Gateway NAT - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gateway NAT

Gateway NAT adalah layanan Network Address Translation (NAT). Anda dapat menggunakan gateway NAT sehingga instans di subnet privat dapat terhubung ke layanan di luar VPC Anda tetapi layanan eksternal tidak dapat memulai koneksi dengan instans-instans tersebut.

Ketika Anda membuat gateway NAT, Anda menentukan salah satu dari jenis konektivitas berikut:

  • Publik — (Default) Instans dalam subnet privat dapat terhubung ke internet melalui gateway NAT publik, tetapi tidak dapat menerima koneksi masuk yang tidak diminta dari internet. Anda membuat gateway NAT publik di subnet publik dan harus mengaitkan alamat IP elastis dengan gateway NAT pada saat dibuat. Anda merutekan lalu lintas dari gateway NAT ke gateway internet untuk VPC. Atau, Anda dapat menggunakan gateway NAT publik untuk terhubung ke VPC lain atau jaringan on-premise Anda. Dalam hal ini, Anda merutekan lalu lintas dari gateway NAT melalui transit gateway atau virtual private gateway.

  • Privat — Instans dalam subnet privat dapat terhubung ke VPC lain atau jaringan on-premise Anda melalui gateway NAT privat. Anda dapat merutekan lalu lintas dari gateway NAT melalui transit gateway atau virtual private gateway. Anda tidak dapat mengaitkan alamat IP elastis dengan gateway NAT privat. Anda dapat melampirkan gateway internet ke VPC dengan gateway NAT privat, tetapi jika Anda merutekan lalu lintas dari gateway NAT privat ke gateway internet, gateway internet akan menjatuhkan lalu lintas.

gateway NAT menggantikan alamat IP sumber instans dengan alamat IP gateway NAT. Untuk gateway NAT publik, ini adalah alamat IP elastis gateway NAT. Untuk gateway NAT privat, ini adalah alamat IP privat gateway NAT. Saat mengirim lalu lintas respons ke instans, perangkat NAT menerjemahkan alamat kembali ke alamat IP sumber asal.

Harga

Ketika Anda menyediakan gateway NAT, Anda akan dikenakan biaya untuk setiap jam gateway NAT Anda tersedia dan setiap Gigabyte data yang diproses. Untuk informasi lebih lanjut, lihat Harga Amazon VPC.

Strategi berikut dapat membantu Anda mengurangi biaya transfer data untuk gateway NAT Anda:

  • JikaAWSsumber daya mengirim atau menerima volume lalu lintas yang signifikan di Availability Zone, memastikan bahwa sumber daya berada di Availability Zone yang sama sebagai gateway NAT, atau membuat gateway NAT di Availability Zone yang sama sebagai sumber daya.

  • Jika sebagian besar lalu lintas melalui gateway NAT AndaAWSlayanan yang mendukung endpoint antarmuka atau titik akhir gateway, pertimbangkan untuk membuat endpoint antarmuka atau titik akhir gateway untuk layanan ini. Untuk informasi lebih lanjut tentang penghematan biaya, lihatAWS PrivateLinkharga.

Dasar gateway NAT

Setiap gateway NAT dibuat di Availability Zone tertentu dan diimplementasikan dengan redundansi di zona tersebut. Ada kuota jumlah gateway NAT yang dapat Anda buat di setiap Availability Zone. Untuk informasi selengkapnya, lihat Kuota Amazon VPC.

Jika Anda memiliki sumber daya di beberapa Availability Zone dan mereka berbagi satu gateway NAT, dan jika Availability Zone gateway NAT down, sumber daya di Availability Zone lainnya kehilangan akses internet. Untuk membuat arsitektur yang tidak tergantung Availability Zone, buat gateway NAT di setiap Availability Zone dan konfigurasi perutean Anda untuk memastikan bahwa sumber daya tersebut menggunakan gateway NAT di Availability Zone yang sama.

Karakteristik dan aturan berikut berlaku untuk gateway NAT:

  • Gateway NAT support protokol berikut: TCP, UDP, dan ICMP.

  • Gateway NAT didukung untuk lalu lintas IPv4 atau IPv6. Untuk lalu lintas IPv6, gateway NAT melakukan NAT64. Dengan menggunakan ini bersamaan dengan DNS64 (tersedia di resolver Route 53), beban kerja IPv6 Anda di subnet di Amazon VPC dapat berkomunikasi dengan sumber daya IPv4. Layanan IPv4 ini mungkin ada di VPC yang sama (dalam subnet terpisah) atau VPC yang berbeda, di lingkungan lokal Anda atau di internet.

  • Gateway NAT support bandwidth 5 Gbps dan kenaikan otomatis hingga 100 Gbps. Jika Anda membutuhkan lebih banyak bandwidth, Anda dapat membagi sumber daya Anda menjadi beberapa subnet dan membuat gateway NAT di setiap subnet.

  • Gateway NAT dapat memproses satu juta paket per detik dan secara otomatis menskalakan hingga sepuluh juta paket per detik. Di luar batas ini, gateway NAT akan menjatuhkan paket. Untuk mencegah kehilangan paket, pisahkan sumber daya Anda menjadi beberapa subnet dan buatlah gateway NAT terpisah untuk setiap subnet.

  • Gateway NAT dapat support hingga 55.000 koneksi sekaligus untuk setiap tujuan yang unik. Batasan ini juga berlaku jika Anda membuat sekitar 900 koneksi per detik ke satu tujuan (sekitar 55.000 koneksi per menit). Jika alamat IP tujuan, port tujuan, atau protokol (TCP/UDP/ICMP) berubah, Anda dapat membuat tambahan 55.000 koneksi. Untuk lebih dari 55.000 koneksi, ada kemungkinan peningkatan kesalahan koneksi karena kesalahan alokasi port. Kesalahan ini dapat dipantau dengan melihatErrorPortAllocation CloudWatch metrik untuk gateway NAT Anda. Untuk informasi selengkapnya, lihat Memantau gateway NAT dengan Amazon CloudWatch.

  • Anda dapat mengaitkan persis satu alamat IP Elastis dengan gateway NAT publik. Anda tidak dapat memisahkan alamat IP Elastis dari gateway NAT setelah dibuat. Untuk menggunakan alamat IP Elastis yang berbeda untuk gateway NAT Anda, Anda harus membuat gateway NAT baru dengan alamat yang diperlukan, memperbarui tabel rute Anda, dan kemudian menghapus gateway NAT yang ada jika itu tidak lagi diperlukan.

  • Gateway NAT privat menerima alamat IP privat yang tersedia dari subnet tempat alamat tersebut dikonfigurasi. Alamat IP pribadi yang ditetapkan tetap ada sampai Anda menghapus gateway NAT pribadi. Anda tidak dapat melepaskan alamat IP privat dan Anda tidak dapat mengaitkan alamat IP privat tambahan.

  • Anda tidak dapat mengaitkan grup keamanan dengan gateway NAT. Anda dapat mengaitkan grup keamanan ke instans Anda untuk mengontrol lalu lintas masuk dan keluar.

  • Anda dapat menggunakan ACL jaringan untuk mengontrol lalu lintas ke dan dari subnet untuk gateway NAT Anda. Gateway NAT menggunakan port 1024–65535. Untuk informasi selengkapnya, lihat Mengontrol lalu lintas ke subnet menggunakan Network ACL.

  • Sebuah gateway NAT menerima antarmuka jaringan yang secara otomatis ditetapkan alamat IP privat dari rentang alamat IP subnet. Anda dapat melihat antarmuka jaringan untuk gateway NAT menggunakan konsol Amazon EC2. Untuk informasi selengkapnya, lihat Menampilkan detail tentang antarmuka jaringan. Anda tidak dapat mengubah atribut antarmuka jaringan ini.

  • Gateway NAT tidak dapat diakses melalui ClassicLink koneksi yang terkait dengan VPC Anda.

  • Anda tidak dapat merutekan lalu lintas ke gateway NAT melalui koneksi peering VPC, koneksi Site-to-Site VPN, atau AWS Direct Connect. Gateway NAT tidak dapat digunakan oleh sumber daya di sisi lain dari koneksi ini.

Mengontrol penggunaan gateway NAT

Secara default, pengguna IAM tidak memiliki izin untuk bekerja dengan gateway NAT. Anda dapat membuat kebijakan pengguna IAM yang memberikan izin kepada pengguna untuk membuat, mendeskripsikan, dan menghapus gateway NAT. Untuk informasi selengkapnya, lihat Identity and access management untuk Amazon VPC.

Bekerja dengan gateway NAT

Anda dapat menggunakan konsol Amazon VPC untuk membuat dan mengelola gateway NAT Anda.

Buat gateway NAT

Untuk membuat gateway NAT, masukkan nama opsional, subnet, dan jenis konektivitas opsional. Dengan gateway NAT publik, Anda harus menentukan alamat IP elastis yang tersedia. Sebuah gateway NAT privat menerima alamat IP privat utama yang dipilih secara acak dari subnet-nya. Anda tidak dapat melepaskan alamat IP privat primer atau menambahkan alamat IP privat sekunder.

Untuk membuat gateway NAT

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Gateway NAT.

  3. Pilih Buat Gateway NAT dan lakukan hal berikut:

    1. (Opsioonal) Tentukan nama untuk gateway NAT. Tindakan ini akan mebuat tag di mana kuncinya adalah Name dan nilainya adalah nama yang Anda tentukan.

    2. Pilih subnet untuk menciptakan gateway NAT.

    3. Untuk Jenis konektivitas, pilih Privat untuk membuat gateway NAT privat atau publik (default) untuk membuat gateway NAT publik.

    4. (Gateway NAT Publik saja) Untuk ID alokasi IP Elastis, pilih alamat IP Elastis untuk dikaitkan dengan gateway NAT.

    5. (Opsional) Untuk setiap tag, pilih Tambahkan tag baru dan masukkan nama dan nilai kunci.

    6. Pilih Buat Gateway NAT.

  4. Status awal gateway NAT adalah Pending. Setelah perubahan status Available, gateway NAT siap digunakan. Pastikan untuk memperbarui tabel rute Anda sesuai kebutuhan. Sebagai contoh, lihat Kasus penggunaan gateway NAT.

    Jika status gateway NAT berubah menjadi Failed, ada kesalahan selama pembuatan. Untuk informasi selengkapnya, lihat Pembuatan gateway NAT gagal.

Menandai gateway NAT

Anda dapat menandai gateway NAT Anda untuk membantu mengidentifikasi atau mengkategorikannya sesuai dengan kebutuhan organisasi Anda. Untuk informasi tentang cara bekerja dengan tag, lihat Menandai sumber daya Amazon EC2 Anda dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Tag alokasi biaya didukung untuk gateway NAT. Oleh karena itu, Anda juga dapat menggunakan tag untuk mengatur AWS Anda untuk merefleksikan struktur biaya Anda sendiri. Untuk informasi selengkapnya, lihat Menggunakan tag alokasi biaya dalam Panduan Pengguna AWS Billing. Untuk informasi selengkapnya tentang pengaturan laporan alokasi biaya dengan tag, lihat Laporan alokasi biaya bulanan di Tentang AWS Penagihan Akun.

Menghapus gateway NAT

Jika Anda tidak lagi memerlukan gateway NAT, Anda dapat menghapusnya. Setelah Anda menghapus gateway NAT, entri tetap terlihat di konsol Amazon VPC selama sekitar satu jam, setelah itu otomatis dihapus. Anda tidak dapat menghapus entri ini sendiri.

Menghapus gateway NAT akan memisahkan alamat IP Elastis-nya, tetapi tidak melepaskan alamat dari akun Anda. Jika Anda menghapus gateway NAT, rute gateway NAT tetap dalam keadaan blackhole sampai Anda menghapus atau memperbarui rute.

Untuk menghapus gateway NAT

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Gateway NAT.

  3. Pilih tombol radio untuk gateway NAT, lalu pilih Tindakan, Hapus gateway NAT.

  4. Ketika diminta konfirmasi, masukkan delete lalu pilih Hapus.

  5. Jika Anda tidak lagi memerlukan alamat IP Elastis yang terkait dengan gateway NAT publik, kami sarankan Anda melepaskannya. Untuk informasi selengkapnya, lihat Melepas alamat IP Elastis.

Gambaran umum API dan CLI

Anda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untuk informasi selengkapnya tentang antarmuka baris perintah dan daftar operasi API yang tersedia, lihat Bekerja dengan Amazon VPC.

Buat gateway NAT

Menjelaskan gateway NAT

Menandai gateway NAT

Menghapus gateway NAT