Comparer des passerelles NAT et des instances NAT. - Amazon Virtual Private Cloud

Comparer des passerelles NAT et des instances NAT.

Vous trouverez ci-dessous un résumé de haut niveau des différences entre les instances NAT et les passerelles NAT. Nous vous recommandons d'utiliser des passerelles NAT car elles offrent une disponibilité et une bande passante supérieures, et nécessitent moins d'efforts d’administration de votre part.

Attribut Passerelle NAT Instance NAT
Disponibilité Hautement disponible. Les passerelles NAT dans chaque zone de disponibilité sont implémentées de manière redondante. Créez une passerelle NAT dans chaque zone de disponibilité pour assurer une architecture de zone indépendante. Utilisez un script pour gérer le failover entre les instances.
Bande passante Augmentez l'échelle à 45 Gb/s. Dépend de la bande passante du type d'instance.
Maintenance Géré par AWS. Vous n'avez aucune maintenance à réaliser. Gérée par vous, par exemple, en installant des mises à jour logicielles ou des correctifs de système d'exploitation sur l'instance.
Performances Le logiciel est optimisé pour gérer le trafic NAT. Une AMI générique configurée pour exécuter NAT.
Coût Facturé en fonction du nombre de passerelles NAT que vous utilisez, de la durée de leur utilisation et de la quantité de données que vous envoyez via les passerelles NAT. Facturé en fonction du nombre d'instances NAT que vous utilisez, de la durée de leur utilisation et du type d'instance ainsi que leur taille.
Type et taille Offre homogène ; vous n'avez pas besoin de décider du type ou de la taille. Choisissez un type et une taille d'instance adaptés à la charge de travail que vous prévoyez.
Adresses IP publiques Choisissez l'adresse IP Elastic à associer à une passerelle NAT publique lors de sa création. Utilisez une adresse IP Elastic ou une adresse IP publique avec une instance NAT. Vous pouvez modifier l'adresse IP publique à tout moment en associant une nouvelle adresse IP Elastic à l'instance.
Adresses IP privées Automatiquement sélectionnées dans la plage d'adresses IP du sous-réseau quand vous créez la passerelle. Assignation d'une adresse IP privée spécifique depuis la plage d'adresses IP du sous-réseau quand vous lancez l'instance.
Groupes de sécurité Vous ne pouvez pas associer de groupes de sécurité à des passerelles NAT. Vous pouvez en associer aux ressources derrière la passerelle NAT pour contrôler le trafic entrant et sortant. Associés à votre instance NAT et aux ressources derrière l'instance NAT pour contrôler le trafic entrant et sortant.
Listes ACL réseau Utilisez une liste ACL réseau pour contrôler le trafic à destination et en provenance du sous-réseau dans lequel votre passerelle NAT réside. Utilisez une liste ACL réseau pour contrôler le trafic à destination et en provenance du sous-réseau dans lequel votre instance NAT réside.
Journaux de flux Utilisez des journaux de flux pour capturer le trafic. Utilisez des journaux de flux pour capturer le trafic.
Réacheminement de port Non pris en charge. Personnalisez manuellement la configuration pour prendre en charge le réacheminement de port.
Serveurs bastion Non pris en charge. Utilisés comme un serveur bastion.
Métriques du trafic Affichez les métriques CloudWatch pour la passerelle NAT. Affichez les métriques CloudWatch pour l'instance.
Comportement en cas d'expiration Lorsqu'une connexion expire, une passerelle NAT retourne un paquet RST à toutes les ressources derrière la passerelle NAT qui tentent de poursuivre la connexion (elle n'envoie pas de paquet FIN). Lorsqu'une connexion expire, une instance NAT envoie un paquet FIN aux ressources derrière l'instance NAT afin de fermer la connexion.
Fragmentation IP

Prend en charge la transmission de paquets fragmentés IP pour le protocole UDP.

Ne prend pas en charge la fragmentation pour les protocoles TCP et ICMP. Les paquets fragmentés pour ces protocoles seront supprimés.

Prend en charge la reconstitution des paquets fragmentés IP pour les protocoles TCP, UDP et ICMP.

Migration d’une instance NAT vers une passerelle NAT

Si vous utilisez déjà une instance NAT, nous vous recommandons de la remplacer par une passerelle NAT. Vous pouvez créer une passerelle NAT dans le même sous-réseau que votre instance NAT, puis remplacer l'acheminement existant dans votre table de routage qui pointe vers l'instance NAT par un acheminement qui pointe vers la passerelle NAT. Pour utiliser la même adresse IP Elastic pour la passerelle NAT que celle que vous utilisez actuellement pour votre instance NAT, vous devez d'abord dissocier l'adresse IP élastique de votre instance NAT, puis l'associer à votre passerelle NAT au moment de créer la passerelle.

Si vous modifiez votre routage d'une instance NAT à une passerelle NAT, ou si vous dissociez l'adresse IP Elastic de votre instance NAT, toutes les connexions en cours sont abandonnées et doivent être rétablies. Assurez-vous de ne pas avoir de tâches importantes (ou toute autre tâche qui fonctionne via l'instance NAT) en cours d'exécution.