详解SLB、EIP、NAT网关：如何合理选择云上公网入口

在云计算环境中，公网入口的配置直接影响业务的可用性、安全性和成本。SLB（负载均衡）、EIP（弹性公网IP）和NAT网关作为三种核心公网接入方案，其功能定位和应用场景存在显著差异。本文将从技术原理、典型场景、选型对比三个维度展开分析，为开发者提供可落地的决策依据。

一、SLB：分布式流量的智能调度中枢

1.1 核心功能与技术架构

SLB（Server Load Balancer）通过虚拟IP（VIP）对外提供服务，将用户请求智能分发至后端服务器集群。其核心能力包括：

• 四层/七层负载均衡：支持TCP/UDP协议的四层负载均衡，以及HTTP/HTTPS协议的七层负载均衡（如URL路由、域名路由）。
• 健康检查机制：定期探测后端服务器状态，自动剔除故障节点，保障服务连续性。
• 会话保持：基于Cookie或源IP的会话保持策略，确保同一用户请求始终路由至同一后端服务器。

以阿里云SLB为例，其架构分为控制平面（配置管理）和数据平面（流量转发）。数据平面采用全分布式设计，单SLB实例可支撑百万级QPS，且支持跨可用区部署实现高可用。

1.2 典型应用场景

• 高并发Web服务：电商、社交等需要处理海量请求的场景，通过SLB分散流量避免单点过载。
• 微服务架构：作为API网关，将不同服务的请求路由至对应后端集群。
• 混合云部署：通过SLB统一对外暴露服务，隐藏内部复杂拓扑。

1.3 配置示例（以Terraform为例）

resource "alicloud_slb" "example" {
  name       = "web-slb"
  vswitch_id = "vsw-123456"
  spec       = "slb.s1.small"  # 规格类型
  bandwidth  = 100             # 公网带宽（Mbps）
}
resource "alicloud_slb_listener" "http" {
  load_balancer_id = alicloud_slb.example.id
  listener_port    = 80
  backend_port     = 8080
  protocol         = "http"
  sticky_session   = "on"        # 开启会话保持
  sticky_session_type = "insert" # Cookie插入模式
}

二、EIP：灵活绑定的公网访问入口

2.1 核心特性与使用模式

EIP（Elastic IP）是可独立购买的静态公网IP地址，支持动态绑定至云服务器（ECS）、负载均衡（SLB）或NAT网关。其关键特性包括：

• 弹性绑定：可在不同资源间快速切换，无需重启实例。
• 按量计费：支持按使用时长或流量计费，降低闲置成本。
• IP白名单：通过安全组规则限制访问来源，提升安全性。

2.2 典型应用场景

• 单服务器公网访问：为数据库、缓存等需要直接公网访问的服务分配EIP。
• 临时公网需求：开发测试环境需短期公网访问时，按需绑定EIP。
• 混合云互联：通过EIP实现本地数据中心与云上资源的互通。

2.3 配置示例（以AWS CLI为例）

# 分配EIP
aws ec2 allocate-address --domain vpc
# 绑定至ECS实例
aws ec2 associate-address --instance-id i-1234567890abcdef0 \
  --allocation-id eipalloc-12345678

三、NAT网关：私有网络的安全出口

3.1 技术原理与性能指标

NAT网关通过地址转换实现私有网络（VPC）内实例访问公网，同时隐藏内部IP。其核心参数包括：

• 并发连接数：单NAT网关支持50万并发连接（阿里云标准型）。
• 带宽上限：根据规格不同，支持100Mbps至10Gbps。
• SNAT/DNAT规则：支持源地址转换（SNAT）和目的地址转换（DNAT）。

3.2 典型应用场景

• 大规模VPC出口：企业内网数千台服务器需通过单一出口访问公网。
• 安全隔离需求：禁止公网直接访问内部服务，仅允许主动外联。
• 带宽复用：多台服务器共享NAT网关带宽，降低整体成本。

3.3 配置示例（以腾讯云API为例）

import tencentcloud.common as common
from tencentcloud.vpc.v20170312 import vpc_client, models
cred = common.Credential("SecretId", "SecretKey")
client = vpc_client.VpcClient(cred, "ap-guangzhou")
req = models.CreateNatGatewayRequest()
req.VpcId = "vpc-12345678"
req.NatGatewayName = "prod-nat"
req.MaxConcurrent = 1000000  # 最大并发连接数
req.Bandwidth = 1000         # 带宽（Mbps）
resp = client.CreateNatGateway(req)
print(resp.to_json_string())

四、SLB、EIP、NAT网关的对比与选型策略

4.1 功能对比矩阵

维度	SLB	EIP	NAT网关
访问方向	入站为主（公网→内网）	双向（绑定资源决定）	出站为主（内网→公网）
协议支持	四层/七层	任意协议（绑定资源支持）	四层（TCP/UDP）
高可用	跨可用区部署	依赖绑定资源	跨可用区部署
计费模式	按规格+流量	按使用时长/流量	按规格+流量

4.2 选型决策树

1. 是否需要流量分发？
   • 是 → 选择SLB（如Web服务、微服务）
   • 否 → 进入步骤2
2. 是否需要独立公网IP？
   • 是 → 选择EIP（如单服务器公网访问）
   • 否 → 进入步骤3
3. 是否需要大规模VPC出口？
   • 是 → 选择NAT网关（如企业内网）
   • 否 → 重新评估需求

4.3 成本优化建议

• SLB选型：根据峰值QPS选择规格，避免过度配置。例如，10万QPS以下可选slb.s2.small。
• EIP计费：长期使用选择包年包月，短期需求选择按量计费。
• NAT网关带宽：通过监控实际外发流量调整带宽，避免浪费。

五、最佳实践：混合架构设计

在实际业务中，三种方案常组合使用。例如：

1. Web服务架构：
   • 公网用户 → SLB（HTTP/HTTPS） → 后端ECS集群
   • ECS集群 → NAT网关 → 访问外部API
2. 微服务架构：
   • 公网API → SLB（七层路由） → 网关服务
   • 内部服务间通信通过VPC内网进行

六、常见误区与避坑指南

1. SLB误用：将非Web服务（如数据库）暴露在SLB后端，导致性能瓶颈。
   • 解决方案：数据库应通过EIP直连，或使用专用数据库网关。
2. EIP泄露：未配置安全组规则，导致EIP被扫描攻击。
   • 解决方案：默认拒绝所有入站流量，仅放行必要端口。
3. NAT网关带宽不足：未预估高峰流量，导致外联请求丢包。
   • 解决方案：根据历史流量峰值上浮30%配置带宽。

七、总结与展望

SLB、EIP、NAT网关分别解决了流量分发、独立公网访问和安全出站三大核心需求。在实际选型中，需结合业务规模、安全要求和成本预算综合决策。随着云原生技术的发展，未来可能出现更多集成化方案（如Service Mesh与SLB的融合），但当前阶段，理解三者差异仍是构建可靠云上架构的基础。