5.5.4. L3 路由和 NAT

OpenStack 网络路由器可以连接多个 L2 网络，也可提供将一个或多个私有 L2 网络连接到共享外部网络（如用于访问互联网的公共网络）的网关。

L3 路由器在将路由器链接到外部网络的网关端口上提供基本的网络地址转换(SNAT 和 DNAT)功能。此路由器 SNAT （源 NAT）默认所有出口流量，并且支持浮动 IP，这将创建一个静态一对一的双向映射，从外部网络上的公共 IP 映射到与路由器附加的其他子网之一的专用 IP。浮动 IP （通过 DNAT）为实例提供外部入站连接，可以从一个实例移动到另一个实例。

考虑使用每个项目 L3 路由和浮动 IP，以更精细地连接项目实例。特别考虑应当提供给连接到公共网络或使用浮动 IP 的实例。建议谨慎对安全组的使用过滤对需要外部公开的服务的访问。