Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de la puerta de enlace NAT para la IPv4 salida centralizada
La puerta de enlace NAT es un servicio gestionado de traducción de direcciones de red. La implementación de una puerta de enlace NAT en todas las VPC radiales puede resultar prohibitiva, ya que se paga una tarifa por hora por cada puerta de enlace NAT que se implemente (consulte los precios de Amazon VPC
nota
Cuando centraliza la puerta de enlace NAT mediante Transit Gateway, paga un cargo adicional de procesamiento de datos de Transit Gateway, en comparación con el enfoque descentralizado de ejecutar una puerta de enlace NAT en cada VPC. En algunos casos extremos, cuando se envían grandes cantidades de datos a través de una puerta de enlace NAT desde una VPC, mantener la NAT local en la VPC para evitar el cargo por procesamiento de datos de Transit Gateway podría ser una opción más rentable.
Arquitectura de puerta de enlace NAT descentralizada de alta disponibilidad
Puerta de enlace NAT centralizada mediante Transit Gateway (descripción general)
Puerta de enlace NAT centralizada mediante Transit Gateway (diseño de tabla de enrutamiento)
En esta configuración, los adjuntos de VPC radiales se asocian a la tabla de rutas 1 (RT1) y se propagan a la tabla de rutas 2 (). RT2 Existe una ruta Blackhole para impedir que los dos se comuniquen VPCs entre sí. Si desea permitir la comunicación entre VPC, puede eliminar la entrada de 10.0.0.0/8 -> Blackhole ruta de. RT1 Esto les permite comunicarse a través de la pasarela de tránsito. También puede propagar los archivos adjuntos RT1 de la VPC radial (o, como alternativa, puede utilizar una tabla de enrutamiento y asociarla o propagarla todo a ella), lo que permite un flujo de tráfico directo entre la Transit Gateway que utilice. VPCs
Agrega una ruta estática para dirigir todo el RT1 tráfico a la VPC de salida. Debido a esta ruta estática, Transit Gateway envía todo el tráfico de Internet a través ENIs de su VPC de salida. Una vez en la VPC de salida, el tráfico sigue las rutas definidas en la tabla de rutas de subred donde están presentes estas Transit Gateway. ENIs Agregue una ruta en las tablas de enrutamiento de subred que dirija todo el tráfico hacia la puerta de enlace NAT correspondiente en la misma zona de disponibilidad para minimizar el tráfico de la zona de disponibilidad cruzada (AZ). La tabla de rutas de subred de la puerta de enlace NAT tiene la puerta de enlace a Internet (IGW) como siguiente salto. Para que el tráfico de retorno regrese, debe añadir una entrada de tabla de enrutamiento estática en la tabla de enrutamiento de subred de la puerta de enlace NAT que dirija todo el tráfico radiado vinculado a la VPC a Transit Gateway como siguiente salto.
Alta disponibilidad
Para obtener una alta disponibilidad, debe usar más de una puerta de enlace NAT (una en cada zona de disponibilidad). Si una puerta de enlace NAT no está disponible, es posible que se interrumpa el tráfico en la zona de disponibilidad que atraviesa la puerta de enlace NAT afectada. Si una zona de disponibilidad no está disponible, el punto final de Transit Gateway junto con la puerta de enlace NAT de esa zona de disponibilidad fallarán y todo el tráfico fluirá a través de los puntos de enlace de Transit Gateway y NAT de la otra zona de disponibilidad.
Seguridad
Puede confiar en los grupos de seguridad de las instancias de origen, en las rutas de agujero negro de las tablas de rutas de Transit Gateway y en la ACL de red de la subred en la que se encuentra la puerta de enlace NAT. Por ejemplo, los clientes pueden utilizar ACLs las subredes públicas de la puerta de enlace NAT para permitir o bloquear las direcciones IP de origen o destino. Como alternativa, puede utilizar la puerta de enlace NAT con AWS Network Firewall la salida centralizada que se describe en la siguiente sección para cumplir con este requisito.
Escalabilidad
Una sola puerta de enlace NAT puede admitir hasta 55 000 conexiones simultáneas por dirección IP asignada a cada destino único. Puede solicitar un ajuste de cuota para permitir la asignación de hasta ocho direcciones IP, lo que permitirá establecer 440 000 conexiones simultáneas a un único puerto e IP de destino. La puerta de enlace NAT proporciona 5 Gbps de ancho de banda y se amplía automáticamente a 100 Gbps. Por lo general, Transit Gateway no actúa como un equilibrador de carga y no distribuiría el tráfico de manera uniforme entre las puertas de enlace NAT de las múltiples zonas de disponibilidad. Si es posible, el tráfico a través de Transit Gateway permanecerá dentro de una zona de disponibilidad. Si la EC2 instancia de Amazon que inicia el tráfico se encuentra en la zona de disponibilidad 1, el tráfico saldrá de la interfaz de red elástica Transit Gateway en la misma zona de disponibilidad 1 de la VPC de salida y pasará al siguiente salto en función de la tabla de enrutamiento de subred en la que reside la interfaz de red elástica. Para obtener una lista completa de reglas, consulte las pasarelas NAT en la documentación de Amazon Virtual Private Cloud.
Para obtener más información, consulte la entrada del blog sobre cómo crear un único punto de salida de Internet a partir de varios dispositivos VPCs con AWS Transit Gateway
