10.7. L3 路由和 NAT

OpenStack 网络路由器可以连接多个 L2 网络，也可以提供一个网关，它将一个或多个私有 L2 网络连接到共享的外部网络，如可用于访问互联网的公共网络。

L3 路由器在将路由器连接到外部网络的网关端口上提供基本网络地址转换(SNAT 和 the)功能。此路由器 SNAT （源 NAT）默认所有出口流量，并支持浮动 IP，它从外部网络上的公共 IP 创建静态一对一的双向映射到附加到路由器的另一个子网上的私有 IP。浮动 IP （通过 DNAT）为实例提供外部入站连接，并可从一个实例移动到另一个实例。

考虑使用每个项目 L3 路由和浮动 IP 来更精细的项目实例连接。应向连接到公共网络的实例或使用浮动 IP 指定特殊考虑。建议您使用仔细考虑的安全组过滤对需要外部公开的服务的访问。