Grundlagen zu NAT-Gateways - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlagen zu NAT-Gateways

Jedes NAT-Gateway wird in einer bestimmten Availability Zone erstellt und redundant innerhalb dieser Zone implementiert. Die Anzahl der NAT-Gateways, die Sie in einer Availability Zone erstellen können, unterliegt einem Kontingent. Weitere Informationen finden Sie unter Amazon VPC-Kontingente.

Wenn Sie Ressourcen in mehreren Availability Zones haben, die gemeinsam ein NAT-Gateway nutzen, verlieren die Ressourcen in den anderen Availability Zones den Zugriff auf das Internet, wenn die Availability Zone des NAT-Gateways ausfällt. Um die Ausfallsicherheit zu erhöhen, richten Sie in jeder Availability Zone ein NAT-Gateway ein und konfigurieren Sie Ihr Routing so, dass die Ressourcen das NAT-Gateway in derselben Availability Zone verwenden.

Die folgenden Merkmale und Regeln gelten für NAT-Gateways:

  • NAT-Gateways unterstützen die folgenden Protokolle: TCP, UDP und ICMP.

  • NAT-Gateways werden für den IPv4- oder IPv6-Verkehr unterstützt. Für IPv6-Datenverkehr führt NAT-Gateway NAT64 aus. Durch die Verwendung davon in Verbindung mit DNS64 (verfügbar im Resolver Route 53) können Ihre IPv6-Workloads in einem Subnetz in Amazon VPC mit IPv4-Ressourcen kommunizieren. Diese IPv4-Services können in derselben VPC (in einem separaten Subnetz) oder einer anderen VPC, in Ihrer On-Premises-Umgebung oder im Internet verfügbar sein.

  • Ein NAT-Gateway unterstützt eine Bandbreite von 5 Gbps und skaliert automatisch bis auf 100 Gbit/s. Wenn Sie mehr Bandbreite benötigen, können Sie Ihre Ressourcen auf mehrere Subnetze verteilen und pro Subnetz ein NAT-Gateway erstellen.

  • Ein NAT-Gateway kann eine Million Pakete pro Sekunde verarbeiten und skaliert automatisch bis zu zehn Millionen Pakete pro Sekunde. Über diese Grenze hinaus wird ein NAT-Gateway Pakete löschen. Teilen Sie Ihre Ressourcen auf, um Paketverluste zu vermeiden, und erstellen Sie pro Subnetz ein separates NAT-Gateway.

  • Jede IPv4-Adresse kann bis zu 55 000 gleichzeitige Verbindungen zu jedem eindeutigen Ziel unterstützen. Ein eindeutiges Ziel wird durch eine eindeutige Kombination aus Ziel-IP-Adresse, Zielport und Protokoll (TCP/UDP/ICMP) identifiziert. Sie können dieses Limit erhöhen, indem Sie Ihren NAT-Gateways bis zu 8 IPv4-Adressen zuweisen (1 primäre IPv4-Adresse und 7 sekundäre IPv4-Adressen). Sie können Ihrem öffentlichen NAT-Gateway standardmäßig nur 2 Elastic-IP-Adressen zuweisen. Sie können dieses Limit erhöhen, indem Sie eine Kontingentanpassung beantragen. Weitere Informationen finden Sie unter Elastic-IP-Adressen.

  • Sie können die private IPv4-Adresse auswählen, die dem NAT-Gateway zugewiesen werden soll, oder diese automatisch aus dem IPv4-Adressbereich des Subnetzes zuweisen lassen. Die zugewiesene private IPv4-Adresse bleibt bestehen, bis Sie das private NAT-Gateway löschen. Sie können diese private IPv4-Adresse nicht trennen und keine zusätzlichen privaten IPv4-Adressen anfügen.

  • Sie können einer Sicherheitsgruppe kein NAT-Gateway zuordnen. Sie können Ihren Instances Sicherheitsgruppen zuordnen, um den ein- und ausgehenden Datenverkehr zu steuern.

  • Sie können eine Netzwerk-ACL verwenden, um den Datenverkehr zu und von dem Subnetz zu Ihrem NAT-Gateway zu steuern. NAT-Gateways verwenden die Ports 1024 bis 65535. Weitere Informationen finden Sie unter Steuern Sie den Subnetzverkehr mit Netzwerkzugriffskontrolllisten.

  • Ein NAT-Gateway empfängt eine Netzwerkschnittstelle. Sie können die private IPv4-Adresse auswählen, die der Schnittstelle zugewiesen werden soll, oder diese automatisch aus dem IPv4-Adressbereich des Subnetzes zuweisen lassen. Sie können die Netzwerkschnittstelle des NAT-Gateways in der Amazon EC2-Konsole anzeigen. Weitere Informationen finden Sie unter Anzeige von Details zu einer Netzwerkschnittstelle. Die Attribute dieser Netzwerkschnittstelle können nicht verändert werden.

  • Sie können den Verkehr nicht über eine VPC-Peering-Verbindung an ein NAT-Gateway weiterleiten. Sie können den Datenverkehr nicht über ein NAT-Gateway weiterleiten, wenn der Datenverkehr über eine Hybridverbindung (Site-to-Site-VPN oder Direct Connect) über ein Virtual Private Gateway eingeht. Sie können den Verkehr über ein NAT-Gateway weiterleiten, wenn der Verkehr über eine Hybridverbindung (Site-to-Site-VPN oder Direct Connect) über ein Transit-Gateway eingeht.

  • NAT-Gateways unterstützen Datenverkehr mit einer maximalen Übertragungseinheit (MTU) von 8500, es ist jedoch wichtig, Folgendes zu beachten:

    • Um potenziellen Paketverlust bei der Kommunikation mit Ressourcen über das Internet über ein öffentliches NAT-Gateway zu verhindern, sollte die MTU-Einstellung für Ihre EC2-Instances 1500 Byte nicht überschreiten. Weitere Informationen zum Überprüfen und Einstellen der MTU für eine Instance finden Sie unter Überprüfen und Einstellen der MTU auf Ihrer Linux-Instance im Amazon EC2 EC2-Benutzerhandbuch.

    • NAT-Gateways unterstützen Path MTU Discovery (PMTUD) über FRAG_NEEDED ICMPv4-Pakete und Packet Too Big (PTB) ICMPv6-Pakete.

    • NAT-Gateways erzwingen das Clamping der maximalen Segmentgröße (MSS) für alle Pakete. Weitere Informationen finden Sie unter RFC879