Gateway NAT - Amazon Virtual Private Cloud

Gateway NAT

Un gateway NAT è un servizio Network Address Translation (NAT). È possibile utilizzare un gateway NAT in modo che le istanze di una sottorete privata possano connettersi a servizi esterni al VPC, ma i servizi esterni non possono avviare una connessione con tali istanze.

Quando crei un gateway NAT, devi specificare uno dei seguenti tipi di connettività:

  • Pubblico: (impostazione predefinita) le istanze nelle sottoreti private possono connettersi a Internet tramite un gateway NAT pubblico, ma non possono ricevere connessioni in ingresso non richieste da Internet. Puoi creare un gateway NAT pubblico in una sottorete pubblica e associare un indirizzo IP elastico al gateway NAT al momento della creazione. Puoi instradare il traffico dal gateway NAT al gateway Internet per il VPC. In alternativa, puoi usare un gateway NAT pubblico per connetterti ad altri VPC o alla rete locale. In questo caso, il traffico viene instradato dal gateway NAT attraverso un gateway di transito o un gateway virtuale privato.

  • Privato: le istanze nelle sottoreti private possono connettersi ad altri VPC o alla rete locale tramite un gateway NAT privato. Puoi instradare il traffico dal gateway NAT attraverso un gateway di transito o un gateway virtuale privato. Non puoi associare un indirizzo IP elastico a un gateway NAT privato. Puoi collegare un gateway Internet a un VPC con un gateway NAT privato, ma se instradi il traffico dal gateway NAT privato al gateway Internet, il gateway Internet interrompe il traffico.

Il gateway NAT sostituisce l'indirizzo IPv4 di origine delle istanze con l'indirizzo IP del gateway NAT. Per un gateway NAT pubblico, questo è l'indirizzo IP elastico del gateway NAT. Per un gateway NAT privato, questo è l'indirizzo IP privato del gateway NAT. Quando si invia il traffico di risposta alle istanze, il dispositivo NAT converte gli indirizzi nell'indirizzo IP di origine iniziale.

Prezzi

Quando si effettua il provisioning di un gateway NAT, viene addebitata ogni ora in cui il gateway NAT è disponibile e ogni Gigabyte di dati che elabora. Per ulteriori informazioni, consulta la pagina dei Prezzi di Amazon VPC.

Le seguenti strategie consentono di ridurre i costi di trasferimento dati per il gateway NAT:

  • Se le risorse di AWS inviano o ricevono un volume significativo di traffico tra le zone di disponibilità, assicurarsi che le risorse si trovino nella stessa zona di disponibilità del gateway NAT oppure creare un gateway NAT nella stessa zona di disponibilità delle risorse.

  • Se la maggior parte del traffico attraverso il gateway NAT è rivolto a servizi AWS che supportano endpoint di interfaccia o endpoint gateway, valutare la possibilità di creare un endpoint di interfaccia o un endpoint gateway per questi servizi. Per ulteriori informazioni sui potenziali risparmi sui costi di utilizzo, consultare AWS PrivateLinkPrezzi.

Nozioni di base sul gateway NAT

Ogni gateway NAT viene creato in una zona di disponibilità specifica e implementato con ridondanza in tale zona. Esiste una quota per il numero di gateway NAT che possono essere creati in una zona di disponibilità. Per ulteriori informazioni, consulta Quote Amazon VPC.

Se disponi di risorse in più zone di disponibilità che condividono un gateway NAT e la zona di disponibilità del gateway NAT non è disponibile, le risorse nelle altre zone di disponibilità perdono l'accesso a Internet. Per creare un'architettura indipendente dalla zona di disponibilità, crea un gateway NAT in ogni zona di disponibilità e configura il routing per garantire che le risorse utilizzino il gateway NAT nella stessa zona di disponibilità.

Ai gateway NAT si applicano le seguenti caratteristiche e regole:

  • Un gateway NAT supporta i seguenti protocolli: TCP, UDP e ICMP.

  • I gateway NAT sono supportati per il traffico IPv4 o IPv6. Per il traffico IPv6, il gateway NAT esegue NAT64. Usandolo insieme a DNS64 (disponibile su Route 53 resolver), i carichi di lavoro IPv6 in una sottorete di Amazon VPC possono comunicare con le risorse IPv4. Questi servizi IPv4 possono essere presenti nello stesso VPC (in una sottorete separata) o in un VPC diverso, nell'ambiente on-premise o su Internet.

  • Un gateway NAT supporta 5 Gbps di larghezza di banda e può aumentare automaticamente fino a 100 Gbps. Se è necessaria più larghezza di banda, puoi suddividere le tue risorse in più sottoreti e creare un gateway NAT in ogni sottorete.

  • Un gateway NAT può elaborare un milione di pacchetti al secondo e aumentare automaticamente fino a dieci milioni di pacchetti al secondo. Oltre questo limite, un gateway NAT rilascerà i pacchetti. Per evitare la perdita di pacchetti, suddividere le risorse in più sottoreti e creare un gateway NAT separato per ogni sottorete.

  • Un gateway NAT può supportare fino a 55.000 connessioni simultanee a ciascuna destinazione univoca. Questo limite si applica anche se si creano circa 900 connessioni al secondo a una singola destinazione (circa 55.000 connessioni al minuto). Se l'indirizzo IP di destinazione, la porta di destinazione o il protocollo (TCP/UDP/ICMP) cambia, puoi creare 55.000 connessioni aggiuntive. Per più di 55.000 connessioni, esiste una maggiore probabilità di errori di connessione a causa di errori di allocazione porta. Questi errori possono essere monitorati visualizzando il parametro ErrorPortAllocation CloudWatch per il gateway NAT. Per ulteriori informazioni, consulta Monitora i gateway NAT tramite Amazon CloudWatch.

  • Puoi associare un solo indirizzo IP elastico a un gateway NAT pubblico. Non puoi annullare l'associazione di un indirizzo IP elastico a un gateway NAT dopo che è stato creato. Per utilizzare un indirizzo IP elastico diverso per il gateway NAT, devi creare un nuovo gateway NAT con l'indirizzo richiesto, aggiornare le tabelle di routing, quindi eliminare il gateway NAT esistente se non è più richiesto.

  • Un gateway NAT privato riceve un indirizzo IP privato disponibile dalla sottorete in cui è configurato. L'indirizzo IP privato assegnato persiste fino all'eliminazione del gateway NAT privato. Non è possibile scollegare l'indirizzo IP privato e non è possibile collegare ulteriori indirizzi IP privati.

  • Non puoi associare un gruppo di sicurezza a un gateway NAT. Puoi associare i gruppi di sicurezza alle tue istanze per controllare il traffico in entrata e in uscita.

  • Puoi utilizzare una lista di controllo degli accessi di rete per controllare il traffico verso e dalla sottorete in cui si trova il gateway NAT. I gateway NAT utilizzano le porte 1024 - 65535. Per ulteriori informazioni, consulta Controllare il traffico verso le sottoreti utilizzando le liste di controllo degli accessi di rete.

  • Quando un gateway NAT viene creato, riceve un'interfaccia di rete cui viene assegnato automaticamente un indirizzo IP privato dall'intervallo di indirizzi IP della sottorete. Puoi visualizzare l'interfaccia di rete del gateway NAT nella console Amazon EC2. Per ulteriori informazioni, consulta la sezione relativa alla Visualizzazione dei dettagli relativi a un'interfaccia virtuale. Non puoi modificare gli attributi di questa interfaccia di rete.

  • Non è possibile accedere a un gateway NAT tramite una connessione ClassicLink associata al VPC.

  • Non puoi instradare traffico a un gateway NAT tramite una connessione di peering VPC, una connessione Site-to-Site VPN o AWS Direct Connect. Un gateway NAT non può essere utilizzato da risorse sull'altro lato di queste connessioni.

Controllo dell'uso dei gateway NAT

Per impostazione predefinita, gli utenti IAM non dispongono dell'autorizzazione per utilizzare gateway NAT. Puoi creare una policy dell'utente IAM che concede agli utenti le autorizzazioni per creare, descrivere ed eliminare gateway NAT. Per ulteriori informazioni, consulta Identity and Access Management per Amazon VPC.

Utilizzo dei gateway NAT

Puoi utilizzare la console Amazon VPC per creare e gestire i gateway NAT.

Creazione di un gateway NAT

Per creare un gateway NAT, specifica un nome facoltativo, una sottorete e un tipo di connettività facoltativo. Con un gateway NAT pubblico, devi specificare un indirizzo IP elastico disponibile. Un gateway NAT privato riceve un indirizzo IP privato primario selezionato in modo casuale dalla sottorete. Non è possibile scollegare l'indirizzo IP privato primario o aggiungere indirizzi IP privati secondari.

Per creare un gateway NAT

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, scegliere NAT Gateways (Gateway NAT).

  3. Scegli Crea Gateway NAT ed effettua le seguenti operazioni:

    1. (Facoltativo) Specifica un nome per il gateway NAT. In questo modo viene creato un tag dove si trova la chiave Name e il valore è il nome specificato.

    2. Seleziona la sottorete in cui creare il gateway NAT.

    3. Per Tipo di connettività seleziona Privato per creare un gateway NAT privato o Pubblico(impostazione predefinita) per creare un gateway NAT pubblico.

    4. (Solo per gateway NAT pubblici) Per ID di allocazione IP elastico, seleziona un ID di allocazione di un indirizzo IP elastico da associare al gateway NAT

    5. (Facoltativo) Per ogni tag, seleziona Aggiungi nuovo tag e immetti il nome e il valore della chiave.

    6. Scegliere Create a NAT Gateway (Crea un gateway NAT).

  4. Lo stato iniziale del gateway NAT è Pending. Dopo che lo stato viene modificato in Available, il gateway NAT è pronto per l'utilizzo. Assicurati di aggiornare le tabelle di instradamento secondo necessità. Per alcuni esempi, consulta Casi d'uso di API Gateway.

    Se lo stato del gateway NAT cambia in Failed, significa che durante la creazione si è verificato un errore. Per ulteriori informazioni, consulta Creazione gateway NAT non riuscita.

Tagging di un gateway NAT

Puoi contrassegnare il gateway NAT per identificarlo o classificarlo più facilmente in base alle Esigenze dell'organizzazione. Per informazioni sull'utilizzo dei tag, consulta Applicazione di tag alle risorse Amazon EC2 nella Guida dell'utente di Amazon EC2 per le istanze Linux.

I tag di allocazione dei costi sono supportati per i gateway NAT. Pertanto, puoi utilizzare i tag per organizzare la fattura AWS e riflettere la tua struttura dei costi. Per ulteriori informazioni, consulta Utilizzo dei tag per l'allocazione dei costi nella AWS BillingGuida per l'utente. Per ulteriori informazioni sulla configurazione di un report di allocazione dei costi tramite i tag, consulta Report di allocazione dei costi mensili in Informazioni sulla fatturazione dell'account AWS.

Eliminazione di un gateway NAT

Se un gateway NAT non è più necessario, puoi eliminarlo. Dopo aver eliminato un gateway NAT, la relativa voce rimane visibile nella console Amazon VPC per un breve periodo di tempo (in genere un'ora) prima di essere rimossa automaticamente. Non puoi rimuovere questa voce manualmente.

L'eliminazione di un gateway NAT annulla l'associazione al relativo indirizzo IP elastico, ma non rilascia l'indirizzo dall'account. Se Elimini un gateway NAT, le route del gateway NAT rimangono in uno stato blackhole finché le route non vengono eliminate o aggiornate.

Per eliminare un gateway NAT

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare NAT Gateways (Gateway NAT).

  3. Seleziona il pulsante di opzione per il gateway NAT, quindi scegli Operazioni, Elimina gateway NAT.

  4. Quando viene richiesta la conferma, immetti delete e seleziona Elimina.

  5. Se l'indirizzo IP elastico associato al gateway NAT non è più necessario, si consiglia di rilasciarlo. Per ulteriori informazioni, consultare Rilascio di un indirizzo IP elastico.

Panoramica su API e CLI

Puoi eseguire le attività descritte in questa pagina tramite la riga di comando o l'API. Per ulteriori informazioni sulle interfacce a riga di comando e per un elenco delle operazioni API disponibili, consulta Uso di Amazon VPC.

Creazione di un gateway NAT

Descrizione di un gateway NAT

Tagging di un gateway NAT

Eliminazione di un gateway NAT