Comparar las puertas de enlace NAT con las instancias NAT
A continuación se proporciona un resumen general de las diferencias entre las puertas de enlace NAT y las instancias NAT. Le recomendamos que utilice las gateways NAT, ya que proporcionan mayor disponibilidad y ancho de banda y requieren menos esfuerzo de administración por su parte.
| Atributo | Gateway NAT | Instancia NAT |
|---|---|---|
| Disponibilidad | Altamente disponibles. Las gateways NAT de cada zona de disponibilidad se implementan con redundancia. Cree una gateway NAT en cada zona de disponibilidad para garantizar una arquitectura independiente de zonas. | Utilice un script para administrar la conmutación por error entre instancias. |
| Ancho de banda | Puede escalar hasta 100 Gbps. | Dependen del ancho de banda del tipo de instancia. |
| Mantenimiento | Administrada por AWS. No necesita realizar ningún mantenimiento. | Administradas por usted. Por ejemplo, al instalar actualizaciones de software o parches de sistema operativo en la instancia. |
| Desempeño | El software está optimizado para la gestión del tráfico de NAT. | Una AMI configurada para realizar la NAT. |
| Costo | Se cobra en función del número de gateways NAT que utilice, la duración del uso y la cantidad de datos que envíe mediante las gateways NAT. | Se cobra en función del número de instancias NAT que utilice, la duración del uso y el tamaño y el tipo de instancia. |
| Tipo y tamaño | Oferta uniforme; no necesita decidir el tamaño ni el tipo. | Elija un tipo de instancia y un tamaño adecuados, acordes con la estimación de su carga de trabajo. |
| Direcciones IP públicas | Elija la dirección IP elástica para asociar a la gateway NAT pública en el momento de la creación. | Utilice una dirección IP elástica o una dirección IP pública con una instancia NAT. Puede cambiar la dirección IP pública en el momento de asociar una nueva dirección IP elástica a la instancia. |
| Direcciones IP privadas | Se seleccionan automáticamente del rango de direcciones IP de la subred al crear la gateway. | Al lanzar la instancia, asigne una dirección IP privada específica del rango de direcciones IP de la subred. |
| Grupos de seguridad | No puede asociar los grupos de seguridad a las gateways NAT. Puede asociarlos a los recursos detrás de la gateway NAT para controlar el tráfico entrante y saliente. | Asocie su instancia NAT y los recursos detrás de su instancia NAT para controlar el tráfico entrante y saliente. |
| ACL de red | Utilice una ACL de red para controlar el tráfico hacia la subred y procedente de esta en la que se encuentra su gateway NAT. | Utilice una ACL de red para controlar el tráfico hacia la subred y procedente de esta en la que se encuentra su instancia NAT. |
| Logs de flujo | Utilice los logs de flujo para capturar el tráfico. | Utilice los logs de flujo para capturar el tráfico. |
| Enrutamiento de puertos | No es compatible. | Personalice manualmente la configuración para que admita el reenvío de puertos. |
| Servidores bastión | No es compatible. | Se pueden utilizar como servidor bastión. |
| Métricas de tráfico | Consulte métricas de CloudWatch para la gateway NAT. | Consulte métricas de CloudWatch para la instancia. |
| Comportamiento de los tiempos de espera | Cuando el tiempo de espera de una conexión finaliza, una gateway NAT devuelve un paquete RST a los recursos situados detrás de la gateway NAT que intenten continuar la conexión (no envía un paquete FIN). | Cuando el tiempo de espera de una conexión finaliza, una instancia NAT envía un paquete FIN a los recursos situados detrás de la instancia NAT para cerrar la conexión. |
| Fragmentación de IP | Admiten el reenvío de paquetes IP fragmentados para el protocolo UDP. No admiten la fragmentación para los protocolos ICMP y TCP. Los paquetes fragmentados para estos protocolos se retirarán. |
Admiten el reensamblado de paquetes IP fragmentados para los protocolos ICMP, UDP y TCP. |
Migrar desde una instancia NAT a una puerta de enlace NAT
Si ya está utilizando una instancia NAT, recomendamos que la reemplace por una gateway NAT. Para ello, puede crear una gateway NAT en la misma subred que su instancia NAT, y luego reemplazar la ruta existente en su tabla de enrutamiento que apunta a la instancia NAT por una ruta que apunte a la gateway NAT. Para usar la misma dirección IP elástica para la gateway NAT que utiliza actualmente para su instancia NAT, primero debe desasociar la dirección IP elástica de su instancia NAT y después asociarla a su gateway NAT al crear la gateway.
Si cambia su direccionamiento de una instancia NAT a una puerta de enlace NAT, o si desasocia la dirección IP elástica de su instancia NAT, las conexiones actuales se perderán y tendrá que volver a establecerlas. Asegúrese de no estar ejecutando ninguna tarea crítica (o cualquier otra tarea que opere mediante la instancia NAT).
