Gateway NAT regionali per l'espansione automatica Multi-AZ - Amazon Virtual Private Cloud
VantaggiQuando utilizzare i gateway NAT regionaliCome funzionano i gateway NAT regionaliPrezziCrea un gateway NAT regionaleConversione da gateway NAT zonali a regionali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gateway NAT regionali per l'espansione automatica Multi-AZ

Utilizza i gateway NAT regionali quando desideri semplificare l'architettura di rete, migliorare il livello di sicurezza e configurare l'alta disponibilità per impostazione predefinita. Un gateway NAT regionale si espande automaticamente tra le zone di disponibilità in base alla presenza del carico di lavoro. A differenza dei gateway NAT standard (denominati gateway NAT zonali), che operano in un'unica zona di disponibilità, i gateway NAT regionali seguono i carichi di lavoro per fornire un'elevata disponibilità automatica.

Il diagramma A a sinistra rappresenta la configurazione corrente con il gateway NAT zonale. Innanzitutto si creano gateway NAT zonali per zona di disponibilità e si ospitano i propri in sottoreti pubbliche. NATs Quindi configuri percorsi separati per zona di disponibilità dalle sottoreti private al NAT in quella zona di disponibilità. Ripeti questo passaggio ogni volta che i carichi di lavoro si espandono in una nuova zona di disponibilità, per un'elevata disponibilità. Inoltre, è necessario aggiungere percorsi per il gateway Internet nella tabella di routing della sottorete NAT per zona di disponibilità.

D'altra parte, con un gateway NAT regionale, non è necessario creare una sottorete pubblica per ospitarlo. Inoltre, non è necessario creare ed eliminare i gateway NAT e modificare le tabelle di routing ogni volta che i carichi di lavoro si espandono verso nuove zone di disponibilità. Invece, devi semplicemente creare un gateway NAT con modalità regionale, scegliere il tuo VPC e questo si espande e si contrae automaticamente in AZs base alla presenza del carico di lavoro per offrire un'elevata disponibilità. Come illustrato nel diagramma B, è possibile indirizzare il traffico proveniente dalle risorse in una sottorete privata verso l'intero AZs ID del gateway NAT regionale, oppure utilizzare la stessa tabella di routing tra le sottoreti della zona di residenza per eseguire la traduzione degli indirizzi di rete. Una volta creato il gateway NAT regionale, AWS viene creata automaticamente una tabella di routing, che include un percorso preconfigurato verso il gateway Internet. Puoi usare questa tabella di rotte per aggiungere percorsi di ritorno ai tuoi middlebox.

Vantaggi

I gateway NAT regionali offrono i seguenti vantaggi:

  • Configurazione semplificata: utilizza un unico ID NAT in tutte le zone di disponibilità dotate di interfacce di rete, in modo da poter utilizzare la stessa route di ingresso per sottoreti in zone di disponibilità diverse.

  • Sicurezza avanzata: non sono richieste sottoreti pubbliche. Un gateway NAT regionale è una risorsa autonoma con una propria tabella di routing e non è necessaria una sottorete pubblica nel VPC per ospitare un gateway NAT regionale, il che riduce le possibilità di configurazione errata delle risorse private nelle sottoreti con connettività pubblica.

  • Alta disponibilità automatica: si espande e si contrae automaticamente in base all'ingombro del carico di lavoro per mantenere l'affinità zonale che fornisce un'elevata disponibilità per impostazione predefinita.

  • Limiti di porte e IP più elevati: i gateway NAT regionali supportano fino a 32 indirizzi IP per zona di disponibilità (rispetto agli 8 dei gateway NAT zonali). Ogni indirizzo IP aumenta il limite di connessioni simultanee a una destinazione popolare (identificata da una combinazione unica di IP di destinazione, porta di destinazione e protocollo) di 55.000.

Quando utilizzare i gateway NAT regionali

Prendi in considerazione l'utilizzo di gateway NAT regionali per tutti i casi d'uso ad eccezione di quelli che richiedono una connettività privata. I gateway NAT regionali non offrono connettività privata e consigliamo di utilizzare i gateway NAT in modalità di disponibilità zonale per i casi d'uso NAT privati.

Come funzionano i gateway NAT regionali

Quando si lanciano risorse in una nuova zona di disponibilità, il gateway NAT regionale rileva la presenza di un'interfaccia di rete (ENI) in quella zona di disponibilità e si espande automaticamente in quella zona. Allo stesso modo, il gateway NAT stipula i contratti dalla zona di disponibilità che non ha carichi di lavoro attivi.

L'espansione del gateway NAT regionale in una nuova zona di disponibilità può richiedere fino a 60 minuti dopo che una risorsa è stata istanziata in quella zona. Fino al completamento di questa espansione, il traffico rilevante proveniente da questa risorsa viene elaborato tra le zone dal gateway NAT regionale in una delle zone di disponibilità esistenti.

I gateway NAT regionali supportano due modalità:

  • Modalità automatica: in questa modalità, gestisce AWS automaticamente gli indirizzi IP e l'espansione della zona di disponibilità (consigliata). Se desideri utilizzare i tuoi indirizzi IP in questa modalità e utilizzi Amazon VPC IPAM, consulta Definire la strategia di IPv4 allocazione pubblica con le politiche IPAM nella Amazon VPC IPAM User Guide.

  • Modalità manuale: in questa modalità, gestisci manualmente gli indirizzi IP e controlli la traduzione degli indirizzi di rete per ogni zona di disponibilità. In modalità manuale, l'utente è responsabile dell'espansione e della contrazione del gateway NAT tra le zone di disponibilità.

Prezzi

Per informazioni sui prezzi, consulta la pagina dei prezzi di Amazon VPC.

Crea un gateway NAT regionale

Utilizzo della console

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegli Gateway NAT.

  3. Scegli Crea gateway NAT.

  4. Per la modalità Disponibilità, scegli Regionale. Non è necessario specificare alcuna sottorete quando si sceglie la disponibilità regionale

  5. Selezione di un VPC.

  6. Completa la configurazione rimanente e scegli Crea gateway NAT.

Utilizzo della AWS CLI

Crea un gateway NAT regionale

aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional

Visualizza i dettagli del gateway NAT

aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678

Aggiungi indirizzi IP (modalità manuale)

aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678

Rimuovere gli indirizzi IP

aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678

Eliminare un gateway NAT regionale

aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678

Conversione da gateway NAT zonali a regionali

Importante

Questo ripristinerà le connessioni esistenti. Ti consigliamo di completare questi passaggi nella finestra di manutenzione.

È possibile convertire i gateway NAT zonali esistenti in un gateway NAT regionale utilizzando uno dei due approcci seguenti:

Se sei d'accordo con l'utilizzo di gateway NAT regionali con nuovi indirizzi IP:

  1. Crea un nuovo gateway NAT regionale

  2. Aggiorna le tabelle delle rotte in modo che puntino al gateway NAT regionale

  3. Eliminare i vecchi gateway NAT zonali

Questo approccio utilizza nuovi indirizzi IP e ripristina le connessioni esistenti quando le route vengono aggiornate.

Se desideri riutilizzare gli indirizzi IP esistenti con gateway NAT regionali:

  1. Eliminare i gateway NAT zonali esistenti per rilasciare i relativi indirizzi IP

  2. Crea un gateway NAT regionale utilizzando gli indirizzi IP rilasciati

  3. Aggiorna le tabelle di routing in modo che puntino al gateway NAT regionale

Questo approccio preserva gli indirizzi IP ma richiede una finestra di manutenzione in quanto il traffico viene interrotto durante la transizione.