NAT-Gateways - Amazon Virtual Private Cloud

NAT-Gateways

Ein NAT-Gateway ist ein Network Address Translation (NAT)-Service. Sie können ein NAT-Gateway verwenden, damit Instances in einem privaten Subnetz eine Verbindung zu Services außerhalb Ihrer VPC herstellen können, externe Services jedoch keine Verbindung mit diesen Instances herstellen können.

Wenn Sie ein NAT-Gateway erstellen, geben Sie einen der folgenden Verbindungstypen an:

  • Öffentlich – (Standard) Instances in privaten Subnetzen können über ein öffentliches NAT-Gateway eine Verbindung zum Internet herstellen, aber keine unerwünschten eingehenden Verbindungen aus dem Internet empfangen. Sie erstellen ein öffentliches NAT-Gateway in einem öffentlichen Subnetz und müssen beim Erstellen eine elastische IP-Adresse mit dem NAT-Gateway verknüpfen. Sie leiten den Datenverkehr vom NAT-Gateway zum Internet-Gateway für die VPC weiter. Alternativ können Sie ein öffentliches NAT-Gateway verwenden, um eine Verbindung zu anderen VPCs oder Ihrem On–Premises-Netzwerk herzustellen. In diesem Fall leiten Sie den Datenverkehr vom NAT-Gateway über ein Transit Gateway oder ein Virtual Private Gateway weiter.

  • Privat – Instances in privaten Subnetzen können über ein privates NAT-Gateway eine Verbindung mit anderen VPCs oder Ihrem On-Premises-Netzwerk herstellen. Sie können den Datenverkehr vom NAT-Gateway über ein Transit Gateway oder ein Virtual Private Gateway weiterleiten. Sie können einem privaten NAT-Gateway keine elastische IP-Adresse zuordnen. Sie können ein Internet-Gateway mit einem privaten NAT-Gateway an eine VPC anfügen. Wenn Sie jedoch den Datenverkehr vom privaten NAT-Gateway zum Internet-Gateway weiterleiten, wird der Datenverkehr vom Internet-Gateway unterbrochen.

Das NAT-Gateway ersetzt die IP-Quelladresse der Instances durch die IP-Adresse des NAT-Gateways. Dies ist für ein öffentliches NAT-Gateway die elastische IP-Adresse des NAT-Gateways. Dies ist für ein privates NAT-Gateway die private IP-Adresse des NAT-Gateways. Beim Senden von Antwortdatenverkehr an die Instances übersetzt das NAT-Gerät die Adressen zurück in die ursprüngliche IP-Adresse.

Preise

Wenn Sie ein NAT-Gateway bereitstellen, wird Ihnen jede Stunde, die Ihr NAT-Gateway verfügbar ist, und jedes Gigabyte an Daten, die es verarbeitet, in Rechnung gestellt. Weitere Informationen dazu finden Sie unter Amazon VPC – Preise.

Die folgenden Strategien können Ihnen helfen, die Datenübertragungsgebühren für Ihr NAT-Gateway zu senken:

  • Wenn Ihre AWS-Ressourcen ein erhebliches Datenverkehrsvolumen über Availability Zones senden oder empfangen, stellen Sie sicher, dass sich die Ressourcen in derselben Availability Zone wie das NAT-Gateway befinden, oder erstellen Sie ein NAT-Gateway in derselben Availability Zone wie die Ressourcen.

  • Wenn der meiste Datenverkehr über Ihr NAT-Gateway zu AWS-Services erfolgt, die Schnittstellenendpunkte oder Gatewayendpunkte unterstützen, sollten Sie einen Schnittstellenendpunkt oder Gatewayendpunkt für diese Services erstellen. Weitere Informationen zu den potenziellen Kosteneinsparungen finden Sie unter: AWS PrivateLink-Preise.

Grundlagen zu NAT-Gateways

Jedes NAT-Gateway wird in einer bestimmten Availability Zone erstellt und redundant innerhalb dieser Zone implementiert. Die Anzahl der NAT-Gateways, die Sie in einer Availability Zone erstellen können, unterliegt einem Kontingent. Weitere Informationen finden Sie unter Amazon VPC-Kontingente.

Wenn Sie Ressourcen in mehreren Availability Zones haben, die gemeinsam ein NAT-Gateway nutzen, verlieren die Ressourcen in den anderen Availability Zones den Zugriff auf das Internet, wenn die Availability Zone des NAT-Gateways ausfällt. Um eine von Availability Zones unabhängige Architektur zu erstellen, müssen Sie für jede Availability Zone ein eigenes NAT-Gateway erstellen und die Routing-Tabellen so konfigurieren, dass Ressourcen das NAT-Gateway innerhalb derselben Availability Zone verwenden.

Die folgenden Merkmale und Regeln gelten für NAT-Gateways:

  • NAT-Gateways unterstützen die folgenden Protokolle: TCP, UDP und ICMP.

  • NAT-Gateways werden für den IPv4- oder IPv6-Verkehr unterstützt. Für IPv6-Datenverkehr führt NAT-Gateway NAT64 aus. Durch die Verwendung davon in Verbindung mit DNS64 (verfügbar im Resolver Route 53) können Ihre IPv6-Workloads in einem Subnetz in Amazon VPC mit IPv4-Ressourcen kommunizieren. Diese IPv4-Dienste können in derselben VPC (in einem separaten Subnetz) oder einer anderen VPC, in Ihrer lokalen Umgebung oder im Internet verfügbar sein.

  • NAT-Gateways unterstützen eine Bandbreite von 5 Gbit/s und führt automatisch eine Skalierung auf 45 Gbit/s durch. Wenn Sie mehr Bandbreite benötigen, können Sie Ihre Ressourcen auf mehrere Subnetze verteilen und pro Subnetz ein NAT-Gateway erstellen.

  • Ein NAT-Gateway kann eine Million Pakete pro Sekunde verarbeiten und skaliert automatisch bis zu vier Millionen Pakete pro Sekunde. Über diese Grenze hinaus wird ein NAT-Gateway Pakete löschen. Teilen Sie Ihre Ressourcen auf, um Paketverluste zu vermeiden, und erstellen Sie pro Subnetz ein separates NAT-Gateway.

  • NAT-Gateways unterstützen bis zu 55,000 gleichzeitige Verbindungen zu einem einzelnen Zielbereich. Dieses Limit gilt auch, wenn Sie ca. 900 Verbindungen pro Sekunde zu einem einzigen Ziel erstellen (ca. 55.000 Verbindungen pro Minute). Wenn Sie die Ziel-IP-Adresse, den Zielport oder das Protokoll (TCP/UDP/ICMP) ändern, können Sie zusätzliche 55.000 Verbindungen erstellen. Bei mehr als 55.000 Verbindungen besteht eine erhöhte Wahrscheinlichkeit von Verbindungsfehlern aufgrund von Fehlern bei der Portzuordnung. Diese Fehler können über die CloudWatch-Metrik ErrorPortAllocation für Ihr NAT-Gateway überwacht werden. Weitere Informationen finden Sie unter Überwachen von NAT-Gateways mit Amazon CloudWatch.

  • Sie können einem öffentlichen NAT-Gateway genau eine elatische IP-Adresse zuordnen. Nach dem Erstellen ist es nicht möglich, die Zuordnung einer Elastic-IP-Adresse zu einem NAT-Gateway aufzuheben. Wenn Sie für Ihr NAT-Gateway eine andere Elastic-IP-Adresse verwenden möchten, müssen Sie ein neues NAT-Gateway mit der gewünschten Adresse erstellen, die Routing-Tabellen aktualisieren und dann das vorhandene NAT-Gateway löschen, wenn es nicht mehr benötigt wird.

  • Ein privates NAT-Gateway empfängt eine verfügbare private IP-Adresse aus dem Subnetz, in dem es konfiguriert ist. Sie können diese private IP-Adresse nicht trennen und keine zusätzlichen privaten IP-Adressen anfügen.

  • Sie können einer Sicherheitsgruppe kein NAT-Gateway zuordnen. Sie können Ihren Instances Sicherheitsgruppen zuordnen, um den ein- und ausgehenden Datenverkehr zu steuern.

  • Sie können eine Netzwerk-ACL verwenden, um den Datenverkehr zu und von dem Subnetz zu Ihrem NAT-Gateway zu steuern. NAT-Gateways verwenden die Ports 1024 bis 65535. Weitere Informationen finden Sie unter Steuern des Datenverkehrs zu Subnetzen mit Netzwerk-ACLs.

  • Ein NAT-Gateway erhält eine Netzwerkschnittstelle, der automatisch eine private IP-Adresse aus dem IP-Adressbereich des Subnetzes zugewiesen wird. Sie können die Netzwerkschnittstelle des NAT-Gateways in der Amazon EC2-Konsole anzeigen. Weitere Informationen finden Sie unter Anzeige von Details zu einer Netzwerkschnittstelle. Die Attribute dieser Netzwerkschnittstelle können nicht verändert werden.

  • Auf NAT-Gateways kann nicht über eine ClassicLink-Verbindung, die mit Ihrer VPC verbunden ist, zugegriffen werden.

  • Es ist nicht möglich, Datenverkehr über eine VPC-Peering-Verbindung, eine Site-to-Site VPN-Verbindung oder AWS Direct Connect an ein NAT-Gateway zu sende . NAT-Gateways können nicht von Ressourcen am anderen Ende dieser Verbindungen genutzt werden.

Kontrollieren Sie die Verwendung von NAT-Gateways

Standardmäßig haben IAM-Benutzer keine Berechtigungen zur Arbeit mit NAT-Gateways. Sie können eine IAM-Benutzerrichtlinie erstellen, über die Benutzer die Berechtigungen zum Erstellen, Beschreiben und Löschen von NAT-Gateways erhalten. Weitere Informationen finden Sie unter Identity and Access Management für Amazon VPC.

Arbeiten mit NAT-Gateways

Sie können die Amazon VPC-Konsole verwenden, um Ihre NAT-Gateways zu erstellen und zu verwalten. Sie können auch den Amazon VPC-Assistenten verwenden, um eine VPC mit einem öffentlichen Subnetz, einem privaten Subnetz und einem NAT-Gateway zu erstellen. Weitere Informationen finden Sie unter VPC mit öffentlichen und privaten Subnetzen (NAT).

Erstellen eines NAT-Gateways

Um ein NAT-Gateway zu erstellen, geben Sie einen optionalen Namen, ein Subnetz und einen optionalen Verbindungstyp ein. Bei einem öffentlichen NAT-Gateway müssen Sie eine verfügbare elastische IP-Adresse angeben. Ein privates NAT-Gateway erhält eine private IP-Adresse, die zufällig aus seinem Subnetz ausgewählt ist. Sie können die primäre private IP-Adresse nicht trennen oder sekundäre private IP-Adressen hinzufügen.

So erstellen Sie ein NAT-Gateway

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Klicken Sie im Navigationsbereich auf NAT Gateways.

  3. Wählen Sie NAT-Gateway erstellen aus und gehen Sie folgendermaßen vor:

    1. (Optional) Geben Sie einen Namen für das NAT-Gateway an. Dadurch wird eine Markierung mit dem Schlüssel Name erstellt und der Wert ist der von Ihnen angegebene Name.

    2. Wählen Sie das öffentliche Subnetz aus, in dem das NAT-Gateway erstellt werden soll.

    3. Wählen Sie Private (Privat) unter Connectivity type (Verbindungstyp), um ein privates NAT-Gateway zu erstellen, oder Public (Öffentlich) (Standardeinstellung), um ein öffentliches NAT-Gateway zu erstellen.

    4. (Nur öffentliches NAT-Gateway) Wählen Sie für Zuweisungs-ID von Elastic IP eine Elastic-IP-Adresse aus, die mit dem NAT-Gateway verknüpft werden soll

    5. (Optional) Wählen Sie für jede Markierung Neue Markierung hinzufügen und geben Sie den Schlüsselnamen und -wert ein.

    6. Wählen Sie Create a NAT Gateway (Erstellen eines NAT-Gateways).

  4. Der anfängliche Status des NAT-Gateways ist Pending. Nachdem sich der Status in Available geändert hat, steht Ihnen das NAT-Gateway zur Verwendung bereit. Fügen Sie eine Route zum NAT-Gateway zu den Routing-Tabellen für die privaten Subnetze hinzu und fügen Sie der Routing-Tabelle für das NAT-Gateway Routen hinzu.

    Wenn der Status des NAT-Gateways auf Failed geändert wird, ist bei der Erstellung ein Fehler aufgetreten. Weitere Informationen finden Sie unter Fehler bei der NAT-Gateway-Erstellung.

Markieren eines NAT-Gateways

Sie können Ihren NAT-Gateway markieren, um ihn identifizieren oder in Übereinstimmung mit den Anforderungen Ihrer Organisation kategorisieren zu können. Informationen zum Arbeiten mit Markierungen finden Sie unter Markieren von EC2-Ressourcen im Amazon EC2--Benutzerhandbuch für Linux Instances.

Kostenzuordnungs-Markierungen werden für NAT-Gateways unterstützt. Daher können Sie auch Markierungen verwenden, um Ihre AWS-Rechnung zu organisieren und Ihre eigene Kostenstruktur widerzuspiegeln. Weitere Informationen finden Sie unter Verwendung von Tags zur Kostenzuordnung im Benutzerhandbuch zu AWS Billing and Cost Management. Weitere Informationen zum Einrichten eines Kostenzuordnungsberichts mit Markierungen finden Sie unte Der monatliche Kostenzuordnungsbericht in Über AWS-Kontenfakturierung.

Löschen eines NAT-Gateways

Wenn Sie ein NAT-Gateway nicht mehr benötigen, können Sie es löschen. Nach der Löschung eines NAT-Gateways wird dessen Eintrag für etwa eine Stunde in der Amazon VPC-Konsole angezeigt und anschließend automatisch entfernt. Sie können den Eintrag nicht selbst entfernen.

Durch das Löschen wird die Zuordnung der Elastic-IP-Adresse zum NAT-Gateway aufgehoben. Die Adresse wird jedoch nicht im Konto gelöscht. Wenn Sie ein NAT-Gateway löschen, erhalten die Routen des NAT-Gateways den Status blackhole, bis Sie die Routen löschen oder aktualisieren.

So löschen Sie ein NAT-Gateway

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Klicken Sie im Navigationsbereich auf NAT Gateways.

  3. Wählen Sie das Optionsfeld für das NAT-Gateway und wählen Sie dann Aktionrn, NAT-Gateway löschen aus.

  4. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie delete ein und wählen Sie dann Löschen aus.

  5. Wenn Sie die Elastic-IP-Adresse, die einem öffentlichen NAT-Gateway zugeordnet war, nicht mehr benötigen, empfehlen wir, sie freizugeben. Weitere Informationen finden Sie unter Freigeben einer Elastic-IP-Adresse.

API- und CLI-Übersicht

Sie können die auf dieser Seite beschriebenen Aufgaben über die Befehlszeile oder API ausführen. Weitere Informationen zu Befehlszeilenschnittstellen und eine Liste der verfügbaren API-Operationen finden Sie unter Zugriff auf Amazon VPC.

Erstellen eines NAT-Gateways

Beschreiben eines NAT-Gateways

Markieren eines NAT-Gateways

Löschen eines NAT-Gateways