阿里云-nat/vpc/fw
NAT网关使用限制
NAT网关的其他限制如下:
-
当VPC内无公网IP的ECS实例通过NAT网关访问公网上同一个目的IP和端口时,NAT网关SNAT条目配置的EIP数量会限制NAT网关的最大并发数。
- 当SNAT条目配置1个EIP时,NAT网关的最大并发数为55000。
- 当SNAT条目配置n个EIP时,NAT网关的最大并发数为n*55000。
-
SNAT IP地址池中每个公网IP的最大带宽限制为200M。为了使SNAT规则能充分利用共享带宽的带宽能力,及避免公网IP过少导致端口冲突,建议您按照以下配比关系添加公网IP:
- 共享带宽的带宽峰值为1024M时,SNAT规则中的公网IP数量应至少为5个。
- 共享带宽的带宽峰值以1024M为基础每增加200M,SNAT规则中都应至少再新增1个公网IP。
-
如果您的业务使用了SNAT功能,且SNAT IP地址已经加入到共享带宽,当您对共享带宽的带宽峰值做以下变更时,可能会出现业务闪断的现象:
- 小于1Gbps带宽峰值变更到大于1Gbps带宽峰值。
- 大于1Gbps带宽峰值变更到小于1Gbps带宽峰值。
建议您的业务设置自动重连机制,减小闪断对业务造成的影响。
-
如果您的ECS实例已经绑定了EIP,则不支持为该ECS实例添加DNAT条目。
如需为该ECS实例添加DNAT条目,请先将ECS实例与EIP解绑。解绑后,再为该ECS实例添加DNAT条目。
VPC
每个VPC都由一个路由器、至少一个私网网段和至少一个交换机组成。
VPC互联
云企业网 支持将多个不同地域、不同账号的VPC连接起来,构建互联网络。
VPN网关 通过在两个VPC之间创建IPsec连接,建立加密通信通道。
是否支持通过云企业网共享NAT网关 不支持 无例外
连接本地IDC
高速通道 VPN网关 云企业网 智能接入网关
业务系统隔离
不同的VPC之间逻辑隔离。如果您有多个业务系统例如生产环境和测试环境要严格进行隔离,那么可以使用多个VPC进行业务隔离。当有互相通信的需求时,可以在两个VPC之间建立对等连接。
网络ACL具有以下特性
- 网络ACL的规则是无状态的,设置入方向规则的允许请求后,需要同时设置相应的出方向规则,否则可能会导致请求无法响应。
- 网络ACL无任何规则时,会拒绝所有出入方向的访问。
- 网络ACL与交换机绑定,不过滤同一交换机内的ECS实例间的流量。
与交换机绑定的网络ACL规则控制允许进入交换机的数据流,与实例相关的安全组规则控制允许进入实例的数据流。网络ACL和安全组的基本差异如下表。
网络ACL | 安全组 |
---|---|
在交换机级别运行。 | 在实例级别运行。 |
无状态:返回数据流必须被规则明确允许。 | 有状态:返回数据流会被自动允许,不受任何规则的影响。 |
不评估所有规则,按照规则的生效顺序处理所有规则。 | 执行规则前,会评估所有规则。 |
ECS实例所属的交换机仅允许绑定一个网络ACL。 | 一个ECS实例可加入多个安全组。 |
云防火墙支持防护的范围
互联网方向 VPC间已使用云企业网或高速通道连接VPC间通信的流量
基础版、企业版、旗舰版支持同步安全组策略;高级版不支持
企业版支持边界vpc防火墙