Gateways NAT - Amazon Virtual Private Cloud

Gateways NAT

Una gateway NAT es un servicio de traducción de direcciones de red (NAT). Puede utilizar una gateway NAT para que las instancias de una subred privada puedan conectarse a servicios fuera de la VPC, pero los servicios externos no pueden iniciar una conexión con esas instancias.

Cuando se crea una gateway NAT, se especifica uno de los siguientes tipos de conectividad:

  • Pública (predeterminado): las instancias de subredes privadas pueden conectarse a Internet a través de una gateway NAT pública, pero no pueden recibir conexiones entrantes no solicitadas de Internet. Crea una gateway NAT pública en una subred pública y debe asociar una dirección IP elástica con la gateway NAT en el momento de la creación. El tráfico se dirige desde la gateway NAT a la gateway de Internet de la VPC. También puede utilizar una gateway NAT pública para conectarse a otras VPC o a la red en las instalaciones. En este caso, el tráfico se dirige desde la gateway NAT a través de una gateway de tránsito o una gateway privada virtual.

  • Privada: las instancias de subredes privadas pueden conectarse a otras VPC o a la red en las instalaciones a través de una gateway NAT privada. El tráfico se dirige desde la gateway NAT a través de una gateway de tránsito o una gateway privada virtual. No puede asociar una dirección IP elástica a una gateway NAT privada. Puede adjuntar una gateway de Internet a una VPC con una gateway NAT privada, pero si dirige el tráfico desde la gateway NAT privada a la gateway de Internet, esta última reduce el tráfico.

Tanto las puertas de enlace NAT privadas como las públicas asignan la dirección IPv4 privada de origen de las instancias a la dirección IPv4 privada de la puerta de enlace NAT, pero en el caso de una puerta de enlace NAT pública, la puerta de enlace de Internet asigna la dirección IPv4 privada de la puerta de enlace NAT pública a la dirección IP elástica asociada a la puerta de enlace NAT. Cuando envía tráfico de respuesta a las instancias, ya sea una puerta de enlace NAT pública o privada, la puerta de enlace NAT traduce la dirección a la dirección IP de origen.

importante

Puede utilizar una puerta de enlace NAT pública o privada para enrutar el tráfico a puertas de enlace de tránsito y puertas de enlace privadas virtuales.

Si utiliza una puerta de enlace NAT privada para conectarse a una puerta de enlace de tránsito o a una puerta de enlace privada virtual, el tráfico hacia el destino procederá de la dirección IP privada de la puerta de enlace NAT privada.

Si utiliza una puerta de enlace NAT pública para conectarse a una puerta de enlace de tránsito o a una puerta de enlace privada virtual, el tráfico hacia el destino procederá de la dirección IP privada de la puerta de enlace NAT pública, a menos que utilice una puerta de enlace de Internet. La puerta de enlace NAT pública solo utilizará su EIP como dirección IP de origen cuando se utilice junto con una puerta de enlace de Internet.

Conceptos básicos de la gateway NAT

Cada gateway NAT se crea en una zona de disponibilidad específica, y se implementa con redundancia en dicha zona. Hay una cuota establecida en la cantidad de gateways NAT que puede crear en cada zona de disponibilidad. Para obtener más información, consulte Cuotas de Amazon VPC.

Si tiene recursos en varias zonas de disponibilidad que comparten una gateway NAT y la zona de disponibilidad de la gateway NAT no funciona, los recursos de las demás zonas de disponibilidad perderán el acceso a Internet. Para mejorar la resiliencia, puede crear una puerta de enlace NAT en cada zona de disponibilidad y configurar el direccionamiento para asegurarse de que los recursos utilicen la puerta de enlace NAT en la misma zona de disponibilidad.

Las siguientes características y reglas se aplican a las gateways NAT:

  • Una gateway NAT admite los siguientes protocolos: TCP, UDP e ICMP.

  • Las gateways NAT son compatibles con el tráfico IPv4 o IPv6. Para el tráfico IPv6, la gateway NAT ejecuta NAT64. Al utilizarla en combinación con DNS64 (disponible en Route 53 Resolver), las cargas de trabajo de IPv6 de una subred de Amazon VPC pueden comunicarse con los recursos de IPv4. Estos servicios IPv4 pueden existir en la misma VPC (en una subred independiente) o en una VPC diferente, en su entorno en las instalaciones o en Internet.

  • Las puertas de enlace NAT admiten 5 Gbps de ancho de banda y se amplían automáticamente hasta 100 Gbps. Si necesita más ancho de banda, puede dividir los recursos en varias subredes y crear una gateway NAT en cada subred.

  • Una puerta de enlace NAT puede procesar un millón de paquetes por segundo y escalar automáticamente hasta diez millones de paquetes por segundo. Más allá de este límite, una gateway NAT descartará paquetes. Para evitar la pérdida de paquetes, divida los recursos en varias subredes y cree una gateway NAT independiente para cada subred.

  • Cada dirección IPv4 puede admitir hasta 55 000 conexiones simultáneas a cada destino único. Un destino único se identifica mediante una combinación única de dirección IP de destino, puerto de destino y protocolo (TCP/UDP/ICMP). Puede aumentar este límite si asocia hasta 8 direcciones IPv4 a sus puertas de enlace de NAT (1 dirección IPv4 principal y 7 direcciones IPv4 secundarias). De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte Direcciones IP elásticas.

  • Puede elegir la dirección IPv4 privada para asignar a la puerta de enlace de NAT o hacer que se asigne de forma automática del rango de direcciones IPv4 de la subred. La dirección IPv4 privada asignada persiste hasta que elimina la puerta de enlace de NAT privada. No puede desconectar la dirección IPv4 privada ni asociar más direcciones IPv4 privadas.

  • No puede asociar un grupo de seguridad a una gateway NAT. Puede asociar grupos de seguridad a las instancias para controlar su tráfico entrante y saliente.

  • Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta en su gateway NAT. Las gateways NAT utilizan los puertos 1024-65535. Para obtener más información, consulte Controlar el tráfico hacia las subredes utilizando las ACL de red.

  • Una puerta de enlace NAT recibe una interfaz de red. Puede elegir la dirección IPv4 privada para asignar a la interfaz o hacer que se asigne de forma automática del rango de direcciones IPv4 de la subred. Puede consultar la interfaz de red de la gateway NAT con la consola de Amazon EC2. Para obtener más información, consulte Visualización de los detalles de una interfaz de red. No se pueden modificar los atributos de esta interfaz de red.

  • No se puede dirigir el tráfico a una puerta de enlace NAT mediante una conexión de emparejamiento de VPC. No puede enrutar el tráfico a través de una puerta de enlace NAT cuando el tráfico llega a través de una conexión híbrida (VPN de sitio a sitio o Direct Connect) a través de una puerta de enlace privada virtual. Puede enrutar el tráfico a través de una puerta de enlace NAT cuando el tráfico llega a través de una conexión híbrida (VPN de sitio a sitio o Direct Connect) a través de una puerta de enlace de tránsito.

  • Las puertas de enlace NAT admiten tráfico con una unidad de transmisión (MTU) máxima de 8500, pero es importante tener en cuenta lo siguiente:

    • Para evitar la posible pérdida de paquetes al comunicarse con los recursos a través de Internet mediante una puerta de enlace NAT pública, la configuración de MTU de las instancias EC2 no debe superar los 1500 bytes. Para obtener más información acerca de cómo comprobar y configurar la MTU en una instancia, consulte Comprobar y configurar la MTU en una instancia de Linux en la Guía del usuario de instancias de Linux de Amazon EC2.

    • Las puertas de enlace NAT admiten Path MTU Discovery (PMTUD) mediante paquetes ICMPv4 FRAG_NEEDED y paquetes ICMPv6 Packet Too Big (PTB).

    • Las puertas de enlace NAT aplican el bloqueo de tamaño máximo del segmento (MSS) a todos los paquetes. Para obtener más información, consulte RFC879.

Controlar el uso de gateways NAT

De forma predeterminada, los usuarios de no tienen permiso para trabajar con gateways NAT. Puede crear un rol de IAM con una política asociada que conceda permisos a los usuarios para crear, describir y eliminar puertas de enlace NAT. Para obtener más información, consulte Identity and Access Management para Amazon VPC.

Trabajar con gateways NAT

Puede utilizar la consola de Amazon VPC para crear y administrar sus gateways NAT.

Creación de una gateway NAT

Utilice el siguiente procedimiento para crear una puerta de enlace NAT.

Cuotas relacionadas
  • No podrá crear una puerta de enlace NAT pública si ha agotado la cantidad de EIP asignadas a su cuenta. Para obtener más información detallada acerca de las cuotas de EIP y cómo ajustarlas, consulte Direcciones IP elásticas.

  • Puede asignar hasta 8 direcciones IPv4 privadas a la puerta de enlace de NAT privada. Este límite no se puede ajustar.

  • De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte Direcciones IP elásticas.

Para crear una gateway NAT
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puertas de enlace de NAT.

  3. Elija Crear una puerta de enlace de NAT.

  4. (Opcional) Especifique un nombre para la gateway NAT. Esto crea una etiqueta en la que la clave es Name y el valor es el nombre que especifique.

  5. Seleccione la subred en la que crear la gateway NAT.

  6. En Tipo de conectividad, seleccione Pública para crear una puerta de enlace de NAT pública o Privada para crear una puerta de enlace de NAT privada. Para obtener más información acerca de la diferencia entre una puerta de enlace de NAT pública y privada, consulte Gateways NAT.

  7. Si eligió Public (Pública), haga lo que se indica a continuación. Si no eligió esta opción, diríjase al paso 8:

    1. Elija un ID de asignación de IP elástica para asignar una EIP a la puerta de enlace de NAT o elija Asignar IP elástica para asignar automáticamente una EIP para la puerta de enlace de NAT pública. De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte Direcciones IP elásticas.

      importante

      Al asignar una EIP a una puerta de enlace NAT pública, el grupo de bordes de red de la EIP debe coincidir con el grupo de bordes de red de la zona de disponibilidad (AZ) en la que está lanzando la puerta de enlace NAT pública. Si no coinciden, la puerta de enlace NAT no se podrá iniciar. Para ver el grupo de bordes de red de la zona de disponibilidad de la subred, consulte los detalles de la subred. Del mismo modo, puede ver el grupo de bordes de red de una EIP si consulta los detalles de la dirección de la EIP. Para obtener más información acerca de los grupos de bordes de red y las EIP, consulte Asignar una dirección IP elástica.

    2. (Opcional) Elija Configuración adicional y, en Dirección IP privada: opcional, ingrese una dirección IPv4 privada para la puerta de enlace de NAT. Si no ingresa ninguna dirección, AWS asignará automáticamente una dirección IPv4 privada a su puerta de enlace de NAT de forma aleatoria desde la subred en la que se encuentra la puerta de enlace de NAT.

    3. Vaya al paso 11.

  8. Si eligió Privada, diríjase a Configuración adicional, luego a Método de asignación de direcciones IPv4 privadas y elija una de las siguientes opciones:

    • Asignación automática: AWS elige la dirección IPv4 privada principal para la puerta de enlace de NAT. En Cantidad de direcciones IPv4 privadas asignadas de manera automática, puede especificar la cantidad de direcciones IPv4 privadas secundarias para la puerta de enlace de NAT. AWS elige estas direcciones IP de forma aleatoria de la subred para la puerta de enlace de NAT.

    • Personalizada: en Dirección IPv4 privada principal, elija la dirección IPv4 privada principal para la puerta de enlace de NAT. En Direcciones IPv4 privadas secundarias, puede especificar hasta 7 direcciones IPv4 privadas secundarias para la puerta de enlace de NAT.

  9. Si ha elegido Personalizado en el paso 8, omita este paso. Si ha elegido Asignación automática, en Número de direcciones IP privadas asignadas automáticamente, elija la cantidad de direcciones IPv4 secundarias que desea que AWS asigne a esta puerta de enlace de NAT privada. Puede elegir hasta 7 direcciones IPv4.

    nota

    Las direcciones IPv4 secundarias son opcionales y deben asignarse cuando las cargas de trabajo que utilizan una puerta de enlace de NAT superen las 55 000 conexiones simultáneas a un único destino (la misma IP de destino, puerto de destino y protocolo). Las direcciones IPv4 secundarias aumentan la cantidad de puertos disponibles y, por lo tanto, aumentan el límite de conexiones simultáneas que las cargas de trabajo pueden establecer mediante una puerta de enlace de NAT.

  10. Si ha elegido Asignación automática en el paso 9, omita este paso. Si ha elegido Personalizado, proceda de la siguiente manera:

    1. En Dirección IPv4 privada principal, ingrese la dirección IPv4 privada.

    2. En Dirección IPv4 privada secundaria, ingrese hasta 7 direcciones IPv4 privadas secundarias.

  11. (Opcional) Para agregar una etiqueta a la puerta de enlace NAT, elija Add new tag (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta. Puede añadir hasta 50 etiquetas.

  12. Elija Crear una puerta de enlace de NAT.

  13. El estado inicial de la gateway NAT es Pending. Una vez que el estado cambia a Available, la gateway NAT está lista para su uso. Asegúrese de actualizar las tablas de enrutamiento según sea necesario. Para ver ejemplos, consulte Casos de uso de puerta de enlace NAT.

Si el estado de la gateway NAT cambia a Failed, es que ha habido un error durante la creación. Para obtener más información, consulte La creación de la gateway NAT produce un error.

Edición de asociaciones de direcciones IP secundarias

Cada dirección IPv4 puede admitir hasta 55 000 conexiones simultáneas a cada destino único. Un destino único se identifica mediante una combinación única de dirección IP de destino, puerto de destino y protocolo (TCP/UDP/ICMP). Puede aumentar este límite si asocia hasta 8 direcciones IPv4 a sus puertas de enlace de NAT (1 dirección IPv4 principal y 7 direcciones IPv4 secundarias). De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte Direcciones IP elásticas.

Puede utilizar las métricas de la puerta de enlace de NAT de CloudWatch ErrorPortAllocation y PacketsDropCount para determinar si su puerta de enlace de NAT genera errores de asignación de puertos o descarta paquetes. Para resolver este problema, agregue direcciones IPv4 secundarias a su puerta de enlace de NAT.

Consideraciones
  • Puede agregar direcciones IPv4 privadas secundarias al crear una puerta de enlace de NAT privada o después de crear la puerta de enlace de NAT mediante el procedimiento de esta sección. Puede agregar direcciones EIP secundarias a las puertas de enlace de NAT públicas solo después de crear la puerta de enlace de NAT mediante el procedimiento de esta sección.

  • Su puerta de enlace de NAT puede tener hasta 8 direcciones IPv4 asociadas (1 dirección IPv4 principal y 7 direcciones IPv4 secundarias). Puede asignar hasta 8 direcciones IPv4 privadas a la puerta de enlace de NAT privada. De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte Direcciones IP elásticas.

Edición de asociaciones de direcciones IPv4 secundarias
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puertas de enlace de NAT.

  3. Seleccione la puerta de enlace de NAT cuyas asociaciones de direcciones IPv4 secundarias desee editar.

  4. Elija Acciones y, a continuación, elija Editar asociaciones de direcciones IP secundarias.

  5. Si está editando las asociaciones de direcciones IPv4 secundarias de una puerta de enlace de NAT privada, en Acción, elija Asignar nuevas direcciones IPv4 o Anular asignación de direcciones IPv4 existentes. Si está editando las asociaciones de direcciones IPv4 secundarias de una puerta de enlace de NAT pública, en Acción, elija Asociar nuevas direcciones IPv4 o Desasociar direcciones IPv4 existentes.

  6. Realice una de las acciones siguientes:

    • Si ha elegido asignar o asociar direcciones IPv4 nuevas, haga lo siguiente:

      1. Este paso es necesario. Debe seleccionar una dirección IPv4 privada. Elija el Método de asignación de direcciones IPv4 privadas:

        • Asignación automática: AWS elige automáticamente una dirección IPv4 privada principal y usted elige si desea que AWS asigne hasta 7 direcciones IPv4 privadas secundarias para asignarlas a la puerta de enlace de NAT. AWS las elige y las asigna automáticamente de forma aleatoria desde la subred en la que se encuentra la puerta de enlace de NAT.

        • Personalizado: elija la dirección IPv4 privada principal y hasta 7 direcciones IPv4 privadas secundarias para asignarlas a la puerta de enlace de NAT.

      2. En ID de asignación de IP elástica, elija una EIP para agregar como dirección IPv4 secundaria. Este paso es necesario. Debe seleccionar una EIP junto con una dirección IPv4 privada. Si ha elegido Personalizado como Método de asignación de direcciones IP privadas, también debe ingresar una dirección IPv4 privada para cada EIP que agregue.

        importante

        Al asignar una EIP secundaria a una puerta de enlace NAT pública, el grupo de bordes de red de la EIP debe coincidir con el grupo de bordes de red de la zona de disponibilidad (AZ) en la que se encuentra la puerta de enlace NAT pública. Si no coinciden, no se podrá asignar la EIP. Para ver el grupo de bordes de red de la zona de disponibilidad de la subred, consulte los detalles de la subred. Del mismo modo, puede ver el grupo de bordes de red de una EIP si consulta los detalles de la dirección de la EIP. Para obtener más información acerca de los grupos de bordes de red y las EIP, consulte Asignar una dirección IP elástica.

      Su puerta de enlace de NAT puede tener hasta 8 direcciones IP asociadas. Si se trata de una puerta de enlace de NAT pública, existe un límite de cuota predeterminado para las EIP por región. Para obtener más información, consulte Direcciones IP elásticas.

    • Si ha elegido desasociar o anular la asignación de nuevas direcciones IPv4, realice lo siguiente:

      1. En Dirección IP secundaria existente para anular asignación, seleccione las direcciones IP secundarias que desee anular.

      2. (opcional) En Duración del drenaje de conexiones, ingrese el tiempo máximo de espera (en segundos) antes de forzar la liberación de las direcciones IP si las conexiones siguen en curso. Si no ingresa un valor, el valor predeterminado es de 350 segundos.

  7. Elija Guardar cambios.

Si el estado de la gateway NAT cambia a Failed, es que ha habido un error durante la creación. Para obtener más información, consulte La creación de la gateway NAT produce un error.

Etiquetar una gateway NAT

Puede etiquetar la gateway NAT como ayuda para identificarla o clasificarla según las necesidades de su organización. Para obtener información sobre cómo trabajar con etiquetas, consulte Etiquetado de los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Las etiquetas de asignación de costos son compatibles con las gateways NAT. Por lo tanto, también puede utilizar etiquetas para organizar su factura de AWS y reflejar su propia estructura de costos. Para obtener más información, consulte Uso de etiquetas de asignación de costos en la Guía del usuario de AWS Billing. Para obtener más información acerca de la configuración de un informe de asignación de costos con etiquetas, consulte Informe de asignación de costos mensual en la sección de Facturación de cuentas de AWS.

Para etiquetar una puerta de enlace de NAT
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija NAT Gateways.

  3. Seleccione la puerta de enlace de NAT que desee etiquetar y elija Acciones. A continuación, elija Administrar etiquetas.

  4. Elija Agregar nueva etiqueta y defina una Clave y un Valor para la etiqueta. Puede añadir hasta 50 etiquetas.

  5. Elija Guardar.

Eliminación de una gateway NAT

Si ya no necesita una gateway NAT, puede eliminarla. Una vez que se elimine la gateway NAT, la entrada permanece visible en la consola de Amazon VPC durante aproximadamente una hora, hasta que se elimine de forma automática. No puede quitar esta entrada por sí mismo.

Al eliminar una gateway NAT, se desasocia su dirección IP elástica, pero no se libera la dirección de su cuenta. Si elimina una gateway NAT, sus rutas permanecerán con el estado blackhole hasta que las elimine o las actualice.

Para eliminar una gateway NAT
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija NAT Gateways.

  3. Seleccione el botón de opción de la gateway NAT y, a continuación, elija Actions (Acciones), Delete NAT gateway (Eliminar gateway NAT).

  4. Cuando se le pida confirmación, ingrese delete y elija Delete (Eliminar).

  5. Si ya no necesita la dirección IP elástica asociada con la gateway NAT pública, es recomendable liberarla. Para obtener más información, consulte Liberar una dirección IP elástica.

Información general de la API y de la CLI

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o al API. Para obtener más información acerca de las interfaces de la línea de comandos, junto con una lista de las operaciones de API disponibles, consulte Trabajo con VPC de Amazon.

Asignación de una dirección IPv4 privada a una puerta de enlace de NAT privada
Asociación de direcciones IP elásticas (EIP) y direcciones IPv4 privadas con una puerta de enlace de NAT pública
Creación de una gateway NAT
Eliminación de una gateway NAT
Descripción de una gateway NAT
Desasociación de direcciones IP elásticas (EIP) secundarias de una puerta de enlace de NAT pública
Etiquetar una gateway NAT
Anulación de asignación de direcciones IPv4 secundarias de una puerta de enlace de NAT privada

Precios

Cuando aprovisione una puerta de enlace NAT, se le cobrará por cada hora que esté disponible y por cada gigabyte de datos que procese. Para obtener más información, consulte Precios de Amazon VPC.

Las siguientes estrategias pueden servir de ayuda para reducir los cargos por transferencia de datos de su gateway NAT:

  • Si sus recursos de AWS envían o reciben un volumen significativo de tráfico entre las zonas de disponibilidad, asegúrese de que los recursos se encuentran en la misma zona de disponibilidad que la puerta de enlace NAT. También puede crear una puerta de enlace NAT en cada zona de disponibilidad con recursos.

  • Si la mayor parte del tráfico que fluye a través de la gateway NAT se dirige a los servicios de AWS que admiten puntos de enlace de interfaz o puntos de enlace de gateway, considere la posibilidad de crear un punto de enlace de interfaz o un punto de enlace de gateway para estos servicios. Para obtener más información sobre el posible ahorro de costos, consulte Precios de AWS PrivateLink.