，云硬盤僅支持磁盤擴容，不支持磁盤縮容。
• 云硬盤最小支持 10G 的容量，步長為 1GB ，可自定義控制單塊云硬盤的最大容量。
• 云硬盤具有獨立的生命周期，可自由綁定至任意虛擬機或數據庫服務，解綁后可重新掛載至其它虛擬機；
• X86 架構的虛擬機最多支持綁定 6 塊云硬盤，ARM 架構虛擬機最多支持綁定 3 塊云硬盤；
• 支持云硬盤克隆，即將云硬盤內的數據復制成為一個新的云硬盤；
• 支持對云硬盤進行快照備份，包括虛擬機的系統盤快照及彈性云盤快照，并可從快照回滾數據至云硬盤，用于數據恢復和還原場景；
• 支持對全局及每一塊云硬盤的 QoS 進行配置，可根據不同業務模式調整磁盤的性能，以平衡平臺整體性能；
• 支持設置存儲集群類型權限，即可以將部分存儲資源設置為租戶獨享，滿足需要獨享底層存儲資源的場景。

支持自動精簡配置，在創建云硬盤時，僅呈現分配的邏輯虛擬容量。當用戶向邏輯存儲容量中寫入數據時，按照存儲容量分配策略從物理空間分配實際容量。如一個用戶創建的云硬盤為 1TB 容量，存儲系統會為用戶分配并呈現 1TB 的邏輯卷，僅當用戶在云硬盤中寫入數據時，才會真正的分配物理磁盤容量。

高性能型云硬盤的性能與容量的大小成線性關系，容量越大，提供的 IO 性能越高，如果對IO性能有強烈需求，可考慮擴容性能型云硬盤。UCloudStack 云硬盤完整生命周期包括創建中、可用、掛載中、已掛載、卸載中、擴容中、已刪除等資源狀態，各狀態流轉如下圖所示：

4.3.3 應用場景

• 普通云硬盤適用于對容量要求較高且數據不被經常訪問或 I/O 負載低的應用場景；需要低成本并且有隨機讀寫 I/O 的應用環境，如大型視頻、音樂、離線文檔存儲等；
• 高性能云硬盤適用于 I/O 負載高且數據經常被讀寫的應用場景；中大型關系數據庫；中大型開發測試環境；中大型實時響應服務類環境；

4.4 私有網絡

4.4.1 VPC 概述

UCloudStack 通過軟件定義網絡 （ SDN ）對傳統數據中心物理網絡進行虛擬化，采用 OVS 作為虛擬交換機，VXLAN 隧道作為 OverLay 網絡隔離手段，通過三層協議封裝二層協議，用于定義虛擬私有網絡 VPC 及不同虛擬機 IP 地址之間數據包的封裝和轉發。

私有網絡（ VPC ——Virtual Private Cloud ）是一個屬于用戶的、邏輯隔離的二層網絡廣播域環境。在一個私有網絡內，用戶可以構建并管理多個三層網絡，即子網（ Subnet ），包括網絡拓撲、IP 網段、IP 地址、網關等虛擬資源作為租戶虛擬機業務的網絡通信載體。

私有網絡 VPC 是虛擬化網絡的核心，為云平臺虛擬機提供內網服務，包括網絡廣播域、子網（IP 網段）、IP 地址等，是所有 NVF 虛擬網絡功能的基礎。私有網絡是子網的容器，不同私有網絡之間是絕對隔離的，保證網絡的隔離性和安全性。

可將虛擬機、負載均衡、彈性網卡、NAT 網關等虛擬資源加入至私有網絡的子網中，提供類似傳統數據中心交換機的功能，支持自定義規劃網絡，并通過安全組對虛擬資源 VPC 間的流量進行安全防護。

可通過 IPSecVPN、專線及外網 IP 接入等方式將云平臺私有網絡及虛擬資源與其它云平臺或 IDC 數據中心組成一個按需定制的混合云網絡環境。

VPC 網絡具有數據中心屬性，每個 VPC 私有網絡僅屬于一個數據中心，數據中心間資源和網絡完全隔離，資源默認內網不通。租戶內和租戶間 VPC 網絡默認不通，從不同維度保證租戶網絡和資源的隔離性。

4.4.2 VPC 邏輯結構

一個 VPC 網絡主要由私有網絡網段和子網兩部分組成，如下圖所示：

（1）私有網絡網段

VPC 網絡所屬的 CIDR 網段，作為 VPC 隔離網絡的私網網段。關于 CIDR 的相關信息，詳見 CIDR 。創建 VPC 網絡需指定私有網段，平臺管理員可通過管理控制臺自定義 VPC 私有網絡的網段，使租戶的虛擬資源僅使用管理員定義網段的 IP 地址進行通信。平臺 VPC 私有網絡 CIDR 默認支持的網段范圍如下表所示：

由于 DHCP 及相關服務需占用 IP 地址，私有網絡 CIDR 網段不支持 30 位掩碼的私有網段。

平臺默認會占用或對某一部分 IP 網段做限制，故不支持的網段范圍包括 127.0.0.0/8、0.0.0.0/8、169.254.0.0/16、169.254.0.0/16 。

（2）子網

子網（ Subnet ）是 VPC 私有網絡的基礎網絡地址空間，用于虛擬資源間內網連接。

• 一個私有網絡至少由一個子網組成，子網的 CIDR 必須在 VPC 的 CIDR 網段內；
• 同一私有網絡內子網間通過公共網關連接，資源默認內網互通，可部署虛擬機、負載均衡、NAT 網關、 IPSecVPN 網關等；
• 同一個 VPC 子網間默認通過公共網關進行互通；
• 子網 CIDR 網段拔碼最小為 29 位，不支持 30 、32 位掩碼的子網網段；
• 每個子網中，使用第一個可用 IP 地址作為網關，如 192.168.1.0/24 的網關地址是 192.168.1.1 。

當子網中存在虛擬資源時，不允許刪除并銷毀私有網絡和子網資源。

4.4.3 VPC 連接

平臺對常用網絡設備均進行軟件定義及組件抽像，通過將 VPC 網絡與虛擬機、彈性網卡、外網 IP、安全組、NAT 網關、負載均衡、VPN 網關、MySQL 數據庫、Redis 緩存及專線等組件連接，可快速構建和配置繁雜的網絡環境及混合云場景，如下圖所示：

• 虛擬機默認內網網卡（創建時自帶的虛擬網卡）加入同一個 VPC 網絡實現虛擬機間網絡通信，并可通過安全組保證虛擬機東西向流量安全。
• 虛擬機默認外網網卡（創建時自帶的虛擬網卡）可直接綁定多個外網 IP 地址實現 Internet 訪問，同時可綁定與 IDC 物理網絡相連的外網 IP 地址實現物理網絡打通，結合安全組管控虛擬機南北向流量的同時，構建安全可靠的混合接入環境。
• 虛擬機的彈性網卡加入不同的 VPC 網絡及子網，實現精細化網絡管理及廉價故障轉移方案，同時將安全組與彈性網卡綁定，通過安全組規則多維度保障私有網絡及虛擬資源的安全。
• 虛擬機與 UDB、URedis 服務加入同一個 VPC 網絡，滿足業務應用和數據庫、緩存服務連通場景。
• 相同 VPC 網絡的虛擬機可通過 NAT 網關及外網 IP 連接，共享外網 IP 訪問 Internet 或 IDC 數據中心網絡，并可通過 DNAT 端口映射對外提供業務服務。
• 相同 VPC 網絡的虛擬機加入至內網 ULB 后端服務節點，提供 VPC 網絡內負載均衡服務。
• 相同 VPC 網絡的虛擬機加入到外網 ULB 后端服務節點，結合 ULB 關聯的外網 IP ，提供外網負載均衡服務。
• 相同 VPC 網絡的虛擬機通過 IPSecVPN 網關可與不同 VPC 網絡的虛擬機進行內網互聯，實現 VPC 間互通。
• 通過 IPSecVPN 網關打通不同 VPC 間的網絡，使兩個 VPC 間的虛擬機可直接進行內網通信。
• 采用 IPSecVPN 網關或專線將平臺與本地 IDC 數據中心及第三方云平臺連通，構建安全可靠的混合云環境。

外網 IP 可用于打通 IDC 數據中心的物理網絡，應用與虛擬機直接與物理機進行內網通信的場景；IPSecVPN 網關用于打通第三方云平臺或 IDC 數據中心的虛擬網絡，應用于不同云平臺間通過 VPN 安全連接場景。

4.4.4 功能與特性

平臺 VPC 網絡基于租戶控制臺和 API 提供隔離網絡環境、自定義子網、子網通信及安全防護等功能，并可結合硬件及 DPDK 等技術特性提供高性能的虛擬網絡。

• 隔離的網絡環境私有網絡基于 OVS（ Open vSwitch）組件，通過 VXLAN 隧道封裝技術實現隔離的虛擬網絡。每一個 VPC 網絡對應一個 VXLAN 隧道號（VNI），作為全局唯一網絡標識符，為租戶提供一張獨立且完全隔離的二層網絡，可通過在私有網絡中劃分多個子網作為虛擬資源的通信載體，用于連通多個虛擬資源。不同的 VPC 網絡間完全隔離，無法直接通信。
• 自定義子網支持在一個 VPC 網絡內進行三層網絡規劃，即劃分一個或多個子網。提供自定義 IP 網段范圍、可用 IP 網段及默認網關，可在子網中通過虛擬機部署應用程序和服務。支持在子網中增加多個彈性網卡，分別指定子網中的 IP 地址，并綁定至部署應用程序的虛擬機，用于精細化管理應用服務的網絡訪問。
• 子網通信每一個子網都屬于一個廣播域，VPC 網絡默認提供網關服務，同一個 VPC 內不同子網通過網關進行通信。
• 安全防護云平臺提供內網安全組和外網防火墻，通過協議、端口為虛擬資源提供多維度安全訪問控制，同時基于虛擬網卡及虛擬實例的網絡流量進行上下行的 QoS 控制，全方位提高 VPC 網絡的安全性。安全組為有狀態安全層，可分別設置出入方向的安全規則，用于控制并過濾進出子網 IP 的數據流量。
• 高性能虛擬網絡SDN 網絡分布式部署于所有計算節點，節點間通過 20GE 冗余鏈路進行通信，并通過所有計算節點負載內網流量，為云平臺提供高可靠及高性能的虛擬網絡。

云平臺在保證網絡隔離、網絡規模、網絡通信及安全的同時，為租戶和子帳號提供 VPC 子網的創建、修改、刪除及操作審計日志等全生命周期管理。用戶創建虛擬機、NAT 網關、負載均衡及 VPN 網關等虛擬資源時可指定需加入的VPC 網絡和子網，并可查詢每個子網的可用 IP 數量。

VPC 網絡具有數據中心屬性，僅支持指定相同數據中心的虛擬資源到 VPC 網絡中，且每個 VPC 網絡的子網網段必須在 VPC 網絡的 CIDR 網段中。平臺會通過管理員配置的 VPC 網絡，為每個租戶和子賬號提供默認的 VPC 網絡和子網資源，方便用戶登錄云平臺快速部署業務。

4.5 外網 IP

4.5.1 概述

外網彈性 IP（ Elastic IP Address ，簡稱 EIP ），是平臺為用戶的虛擬機、NAT 網關、VPN 網關及負載均衡等虛擬資源提供的外網 IP 地址，為虛擬資源提供平臺 VPC 網絡外的網絡訪問能力，如互聯網或 IDC 數據中心物理網絡，同時外部網絡也可通過 EIP 地址直接訪問平臺 VPC 網絡內的虛擬資源。

EIP 資源支持獨立申請和擁有，用戶可通過控制臺或 API 申請 IP 網段資源池中的 IP 地址，并將 EIP 綁定至虛擬機、 NAT 網關、負載均衡、VPN 網關上，為業務提供外網服務通道。

4.5.2 物理架構

在私有云平臺中，允許平臺管理員自定義平臺外網 IP 資源池，即由平臺管理員自定義平臺訪問外網的方式，外網 IP 網段資源池在添加至云平臺前，需要通過物理網絡設備下發至計算節點連接的交換機端口。

如上圖物理架構示意圖所示，所有計算節點需要連接網線至物理網絡的外網接入交換機，并在物理網絡的交互機上配置所連接端口允許透傳 Vlan 的網絡訪問方式，使運行在計算節點上虛擬機可通過外網物理網卡直接與外部網絡進行通信：

• 若通過外網 IP 訪問互聯網，需要物理網絡設備上將自定義的外網 IP 網段配置為可直通或 NAT 到互聯網；
• 若通過外網 IP 訪問 IDC 數據中心的物理網絡，需要在物理網絡設備上將自定義的外網 IP 網段配置為可與 IDC 數據中心網絡通信，如相同的 Vlan 或 Vlan 間打通等。

物理網絡架構為高可用示意圖，實際生產環境架構可進行調整，如內外網接入交換機可合并為一組高可用接入交換機，通過不同的 Vlan 區分內外網等。

4.5.3 邏輯架構

物理網絡架構及配置確認后，在平臺層面需要分別添加互聯網 IP 網段和 IDC 物理網段至云平臺 IP 網段資源池中，租戶可申請不同網段的 EIP 地址，并將通往不同網絡的 EIP 地址綁定至虛擬機默認外網網卡，使虛擬機可通過外網 IP 地址同時訪問互聯網和 IDC 數據中心物理網絡。

如邏輯架構圖所示，用戶在平臺中分別添加通往 Internet (Vlan200) 和通往 IDC 物理網絡（Vlan100）的網段至云平臺。網段舉例如下：

• Vlan200 的網段為106.75.236.0/25 ，配置下發默認路由，即虛擬機綁定網段的 EIP 將會自動下發目標地址為 0.0.0.0/0 的默認路由；
• Vlan100 的網段為192.168.1.0/24 ，僅下發當前網段路由，即虛擬機綁定網段的 EIP 僅下發目標地址為 192.168.1.0/24 的指定路由。

租戶可分別申請 Vlan200 和 Vlan100 的 EIP 地址，并可將兩個 EIP 同時綁定至虛擬機。平臺會將 EIP 地址及下發路由直接配置至虛擬機外網網卡，并通過 SDN 控制器下發流表至虛擬機所在的物理機 OVS ，物理機 OVS 通過與物理機外網網卡接口及交換機進行互聯，通過交換機設備與互聯網或 IDC 物理網絡進行通信。

當虛擬機需要訪問互聯網或物理網絡時，數據會通過虛擬機外網網卡直接透傳至物理機的 OVS 虛擬交換機，并通過 OVS 流表將請求轉發至物理機外網網卡及物理交換機，經由物理交換機的 Vlan 或路由配置將數據包轉發至互聯網或 IDC 物理網絡區域，完成通信。

如上圖 VPC1 網絡的虛擬機同時綁定了 Vlan100 和 Vlan200 網段的 EIP 地址，Vlan100 EIP 為 192.168.1.2 ，Vlan200 EIP 為 106.75.236.2 。平臺會直接將兩個 IP 地址直接配置至虛擬機的外網網卡，通過虛擬機操作系統可直接查看配置到外網網卡的 EIP 地址；同時自動下發兩個 IP 地址所屬網段需要下發的路由到虛擬機操作系統中，虛擬機的默認路由指定的下一跳為 Vlan200 互聯網網段的網關，使虛擬機可通過 106.75.236.2 IP 地址與互聯網進行通信，通過 192.168.1.2 與物理網絡區域的 Oracle 及 HPC 高性能服務器進行內網通信。

整個通信過程直接通過虛擬機所在物理機的物理網卡進行通信，在物理網卡和物理交換機性能保障的前提下，可發揮物理網絡硬件的最佳轉發性能，提升虛擬機對外通信的轉發能力。同時所有外網 IP 流量均可通過平臺安全組在平臺內進行流量管控，保證虛擬機訪問平臺外部網絡的安全性。

4.5.4 功能特性

EIP 為浮動 IP ，可隨故障虛擬機恢復漂移至健康節點，繼續為虛擬機或其它虛擬資源提供外網訪問服務。

當一臺虛擬機所在的物理主機發生故障時，智能調度系統會自動對故障主機上的虛擬機進行宕機遷移操作，即故障虛擬機會在其它健康的主機上重新拉起并提供正常業務服務。若虛擬機已綁定外網 IP ，智能調度系統會同時將外網 IP 地址及相關流表信息一起漂移至虛擬遷移后所在的物理主機，并保證網絡通信可達。

• 支持平臺管理員自定義外網 IP 資源池，即自定義外網 IP 網段，并支持配置網段的路由策略。租戶申請網段的外網 IP 綁定至虛擬資源后，下發目的路由地址的流量自動以綁定的外網 IP 為網絡出口。
• 外網 IP 網段支持下發默認路由和指定路由，下發默認路由代表默認所有流量均以綁定的外網IP為出口，指定路由為管理員指定目的地址的流量以綁定的外網IP為出口。
• 提供 IPv4/IPv6 雙棧能力，管理員可自定義管理 IPv4 和 IPv6 網段資源池，并支持同時綁定 IPv4/IPv6 地址到虛擬機，為虛擬機提供雙棧網絡通信服務。
• 支持外網 IP 網段的權限管控，可指定所有租戶或部分租戶使用，未被指定的租戶無權限申請并使用網段 EIP。
• EIP 具有彈性綁定的特性，支持隨時綁定至虛擬機、NAT 網關、負載均衡、VPN 網關等虛擬機資源，并可隨時解綁綁定至其它資源。
• 虛擬機支持綁定 50 個外網 IPv4 和 10 個外網 IPv6 地址，以第一個有默認路由的外網 IP 作為虛擬機的默認網絡出口。
• 提供外網 IP 網段獲取服務，支持租戶手動指定 IP 地址申請 EIP，并提供 IP 地址沖突檢測，方便用戶業務網絡地址規劃。
• 平臺管理員可自定義外網 IP 網段的帶寬規格，租戶可在帶寬規格范圍內配置外網 IP 的帶寬上限。

外網 IP 具有數據中心屬性，僅支持綁定相同數據中心的虛擬資源。用戶可通過平臺自定義申請 EIP ，并對 EIP 進行綁定、解綁、調整帶寬等相關操作。

4.6 NAT 網關

4.6.1 產品概述

NAT 網關（ NAT Gateway ）是一種類似 NAT 網絡地址轉換協議的 VPC 網關，為云平臺資源提供 SNAT 和 DNAT 代理，支持互聯網或物理網地址轉換能力。平臺 NAT 網關服務通過的 SNAT 和 DNAT 規則分別實現 VPC 內虛擬資源的 SNAT 轉發和 DNAT 端口映射功能。

• SNAT 規則：通過 SNAT 規則實現 VPC 級、子網級及虛擬資源實例級的 SNAT 能力，使不同維度的資源通過 NAT 網關訪問外網。
• DNAT 規則：通過 DNAT 規則，可配置基于 TCP 和 UDP 兩種協議的端口轉發，將 VPC 內的云資源內網端口映射到 NAT 網關所綁定的外網 IP，對互聯網或 IDC 數據中心網絡提供服務。

作為一個虛擬網關設備，需要綁定外網 IP 作為 NAT 網關的 SNAT 規則出口及 DNAT 規則的入口。NAT 網關具有地域（數據中心）屬性，僅支持相同數據中心下同 VPC 虛擬資源的 SNAT 和 DNAT 轉發服務，

虛擬機通過 NAT 網關可訪問的網絡取決于綁定的外網 IP 所屬網段在物理網絡上的配置，若所綁定的外網 IP 可通向互聯網，則虛擬機可通過 NAT 網關訪問互聯網；若所綁定的外網 IP 可通向 IDC 數據中心的物理網絡，則虛擬機通過 NAT 網關訪問 IDC 數據中心的物理網絡。

4.6.2 應用場景

用戶在平臺使用虛擬機部署應用服務時，有訪問外網或通過外網訪問虛擬機的應用場景，通常我們會在每一臺虛擬機上綁定一個外網 IP 用于和互聯網或 IDC 數據中心網絡進行通信。真實環境和案例中，可能無法分配足夠的公網 IP ，即使公網 IP 足夠也無需在每一臺需要訪問外網的虛擬機上綁定外網 IP 地址。

• 共享 EIP ：通過 SNAT 代理，使多臺 VPC 內網虛擬機共享 1 個或多個外網 IP 地址訪問互聯網或 IDC 數據中心的物理網絡。
• 屏蔽真實 IP ：通過 SNAT 代理，多臺 VPC 內網虛擬機使用代理 IP 地址通信，自動屏蔽真實 IP 內網地址。
• VPC 內網虛擬機提供外網服務：通過 DNAT 代理，配置 IP 及端口轉發，對互聯網或 IDC 數據中心的網絡提供業務服務。

4.6.3 架構原理

平臺產品服務底層資源統一，NAT 網關實例為主備高可用集群架構，可實現 NAT 網關故障自動切換，提高 SNAT 和 DNAT 服務的可用性。同時結合外網 IP 地址，根據 NAT 配置為租戶虛擬資源提供 SNAT 和 DNAT 代理。

在產品層面，租戶通過申請一個 NAT 網關，指定 NAT 網關可允許通信的子網，通過綁定【外網 IP】使多子網下虛擬機與互聯網或 IDC 數據中心物理網進行通信，具體邏輯架構圖如下：

• 平臺支持同 VPC 多子網虛擬機使用 NAT 網關訪問互聯網或 IDC 數據中心網絡。
• 當多個子網中未綁定外網 IP 的虛擬機關聯 NAT 網關時，平臺將自動在虛擬機中下發訪問外網的路由。
• 虛擬機通過下發的路由，將訪問外網的數據通過 NAT 網關透傳至已綁定的【外網 IP】。
• 透傳至外網 IP 的數據通過平臺 OVS 及物理網卡將數據包發送至物理交換機，完成數據 SNAT 的通信。
• 當外網需要訪問 VPC 中的虛擬機服務時，可通過 NAT 網關端口轉發，使互聯網或 IDC 物理網通過 NAT 網關已綁定的 IP+端口 訪問 VPC 內網服務。

4.6.4 功能特性

云平臺提供高可用 NAT 網關服務，并支持網關的全生命周期管理，包括多外網 IP 、SNAT 規則及 DNAT 端口轉發及監控告警，同時為 NAT 網關提供網絡及資源隔離的安全保障。

一個 VPC 允許創建 20 個 NAT 網關，相同 VPC 下所有 NAT 網關中 SNAT 規則不可重復，即 20 個 NAT 網關中的 SNAT 規則不允許重復。場景舉例：

• 當 NATGW (VPC：192.168.0.0/16）中創建了子網（192.168.0.1/24）的 SNAT 規則，則相同 VPC 下 NATGW 不可在創建子網（192.168.0.1/24）為源地址的 SNAT 規則，當 NATGW01 中該子網規則刪除后，才可進行創建。
• 當 NATGW (VPC：192.168.0.0/16）中創建了 VPC 級別的規則，則相同 VPC 下不可在創建 VPC 級別的規則。
• 當 NATGW (VPC：192.168.0.0/16）中創建了 虛擬機（192.168.1.2） 的 SNAT 規則，則相同VPC 下 NATGW 不可在創建虛擬機（192.168.1.2） 為源地址的 SNAT 規則。

4.6.4.1 多外網 IP 支持

NAT 網關支持綁定多個外網 IP 地址，使 SNAT 規則中的資源可通過多個外網 IP 地址訪問外網，DNAT 端口轉發規則中的虛擬資源，可通過指定的外網 IP 地址訪問 VPC 內網服務。

一個 NAT 網關支持綁定 50 個默認路由類型的 IPv4 外網 IP 地址，為 NAT 網關指定子網的虛擬資源提供共享的外網 IP 資源池，以提供更加靈活便捷的 SNAT 及 DNAT 能力。

支持用戶查看已綁定至 NAT 網關的所有外網 IP 地址，同時支持對外網 IP 地址的解綁，解綁后相關聯的 SNAT 規則和 DNAT 規則網絡通信都將失效。用戶可通過修改 SNAT 和 DNAT 規則，分別設置新的出口 IP 及入口源 IP 地址。

4.6.4.2 SNAT 規則

NAT 網關通過 SNAT 規則支持 SNAT（Source Network Address Translation 源地址轉換）能力，每條規則由源地址和目標地址組成，即將源地址轉換為目標地址進行網絡訪問。平臺 SNAT 規則支持多種場景的出外網場景，即源地址包括 VPC、子網、虛擬機三種類型：

• VPC 級別：指 NAT 網關所屬 VPC 下的所有虛擬機可通過 NAT 網關訪問外網。
• 子網級別：指 NAT 網關所屬 VPC 下被指定子網中的所有虛擬機可通過 NAT 網關訪問外網。
• 虛擬機級別：指 NAT 網關所屬 VPC 下被指定的虛擬機才可通過 NAT 網關訪問外網。

規則的目標地址為 NAT 網關綁定的外網 IP 地址，通過規則策略即可將源地址在 VPC 、子網、虛擬機的 IP 地址轉換為網關綁定的外網 IP 進行網絡通信，即通過 SNAT 規則虛擬機可在不綁定外網 IP 的情況下與平臺外網進行通信，如訪問 IDC 數據中心網絡或互聯網。

SNAT 規則中不同源地址類型的規則優先級不同，以優先級高的規則為準：

**（1）源地址為 VPC **

• NAT 網關所屬 VPC 下所有虛擬機均可通過 NAT 網關訪問外網。
• 一個 NAT 網關僅允許創建一條源地址為 ALL 的 SNAT 規則。
• 源地址為 ALL 規則的優先級最低，在未匹配到精確規則時，以源地址為 ALL 的規則訪問外網。

（2）源地址為子網 CIDR

• 子網下虛擬機可通過 NAT 網關訪問外網，子網 SNAT 規則優先級高于源地址為 ALL 的規則。
• 每個子網僅可創建一條 SNAT 規則，不允許重復。
• 支持為子網下虛擬機多帶帶配置 SNAT 規則，優先級高于源地址為子網的 SNAT 規則。

（3）源地址為虛擬機IP

• 虛擬機可通過 NAT 網關訪問外網。
• 每個虛擬機 IP 僅可創建一條 SNAT 規則，不允許重復。
• 源地址為虛擬機 IP 的 SNAT 規則優先級高于源地址為 ALL 和 子網的 SNAT 規則。

SNAT 規則的目標地址可以為 NAT 網關已綁定的一個或多個外網 IP ，當目標外網 IP 為 ALL 時，源地址資源從網關上所有外網 IP 池中隨機選擇 IP 訪問外網。

一個 NAT 網關默認可創建 100條 SNAT 規則。

用戶配置 SNAT 規則后，NAT 網關會自動下發默認路由至源地址匹配的虛擬機，使虛擬機通過 SNAT 規則的外網 IP 訪問外網。具體通信邏輯如下：

• 虛擬機未綁定 IPv4 外網 IP ，則默認通過 NAT 網關訪問外網。
• 虛擬機已綁定 IPv4 外網 IP 且存在默認網絡出口，則通過虛擬機默認網絡出口訪問外網。
• 虛擬機已綁定 IPv4 外網 IP 且無默認網絡出口，則通過 NAT 網關訪問外網。

虛擬機通過 NAT 網關訪問外網時，使用的外網 IP 取決于 SNAT 規則的配置，若規則配置的外網 IP 為多個，則會從多個外網 IP 中隨機選擇 IP 地址作為虛擬機的出口。

4.6.4.3 DNAT 規則

NAT 網關支持 DNAT（Destination Network Address Translation 目的地址轉換），也稱為端口轉發或端口映射，即將外網 IP 地址轉換為 VPC 子網的 IP 地址提供網絡服務。

• 支持 TCP 和 UDP 兩種協議的端口轉發，支持對端口轉發規則進行生命周期管理。
• 支持批量進行多端口轉發規則配置，即支持映射端口段，如 TCP:1024~TCP:1030 。
• NAT 網關綁定外網 IP 時，端口轉發規則為 VPC 子網內的虛擬機提供互聯網外網服務，可通過外網訪問子網內的虛擬機服務。

4.6.4.4 監控告警

平臺支持對 NAT 網關進行監控數據的收集和展示，通過監控數據展示每一個 NAT 網關的指標數據，同時支持為每一個監控指標設置閾值告警及通知策略。支持的監控指標包括網絡出/帶寬、網絡出/包量及連接數。

支持查看一個 NAT 網關多時間維度的監控數據，包括 1 小時、6 小時、12 小時、1 天、7 天、15 天及自定義時間的監控數據。默認查詢數提成為 1 小時的數據，最多可查看 1 個月的監控數據。

4.6.4.6 NAT 網關高可用

NAT 網關實例支持高可用架構，即至少由 2 個虛擬機實例構建，支持雙機熱備。當一個 NAT 網關的實例發生故障時，支持自動在線切換到另一個虛擬機實例，保證 NAT 代理業務正常。同時基于外網 IP 地址的漂移特性，支持在物理機宕機時，保證 SNAT 網關出口及 DNAT 入口的可用性。

4.6.5 NAT 網關安全

NAT 網關的網絡訪問控制可以關聯安全組給予安全保障，通過安全組的規則可控制到達 NAT 網關 所綁定外網 IP 的入站流量及出站流量，支持 TCP、UDP、ICMP、GRE 等協議數據包的過濾和控制。

安全組及安全組的規則支持對已關聯安全組的 NAT 網關的流量進行限制，僅允許安全組規則內的流量透傳安全組到達目的地。為保證 NAT 網關的資源和網絡安全，平臺為 NAT 網關提供資源隔離及網絡隔離機制：

（1）資源隔離

• NAT 網關具有數據中心屬性，不同數據中心間 NAT 網關資源物理隔離；
• NAT 網關資源在租戶間相互隔離，租戶可查看并管理賬號及子賬號下所有 NAT 網關資源；
• 一個租戶內的 NAT 網關資源，僅支持綁定租戶內同數據中心的 VPC 子網資源；
• 一個租戶內的 NAT 網關資源，僅支持綁定租戶內同數據中心的外網 IP 資源；
• 一個租戶內的 NAT 網關資源，僅支持綁定租戶內同數據中心的安全組資源。

（2）網絡隔離

• 不同數據中心間 NAT 網關資源網絡相互物理隔離；
• 同數據中心 NAT 網關網絡采用 VPC 進行隔離，不同 VPC 的 NAT 網關資源無法相互通信；
• NAT 網關綁定的外網 IP 網絡隔離取決于用戶物理網絡的配置，如不同的 Vlan 等。