NAT 网关（Network Address Translation Gateway，网络地址转换网关）

NAT 网关（Network Address Translation Gateway，网络地址转换网关） 是云计算网络架构中的一个关键组件，主要用于解决私有网络内的资源访问互联网的问题，同时保障这些资源的安全性。

简单来说，它的作用是让没有公网 IP 的云服务器（如位于私有子网的数据库、后端应用）能够安全地访问互联网，但阻止互联网主动发起对这些云服务器的连接。

1. 核心功能：单向访问

NAT 网关主要提供SNAT（源地址转换）功能：

• 出向流量（内 

• 入向流量（外 

• 关键限制：互联网无法主动发起连接访问 NAT 网关背后的服务器。因为没有公网 IP 直接绑定在服务器上，且 NAT 网关默认不处理未经请求的入站流量。这天然形成了一道防火墙。

2. 为什么要用 NAT 网关？（应用场景）

想象您有一个典型的三层架构：

• Web 层：需要被用户访问，所以放在公有子网，绑定公网 IP 或通过负载均衡暴露。
• 应用层/数据库层：存储敏感数据或运行核心逻辑，绝对不能直接被互联网访问，所以放在私有子网，只有私网 IP。

问题：如果私有子网的服务器需要去互联网下载一个安全补丁，或者调用微信/支付宝的支付接口，怎么办？

• 方案 A（不安全）：给每台服务器绑定公网 IP。 

• 方案 B（推荐）：在私有子网的路由表中配置，将所有指向互联网的流量发给 NAT 网关。 

3. NAT 网关 vs 其他方案

image

4. 通俗类比

把 VPC 比作一个封闭的小区：

• 云服务器是小区里的住户（只有门牌号/私网 IP，没有直接对外的电话线）。
• 互联网是小区外面的世界。
• NAT 网关就是小区的传达室/门卫。
  • 住户想出去（访问互联网）：告诉门卫“我要去超市”，门卫用自己的对外电话帮住户联系，超市回电时打给门卫，门卫再转接给住户。超市只知道门卫的电话，不知道住户的具体门牌号。
  • 外人想进来（互联网访问住户）：外人直接打门卫电话想找某个住户，门卫（如果没有预先约定）会直接拒绝：“我们小区不允许外人直接闯入住户家里”。

5. 主流云厂商产品

• 阿里云：NAT 网关（支持 SNAT 和 DNAT，DNAT 可用于端口映射，但主要用途仍是 SNAT）。
• AWS：NAT Gateway（高度托管，按小时和流量收费）。
• 腾讯云：NAT 网关。
• 华为云：NAT 网关。

总结

NAT 网关是构建安全云架构的标配。如果您有服务器部署在私有子网中，且这些服务器需要访问互联网（下载、更新、调用第三方 API），但不需要被互联网访问，那么 NAT 网关是最佳选择。它既满足了联网需求，又最大程度地收敛了攻击面。