Gateways NAT - Amazon Virtual Private Cloud

Gateways NAT

Una gateway NAT es un servicio de traducción de direcciones de red (NAT). Puede utilizar una gateway NAT para que las instancias de una subred privada puedan conectarse a servicios fuera de la VPC, pero los servicios externos no pueden iniciar una conexión con esas instancias.

Cuando se crea una gateway NAT, se especifica uno de los siguientes tipos de conectividad:

  • Pública (predeterminado): las instancias de subredes privadas pueden conectarse a Internet a través de una gateway NAT pública, pero no pueden recibir conexiones entrantes no solicitadas de Internet. Crea una gateway NAT pública en una subred pública y debe asociar una dirección IP elástica con la gateway NAT en el momento de la creación. El tráfico se dirige desde la gateway NAT a la gateway de Internet de la VPC. También puede utilizar una gateway NAT pública para conectarse a otras VPC o a la red en las instalaciones. En este caso, el tráfico se dirige desde la gateway NAT a través de una gateway de tránsito o una gateway privada virtual.

  • Privada: las instancias de subredes privadas pueden conectarse a otras VPC o a la red en las instalaciones a través de una gateway NAT privada. El tráfico se dirige desde la gateway NAT a través de una gateway de tránsito o una gateway privada virtual. No puede asociar una dirección IP elástica a una gateway NAT privada. Puede adjuntar una gateway de Internet a una VPC con una gateway NAT privada, pero si dirige el tráfico desde la gateway NAT privada a la gateway de Internet, esta última reduce el tráfico.

La gateway NAT reemplaza la dirección IP de fuente de las instancias con la dirección IP de la gateway NAT. Para una gateway NAT pública, esta es la dirección IP elástica de la gateway NAT. Para una gateway NAT privada, esta es la dirección IP privada de la gateway NAT. Cuando envía tráfico de respuesta a las instancias, el dispositivo NAT traduce las direcciones a las primeras direcciones IP fuente.

Precios

Cuando aprovisione una gateway NAT, se le cobrará por cada hora que esté disponible y por cada Gigabyte de datos que procese. Para obtener más información, consulte Precios de Amazon VPC.

Las siguientes estrategias pueden servir de ayuda para reducir los cargos por transferencia de datos de su gateway NAT:

  • Si sus recursos de AWS envían o reciben un volumen significativo de tráfico entre las zonas de disponibilidad, asegúrese de que los recursos se encuentran en la misma zona de disponibilidad que la gateway NAT o cree una gateway NAT en la misma zona de disponibilidad que los recursos.

  • Si la mayor parte del tráfico que fluye a través de la gateway NAT se dirige a los servicios de AWS que admiten puntos de enlace de interfaz o puntos de enlace de gateway, considere la posibilidad de crear un punto de enlace de interfaz o un punto de enlace de gateway para estos servicios. Para obtener más información sobre el posible ahorro de costos, consulte Precios de AWS PrivateLink.

Conceptos básicos de la gateway NAT

Cada gateway NAT se crea en una zona de disponibilidad específica, y se implementa con redundancia en dicha zona. Hay una cuota establecida en la cantidad de gateways NAT que puede crear en cada zona de disponibilidad. Para obtener más información, consulte Cuotas de Amazon VPC.

Si tiene recursos en varias zonas de disponibilidad que comparten una gateway NAT y la zona de disponibilidad de la gateway NAT no funciona, los recursos de las demás zonas de disponibilidad perderán el acceso a Internet. Para crear una arquitectura independiente de la zona de disponibilidad, cree una gateway NAT en cada zona de disponibilidad y configure el direccionamiento para asegurarse de que los recursos utilicen la gateway NAT de la misma zona de disponibilidad.

Las siguientes características y reglas se aplican a las gateways NAT:

  • Una gateway NAT admite los siguientes protocolos: TCP, UDP e ICMP.

  • Las gateways NAT son compatibles con el tráfico IPv4 o IPv6. Para el tráfico IPv6, la gateway NAT ejecuta NAT64. Al utilizarla en combinación con DNS64 (disponible en Route 53 Resolver), las cargas de trabajo de IPv6 de una subred de Amazon VPC pueden comunicarse con los recursos de IPv4. Estos servicios IPv4 pueden existir en la misma VPC (en una subred independiente) o en una VPC diferente, en su entorno en las instalaciones o en Internet.

  • Las puertas de enlace NAT admiten 5 Gbps de ancho de banda y se amplían automáticamente hasta 100 Gbps. Si necesita más ancho de banda, puede dividir los recursos en varias subredes y crear una gateway NAT en cada subred.

  • Una puerta de enlace NAT puede procesar un millón de paquetes por segundo y escalar automáticamente hasta diez millones de paquetes por segundo. Más allá de este límite, una gateway NAT descartará paquetes. Para evitar la pérdida de paquetes, divida los recursos en varias subredes y cree una gateway NAT independiente para cada subred.

  • Una gateway NAT puede admitir hasta 55,000 conexiones simultáneas a cada destino único. Este límite se aplica también cuando se crean aproximadamente 900 conexiones por segundo hacia un único destino (sobre 55 000 conexiones por minuto). Si la dirección IP de destino, el puerto de destino o el protocolo (TCP/UDP/ICMP) cambian, puede crear 55 000 conexiones adicionales. Cuando hay más de 55 000 conexiones, las probabilidades de errores de conexión aumentan debido a errores de asignación de puertos. Estos errores se pueden monitorear examinando la métrica de CloudWatch ErrorPortAllocation para la gateway NAT. Para obtener más información, consulte Monitorear las puertas de enlace NAT mediante Amazon CloudWatch.

  • Puede asociar exactamente una dirección IP elástica a una gateway NAT pública. No puede desasociar una dirección IP elástica de una gateway NAT después de crearla. Para usar una dirección IP elástica distinta para su gateway NAT, debe crear una nueva gateway NAT con la dirección necesaria, actualizar sus tablas de ruteo y, a continuación, eliminar la gateway NAT existente si ya no la necesita.

  • Una gateway NAT privada recibe una dirección IP privada disponible de la subred en la que está configurada. La dirección IP privada asignada persiste hasta que elimina la puerta de enlace NAT privada. No puede desconectar la dirección IP privada ni adjuntar más direcciones IP privadas.

  • No puede asociar un grupo de seguridad a una gateway NAT. Puede asociar grupos de seguridad a las instancias para controlar su tráfico entrante y saliente.

  • Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta en su gateway NAT. Las gateways NAT utilizan los puertos 1024-65535. Para obtener más información, consulte Controlar el tráfico hacia las subredes utilizando las ACL de red.

  • Una gateway NAT recibe una interfaz de red a la que se asigna de forma automática una dirección IP privada del rango de direcciones IP de la subred. Puede consultar la interfaz de red de la gateway NAT con la consola de Amazon EC2. Para obtener más información, consulte Visualización de los detalles de una interfaz de red. No se pueden modificar los atributos de esta interfaz de red.

  • No se puede obtener acceso a una gateway NAT mediante una conexión de ClassicLink asociada a su VPC.

  • No se puede dirigir el tráfico a una gateway NAT mediante una interconexión de VPC, una conexión de Site-to-Site VPN ni AWS Direct Connect. No es posible utilizar una gateway NAT con recursos situados en el otro lado de dichas conexiones.

Controlar el uso de gateways NAT

De forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con gateways NAT. Puede crear una política de usuario de IAM que conceda permisos a los usuarios para crear, describir y eliminar gateways NAT. Para obtener más información, consulte Identity and Access Management para Amazon VPC.

Trabajar con gateways NAT

Puede utilizar la consola de Amazon VPC para crear y administrar sus gateways NAT.

Creación de una gateway NAT

Para crear una gateway NAT, ingrese un nombre opcional, una subred y un tipo de conectividad opcional. Con una gateway NAT pública, debe especificar una dirección IP elástica disponible. Una gateway NAT privada recibe una dirección IP privada principal que se selecciona de forma aleatoria de su subred. No puede desconectar la dirección IP privada principal ni agregar direcciones IP privadas secundarias.

Para crear una gateway NAT

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija NAT Gateways.

  3. Elija Create a NAT Gateway (Crear una gateway NAT) y haga lo siguiente:

    1. (Opcional) Especifique un nombre para la gateway NAT. Esto crea una etiqueta en la que la clave es Name y el valor es el nombre que especifique.

    2. Seleccione la subred en la que crear la gateway NAT.

    3. En Connectivity type (Tipo de conectividad), seleccione Private (Privada) para crear una gateway NAT privada o (la opción predeterminada) Public (Pública) para crear una gateway NAT pública.

    4. (Solo para la gateway NAT pública) En Elastic IP allocation ID(ID de asignación de IP elástica), seleccione una dirección IP elástica para asociarla con la gateway NAT.

    5. (Opcional) Para cada etiqueta, elija Add new tag (Agregar nueva etiqueta) e ingrese el nombre y el valor de la clave.

    6. Elija Create a NAT Gateway (Crear una gateway NAT).

  4. El estado inicial de la gateway NAT es Pending. Una vez que el estado cambia a Available, la gateway NAT está lista para su uso. Agregue una ruta a la gateway NAT para las tablas de enrutamiento para las subredes privadas y agregue rutas a la tabla de enrutamiento para la gateway NAT.

    Si el estado de la gateway NAT cambia a Failed, es que ha habido un error durante la creación. Para obtener más información, consulte La creación de la gateway NAT produce un error.

Etiquetar una gateway NAT

Puede etiquetar la gateway NAT como ayuda para identificarla o clasificarla según las necesidades de su organización. Para obtener información sobre cómo trabajar con etiquetas, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Las etiquetas de asignación de costos son compatibles con las gateways NAT. Por lo tanto, también puede utilizar etiquetas para organizar su factura de AWS y reflejar su propia estructura de costos. Para obtener más información, consulte Uso de etiquetas de asignación de costos en la Guía del usuario de AWS Billing. Para obtener más información acerca de la configuración de un informe de asignación de costos con etiquetas, consulte Informe de asignación de costos mensual en la sección de Facturación de cuentas de AWS.

Eliminación de una gateway NAT

Si ya no necesita una gateway NAT, puede eliminarla. Una vez que se elimine la gateway NAT, la entrada permanece visible en la consola de Amazon VPC durante aproximadamente una hora, hasta que se elimine de forma automática. No puede quitar esta entrada por sí mismo.

Al eliminar una gateway NAT, se desasocia su dirección IP elástica, pero no se libera la dirección de su cuenta. Si elimina una gateway NAT, sus rutas permanecerán con el estado blackhole hasta que las elimine o las actualice.

Para eliminar una gateway NAT

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija NAT Gateways.

  3. Seleccione el botón de opción de la gateway NAT y, a continuación, elija Actions (Acciones), Delete NAT gateway (Eliminar gateway NAT).

  4. Cuando se le pida confirmación, ingrese delete y elija Delete (Eliminar).

  5. Si ya no necesita la dirección IP elástica asociada con la gateway NAT pública, es recomendable liberarla. Para obtener más información, consulte Liberación de una dirección IP elástica .

Información general de la API y de la CLI

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o al API. Para obtener más información acerca de las interfaces de la línea de comandos, junto con una lista de las operaciones de API disponibles, consulte Acceder a Amazon VPC.

Creación de una gateway NAT

Descripción de una gateway NAT

Etiquetar una gateway NAT

Eliminación de una gateway NAT