Passerelles NAT - Amazon Virtual Private Cloud

Passerelles NAT

Une passerelle NAT est un service de traduction d'adresses réseau (NAT). Vous pouvez utiliser une passerelle NAT, afin que les instances d'un sous-réseau privé puissent se connecter à des services en dehors de votre VPC, mais que les services externes ne puissent pas initier une connexion avec ces instances.

Lorsque vous créez une passerelle NAT, vous spécifiez l'un des types de connectivité suivants :

  • Publique (par défaut) : des instances dans des sous-réseaux privés peuvent se connecter à Internet via une passerelle NAT publique, mais ne peuvent pas recevoir de connexions entrantes non sollicitées à partir d'Internet. Vous créez une passerelle NAT publique dans un sous-réseau public, et devez associer une adresse IP Elastic à la passerelle NAT lors de sa création. Vous acheminez le trafic de la passerelle NAT vers la passerelle Internet pour le VPC. Vous pouvez également utiliser une passerelle NAT publique pour vous connecter à d'autres VPC ou à votre réseau local. Dans ce cas, vous acheminez le trafic de la passerelle NAT via une passerelle de transit ou une passerelle réseau privé virtuel.

  • Privée : des instances dans des sous-réseaux privés peuvent se connecter à d'autres VPC ou à votre réseau local via une passerelle NAT privée. Vous pouvez acheminer le trafic de la passerelle NAT via une passerelle de transit ou une passerelle réseau privé virtuel. Vous pouvez associer une adresse IP Elastic à une passerelle NAT privée. Vous pouvez attacher une passerelle Internet à un VPC avec une passerelle NAT privée, mais si vous acheminez le trafic de la passerelle NAT privée à la passerelle Internet, cette dernière laisse tomber le trafic.

La passerelle NAT remplace l'adresse IP source des instances par l'adresse IP de la passerelle NAT. Pour une passerelle NAT publique, il s'agit de l'adresse IP Elastic de la passerelle NAT. Pour une passerelle NAT privée, il s'agit de l'adresse IP privée de la passerelle NAT. Lors de l'envoi du trafic de réponse aux instances, le périphérique NAT retraduit les adresses en adresse IP source d'origine.

Tarification

Lorsque vous provisionnez une passerelle NAT, chaque heure de disponibilité de votre passerelle NAT et chaque gigaoctet de données qu'elle traite vous sont facturés. Pour de plus amples informations, veuillez consulter la Tarification Amazon VPC.

Les stratégies suivantes peuvent vous aider à réduire les frais de transfert de données de votre passerelle NAT :

  • Si vos ressources AWS échangent un volume de trafic important entre zones de disponibilité, assurez-vous que les ressources se trouvent dans la même zone de disponibilité que la passerelle NAT ou créez une passerelle NAT dans la même zone de disponibilité que les ressources.

  • Si la majeure partie du trafic passant par votre passerelle NAT est à destination de services AWS qui prennent en charge les points de terminaison d'interface ou de passerelle, envisagez de créer un point de terminaison d'interface ou un point de terminaison de passerelle pour ces services. Pour de plus amples informations sur les économies potentielles, consultez Tarification AWS PrivateLink.

Principes de base d'une passerelle NAT

Chaque passerelle NAT est créée dans une zone de disponibilité spécifique et implémentée de manière redondante dans cette zone. Le nombre de passerelles NAT que vous pouvez créer dans chaque zone de disponibilité est régi par un quota. Pour plus d'informations, consultez Quotas Amazon VPC.

Si vous avez des ressources dans plusieurs zones de disponibilité et qu'elles partagent une passerelle NAT, si une panne affecte la zone de disponibilité de la passerelle NAT, les ressources des autres zones de disponibilité perdent leur accès à Internet. Pour créer une architecture de zone de disponibilité indépendante, créez une passerelle NAT dans chaque zone de disponibilité et configurez votre routage pour vous assurer que les ressources utilisent la passerelle NAT dans la même zone de disponibilité.

Les caractéristiques et règles suivantes s'appliquent aux passerelles NAT :

  • Une passerelle NAT prend en charge les protocoles suivants : TCP, UDP et ICMP.

  • Les passerelles NAT sont prises en charge pour le trafic IPv4 ou IPv6. Pour le trafic IPv6, la passerelle NAT exécute NAT64. Si vous l'utilisez conjointement avec DNS64 (disponible sur le résolveur Route 53), vos charges de travail IPv6 dans un sous-réseau Amazon VPC peuvent communiquer avec les ressources IPv4. Ces services IPv4 peuvent être présents dans le même VPC (dans un sous-réseau distinct) ou dans un autre VPC, dans votre environnement sur site ou sur Internet.

  • Une passerelle NAT prend en charge jusqu'à 5 Gbit/s de bande passante et augmente automatiquement jusqu'à 100 Gbit/s. Si vous avez besoin de plus de bande passante, vous pouvez diviser vos ressources en plusieurs sous-réseaux et créer une passerelle NAT dans chaque sous-réseau.

  • Une passerelle NAT peut traiter un million de paquets par seconde et augmenter automatiquement jusqu'à dix millions de paquets par seconde. Au-delà de cette limite, une passerelle NAT supprime les paquets. Pour éviter une perte de paquets, fractionnez vos ressources en plusieurs sous-réseaux et créez une passerelle NAT distincte pour chacun d'eux.

  • Une passerelle NAT peut prendre en charge jusqu'à 55 000 connexions simultanées pour chaque destination unique. Cette limite existe également si vous créez environ 900 connexions par seconde avec une seule destination (environ 55 000 connexions par minute). Si l'adresse IP de destination, le port de destination ou le protocole (TCP/UDP/ICMP) change, vous pouvez créer 55 000 connexions supplémentaires. Pour plus de 55 000 connexions, le risque d'erreur de connexion est plus élevé en raison des erreurs d'allocation de port. Ces erreurs peuvent être surveillées en affichant la métrique CloudWatch ErrorPortAllocation pour votre passerelle NAT. Pour plus d'informations, consultez Surveillance des passerelles NAT avec Amazon CloudWatch.

  • Vous pouvez associer exactement une adresse IP Elastic à une passerelle NAT publique. Vous ne pouvez pas dissocier une adresse IP Elastic d'une passerelle NAT après qu'elle ait été créée. Si vous souhaitez utiliser une adresse IP Elastic différente pour votre passerelle NAT, vous devez créer une nouvelle passerelle NAT avec l'adresse requise, mettre à jour vos tables de routage, puis supprimer la passerelle NAT existante si vous n'en avez plus besoin.

  • Une passerelle NAT privée reçoit une adresse IP privée disponible du sous-réseau dans lequel elle est configurée. L'adresse IP privée attribuée persiste jusqu'à ce que vous supprimiez la passerelle NAT privée. Vous ne pouvez ni détacher l’adresse IP privée, ni attacher des adresses IP privées supplémentaires.

  • Vous ne pouvez pas associer de groupe de sécurité à une passerelle NAT. Vous pouvez associer des groupes de sécurité à vos instances afin de contrôler le trafic entrant et sortant.

  • Vous pouvez utiliser une ACL réseau pour contrôler le trafic entrant et sortant du sous-réseau pour votre passerelle NAT. Les passerelles NAT utilisent les ports 1024–65535. Pour plus d'informations, consultez Contrôle du trafic vers les sous-réseaux avec des ACL de réseau.

  • Une passerelle NAT reçoit une interface réseau à laquelle est automatiquement attribuée une adresse IP privée de la plage d'adresses IP du sous-réseau. Vous pouvez afficher l'interface réseau pour la passerelle NAT à l’aide de la console Amazon EC2. Pour de plus amples d'informations, consultezAffichage des informations relatives à une interface réseau. Vous ne pouvez pas modifier les attributs de cette interface réseau.

  • Il n’est pas possible d’accéder à une passerelle NAT via une connexion ClassicLink associée à votre VPC.

  • Vous ne pouvez pas acheminer de trafic vers une passerelle NAT par le biais d’une connexion d'appairage de VPC, une connexion Site-to-Site VPN ou AWS Direct Connect. Une passerelle NAT ne peut pas être utilisée par des ressources de l'autre côté de ces connexions.

Contrôler l'utilisation des passerelles NAT

Les utilisateurs IAM ne sont pas autorisés à utiliser des passerelles NAT par défaut. Vous pouvez créer une stratégie utilisateur IAM qui autorise les utilisateurs à créer, décrire et supprimer des passerelles NAT. Pour plus d'informations, consultez Identity and Access Management pour Amazon VPC.

Utiliser des passerelles NAT

Vous pouvez utiliser la console Amazon VPC pour créer et gérer vos passerelles NAT.

Créer une passerelle NAT

Pour créer une passerelle NAT, entrez un nom facultatif, un sous-réseau et un type de connectivité facultatif. Avec une passerelle NAT publique, vous devez spécifier une adresse IP Elastic disponible. Une passerelle NAT privée reçoit une adresse IP privée principale sélectionnée au hasard dans son sous-réseau. Vous ne pouvez ni détacher l'adresse IP privée principale, ni ajouter des adresses IP privées secondaires.

Créer une passerelle NAT

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Passerelles NAT.

  3. Choisissez Créer une passerelle NAT, puis effectuez les opérations suivantes :

    1. (Facultatif) Spécifiez un nom pour la passerelle NAT. Cela crée une identification où la clé est Name et la valeur est le nom que vous spécifiez.

    2. Sélectionnez le sous-réseau public dans lequel créer la passerelle NAT.

    3. Pour Type de connectivité, sélectionnez Privée pour créer une passerelle NAT privée, ou Publique (par défaut) pour créer une passerelle NAT publique.

    4. (Passerelle NAT publique uniquement) Pour Elastic IP allocation ID (ID d'allocation d'adresse IP Elastic), sélectionnez une adresse IP Elastic à associer à la passerelle NAT

    5. (Facultatif) Pour chaque balise, choisissez Ajouter une balise et entrez le nom et la valeur de la clé.

    6. Choisissez Créer une passerelle NAT.

  4. Le statut initial de la passerelle NAT est Pending. Dès que le statut devient Available, la passerelle NAT est prête à être utilisée. Veillez à mettre à jour vos tables de routage si nécessaire. Pour obtenir des exemples, consultez Cas d'utilisation de la passerelle NAT.

    Si le statut de la passerelle NAT devient Failed, une erreur s’est produite pendant la création. Pour plus d'informations, consultez Échec de la création d’une passerelle NAT.

Baliser une passerelle NAT

Vous pouvez baliser votre passerelle NAT afin de l'identifier ou de la classer en fonction des besoins de votre organisation. Pour de plus amples informations sur l'utilisation des balises, veuillez consulter Balisage de vos ressources Amazon EC2 dans le Guide de l’utilisateur Amazon EC2 pour les instances Linux.

Les balises d’allocation des coûts sont prises en charge pour les passerelles NAT. Par conséquent, vous pouvez également utiliser des balises pour organiser votre facture AWS et refléter votre propre structure de coût. Pour de plus amples informations, veuillez consulter Utilisation des étiquettes d’allocation des coûts dans le AWS Billing Guide de l’utilisateur. Pour plus d'informations sur la configuration d'un rapport d’allocation des coûts avec des étiquettes, veuillez consulter la section Rapport d’allocation des coûts mensuel dans À propos de la facturation de compte AWS.

Supprimer une passerelle NAT

Si vous n'avez plus besoin d'une passerelle NAT, vous pouvez la supprimer. Après que vous avez supprimé une passerelle NAT, son entrée reste visible dans la console Amazon VPC pendant environ une heure, après quoi elle est automatiquement supprimée. Vous ne pouvez pas supprimer cette entrée vous-même.

Supprimer une passerelle NAT dissocie son adresse IP Elastic mais ne libère pas l'adresse de votre compte. Si vous supprimez une passerelle NAT, les routes de la passerelle NAT restent en statut blackhole jusqu'à ce que vous supprimiez ou mettiez les routes à jour.

Supprimer une passerelle NAT

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez NAT Gateways.

  3. Sélectionnez le bouton radio de la passerelle NAT, puis choisissez Actions, Supprimer la passerelle NAT.

  4. Lorsque vous êtes invité à confirmer, entrez delete, puis choisissez Delete (Supprimer).

  5. Si vous n'avez plus besoin de l'adresse IP Elastic associée à la passerelle NAT publique, nous vous recommandons de la libérer. Pour plus d'informations, consultez Libérer une adresse IP Elastic.

Présentation des API et de l'interface de ligne de commande (CLI)

Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou de l'API. Pour plus d'informations sur les interfaces de ligne de commande et une liste des opérations de l'API disponibles, consultez Utilisation d'Amazon VPC.

Créer une passerelle NAT

Décrire une passerelle NAT

Baliser une passerelle NAT

Supprimer une passerelle NAT