Comparar gateways NAT e instâncias NAT
O resumo a seguir detalha as diferenças entre gateways NAT e instâncias NAT. Recomendamos usar gateways NAT porque eles fornecem melhor disponibilidade e largura de banda e exigem menos esforço para administrar.
| Atributo | gateway NAT | Instância do NAT |
|---|---|---|
| Disponibilidade | Altamente disponível. Em cada Zona de disponibilidade são implementados gateways NAT com redundância. Crie um gateway NAT em cada Zona de disponibilidade para assegurar uma arquitetura independente de zona. | Use um script para gerenciar o failover entre as instâncias. |
| Largura de banda | Escalabilidade de até 100 Gbps. | Depende da largura de banca do tipo da instância. |
| Manutenção | Gerenciado pela AWS. Não há necessidade de realizar manutenção. | Gerenciada por você. Por exemplo, instalação de atualizações de software ou patches de sistema operacional na instância. |
| Performance | O software é otimizado por meio do gerenciamento do tráfego NAT. | Uma AMI genérica que é configurada para desempenhar a tarefa de NAT. |
| Custos | A cobrança depende do número de gateways NAT que você usar, do tempo de uso e da quantidade de dados enviados por meio dos gateways NAT. | A cobrança depende do número de instâncias NAT que você usar, do tempo de uso e do tipo e tamanho da instância. |
| Tipo e tamanho | Produto invariável; não há necessidade de tomar decisões sobre tipo nem tamanho. | Escolha um tipo e tamanho adequados de instância de acordo com sua previsão de workload. |
| Endereços IP públicos | Escolha o endereço IP elástico para associar a um gateway NAT público no momento da criação. | Use um endereço IP elástico ou um endereço IP público com uma instância NAT. Você pode alterar o endereço IP público a qualquer momento associando um novo endereço IP elástico à instância. |
| Endereços IP privados | Selecionados automaticamente no intervalo de endereços IP da sub-rede quando você cria o gateway. | Atribua um endereço IP privado específico do intervalo de endereços IP da sub-rede quando você executar a instância. |
| Grupos de segurança | Não é possível associar grupos de segurança a gateways NAT. Você pode associá-los aos seus recursos por trás do gateway NAT para controlar o tráfego de entrada e de saída. | Associe à sua instância NAT e aos recursos subjacentes à sua instância NAT para controlar o tráfego de entrada e de saída. |
| Network ACLs | Use uma Network ACL para controlar o tráfego para e proveniente da sub-rede na qual seu gateway NAT reside. | Use uma Network ACL para controlar o tráfego para e proveniente da sub-rede na qual instância NAT reside. |
| Logs de fluxo | Use logs de fluxo para capturar o tráfego. | Use logs de fluxo para capturar o tráfego. |
| Encaminhamento de portas | Não compatível. | Personalize manualmente a configuração para comportar encaminhamento de portas. |
| Servidores bastion | Não compatível. | Use um servidores bastion. |
| Métricas de tráfego | Veja as métricas do CloudWatch para o gateway NAT. | Visualize as métricas do CloudWatch para a instância. |
| Comportamento do tempo limite | Quando uma conexão atinge o tempo limite, uma gateway NAT retorna um pacote RST a qualquer recurso subjacente ao gateway NAT que tenta dar continuidade à conexão (ele não envia um pacote FIN). | Quando uma conexão atinge o tempo limite, uma instância NAT envia um pacote FIN a qualquer recurso subjacente à instância NAT para encerrar a conexão. |
| Fragmentação de IP | Comporta encaminhamento de pacotes fragmentados de IP para o protocolo UDP. Não comporta fragmentação para os protocolos TCP e ICMP. Os pacotes fragmentados para esses protocolos são interrompidos. |
Comporta remontagem de pacotes of IP fragmentados para os protocolos UDP, TCP e ICMP. |
Migrar de uma instância NAT para um gateway NAT
Se você já usa uma instância NAT, reomendamos substituí-la por um gateway NAT. Você pode criar um gateway NAT na mesma sub-rede da sua instância NAT e substituir a rota existente em sua tabela de rotas que aponta para a instância NAT por uma rota que aponta para o gateway NAT. Para usar o mesmo endereço IP elástico para o gateway NAT usado no momento para a instância NAT, primeiro é necessário desassociar o endereço IP elástico da instância NAT e associá-lo a seu gateway NAT ao criar o gateway.
Se mudar o roteamento de uma instância NAT para um gateway NAT ou se dissociar o endereço IP elástico de sua instância NAT, qualquer conexão atual será interrompida e precisará ser restabelecida. Verifique se não há nenhuma tarefa essencial em execução (ou qualquer tarefa que seja executada por meio de uma instância NAT).
