Gateways NAT - Amazon Virtual Private Cloud

Gateways NAT

Um gateway NAT é um serviço de Network Address Translation (NAT – Conversão de endereços de rede). Você pode usar um gateway NAT para que as instâncias em uma sub-rede privada possam se conectar a serviços fora da VPC, mas os serviços externos não podem iniciar uma conexão com essas instâncias.

Ao criar um gateway NAT, você deve especificar um dos seguintes tipos de conectividade:

  • Public: (Padrão) instâncias em sub-redes privadas podem se conectar à Internet por meio de um gateway NAT público, mas não podem receber conexões de entrada não solicitadas da Internet. Você cria um gateway NAT público em uma sub-rede pública e deve associar um endereço IP elástico ao gateway NAT na criação. Encaminhe tráfego do gateway NAT para o gateway da Internet da VPC. Como alternativa, você pode usar um gateway NAT público para se conectar a outras VPCs ou à rede on-premises. Nesse caso, você roteia o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual.

  • Private (Privado): instâncias em sub-redes privadas podem se conectar a outras VPCs ou à sua rede on-premises por meio de um gateway NAT privado. Você pode rotear o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual. Não é possível associar um endereço IP elástico a um gateway NAT privado. É possível associar um gateway da Internet a uma VPC com um gateway NAT privado, mas se você rotear o tráfego do gateway NAT privado para o gateway da Internet, o gateway da Internet descartará o tráfego.

O gateway NAT substitui o endereço IP de origem das instâncias pelo endereço IP do gateway NAT. Para um gateway NAT público, esse é o endereço IP elástico do seu gateway NAT. Para um gateway NAT privado, esse é o endereço IP privado do gateway NAT. Ao enviar tráfego de resposta para as instâncias, o dispositivo de NAT converte os endereços de volta para o endereço IP de origem inicial.

Preços

Ao provisionar um gateway NAT, você é cobrado por cada hora que o gateway NAT está disponível e cada Gigabyte de dados que ele processa. Para obter mais informações, consulte Definição de preço da Amazon VPC.

As estratégias a seguir podem ajudar você a reduzir as cobranças de transferência de dados para o gateway NAT:

  • Se seus recursos AWS enviam ou recebem um volume significativo de tráfego entre zonas de disponibilidade, certifique-se de que os recursos estejam na mesma zona de disponibilidade que o gateway NAT ou crie um gateway NAT na mesma Zona de disponibilidade que os recursos.

  • Se a maior parte do tráfego através do gateway NAT for para serviços AWS compatíveis com endpoints de interface ou endpoints de gateway, considere a criação de um endpoint de interface ou endpoint de gateway para esses serviços. Para obter mais informações sobre as possíveis economias de custo, consulte AWS PrivateLink Preço.

Noções básicas de gateway NAT

Todo gateway NAT é criado em uma Zona de disponibilidade específica e implementado com redundância nessa zona. Há uma cota de gateways NAT que podem ser criados em cada zona de disponibilidade. Para obter mais informações, consulte Cotas da Amazon VPC.

Se você tiver recursos em várias zonas de disponibilidade e eles compartilharem um gateway NAT, caso a zona de disponibilidade do gateway NAT fique inativa, os recursos em outras zonas de disponibilidade perderão o acesso à Internet. Para criar uma Zona de disponibilidade com arquitetura independente, crie um gateway NAT em cada Zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma Zona de disponibilidade.

As seguintes características e regras se aplicam aos gateways NAT:

  • Um gateway NAT é compatível com os seguintes protocolos: TCP, UDP e ICMP.

  • Os gateways NAT são compatíveis com tráfego IPv4 ou IPv6. Para tráfego IPv6, o gateway NAT executa NAT64. Usando isso em conjunto com o DNS64 (disponível no Route 53 Resolver), suas workloads IPv6 em uma sub-rede na Amazon VPC podem se comunicar com recursos IPv4. Esses serviços IPv4 podem estar presentes na mesma VPC (em uma sub-rede separada) ou em uma VPC diferente, no seu ambiente on-premises ou pela Internet.

  • Um gateway NAT comporta 5 Gbps de largura de banda e escala automaticamente até 100 Gbps. Se você precisar de mais largura de banda, poderá dividir seus recursos em várias sub-redes e criar um gateway NAT em cada sub-rede.

  • Um gateway NAT pode processar um milhão de pacotes por segundo e aumentar a capacidade automaticamente para até dez milhões de pacotes por segundo. Além desse limite, um gateway NAT começará a descartar pacotes. Para evitar a perda de pacotes, divida seus recursos em várias sub-redes e crie um gateway NAT separado para cada sub-rede.

  • Um gateway NAT comporta no máximo 55.000 conexões simultâneas para cada destino exclusivo. Esse limite também se aplica se você criar aproximadamente 900 por segundo com um único destino (aproximadamente 55.000 conexões por minuto). Se o endereço IP de destino, a porta de destino ou o protocolo (TCP/UDP/ICMP) mudar, você poderá criar 55,000 conexões suplementares. Para mais de 55.000 conexões, há uma chance maior de erros de conexão devido a erros de alocação de porta. Esses erros podem ser monitorados visualizando a métrica do CloudWatch ErrorPortAllocation do gateway NAT. Para obter mais informações, consulte Monitorar gateways NAT com o Amazon CloudWatch.

  • Você pode associar exatamente um endereço IP elástico a um gateway NAT público. Não é possível dissociar um endereço IP elástico de um gateway NAT depois que ele é criado. Para usar outro endereço IP elástico no gateway NAT, crie um novo gateway NAT com o endereço necessário, atualize suas tabelas de rotas e, em seguida, exclua o gateway NAT existente, caso não precise mais dele.

  • Um gateway NAT privado recebe um endereço IP privado disponível da sub-rede na qual está configurado. O endereço IP privado atribuído persiste até que você exclua o gateway NAT privado. Não é possível desvincular o endereço IP privado nem anexar endereços IP privados adicionais.

  • Não é possível associar um security group a um gateway NAT. Você pode associar grupos de segurança às suas instâncias para controlar o tráfego de entrada e saída.

  • Você também pode usar uma ACL da rede para controlar o tráfego que entra e sai da sub-rede para seu gateway NAT. Os gateways NAT usam as portas 1024 a 65535. Para obter mais informações, consulte Controlar o tráfego para sub-redes com ACLs de rede.

  • Um gateway NAT recebe uma interface de rede que recebe automaticamente um endereço IP privado do intervalo de endereços IP da sub-rede. É possível visualizar a interface de rede do gateway NAT no console do Amazon EC2. Para obter mais informações, consulte Visualizar detalhes sobre uma interface de rede. Não é possível modificar os atributos da interface de rede.

  • Não é possível acessar o gateway NAT por uma conexão ClassicLink associada à sua VPC.

  • Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de emparelhamento de VPC, uma conexão Site-to-Site VPN ou pelo AWS Direct Connect. Um gateway NAT não pode ser usado por recursos que se encontram no outro lado dessas conexões.

Controlar o uso de gateways NAT

Por padrão, os usuários do IAM não têm permissão para trabalhar com gateways NAT. É possível criar uma política de usuário do IAM que conceda permissão aos usuários para criar, descrever e excluir gateways NAT. Para obter mais informações, consulte Identity and Access Management para o Amazon VPC.

Trabalhar com gateways NAT

Você pode usar o console da Amazon VPC para criar e gerenciar os gateways NAT.

Criar um gateway NAT

Para criar um gateway NAT, insira um nome opcional, uma sub-rede e um tipo de conectividade opcional. Com um gateway NAT público, é necessário especificar um endereço IP elástico disponível. Um gateway NAT privado recebe um endereço IP privado primário selecionado aleatoriamente da sub-rede. Não é possível desvincular o endereço IP privado primário ou adicionar endereços IP privados secundários.

Para criar um gateway NAT

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha NAT Gateways.

  3. Escolha Create NAT Gateway (Criar gateway NAT) e faça o seguinte:

    1. (Opcional) Especifique um nome para o gateway NAT. Isso cria uma tag em que a chave está Name e o valor é o nome que você especificar.

    2. Selecione a sub-rede na qual o gateway NAT deve ser criado.

    3. Para Connectivity type (Tipo de conectividade), selecione Private (Privado) para criar um gateway NAT privado ou Public (Público) (o padrão) para criar um gateway NAT público.

    4. (Somente Public NAT gateway) Para alocação do IP elástico, selecione um endereço IP elástico a ser associado ao gateway NAT.

    5. (Opcional) Para cada tag, escolha Add new tag (Adicionar nova tag) e insira o nome e o valor da chave.

    6. Escolha Create a NAT Gateway (Criar um gateway NAT).

  4. O status inicial do gateway NAT é Pending. Depois que o status for alterado para Available, o gateway NAT estará pronto para você usar. Certifique-se de atualizar as tabelas de rotas conforme necessário. Para ver exemplos, consulte Casos de uso do gateway NAT.

    Se o status do gateway NAT mudar para Failed, isso significa que ocorreu um erro durante a criação. Para obter mais informações, consulte Falha na criação do gateway NAT.

Marcar um gateway NAT

Você pode marcar o gateway NAT para ajudar a identificá-lo ou categorizá-lo de acordo com as necessidades da organização. Para obter informações sobre como trabalhar com tags, consulte Marcar recursos do Amazon EC2 no Manual do usuário do Amazon EC2 para instâncias do Linux.

Há suporte a tags de alocação de custo para gateways NAT. Portanto, você também pode usar tags para organizar sua fatura da AWS e refletir sua própria estrutura de custo. Para obter mais informações, consulte Uso de tags de alocação de custos no Guia do usuário do AWS Billing. Para obter mais informações sobre como configurar um relatório de alocação de custos com tags, consulte Relatório mensal de alocação de custos em Sobre o faturamento de contas da AWS.

Excluir um gateway NAT

Caso não precise mais de um gateway NAT, você pode excluí-lo. Depois de excluir um gateway NAT, sua entrada permanece visível no console da Amazon VPC durante um breve período (normalmente, uma hora) após o qual ela é automaticamente removida. Você não consegue removê-la.

A exclusão de um gateway NAT dissocia o respectivo endereço IP elástico, mas não libera o endereço de sua conta. Se excluir um gateway NAT, as rotas desse gateway permanecerão com o status blackhole até o momento em que excluir ou atualizar as rotas.

Para excluir um gateway NAT

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha NAT Gateways.

  3. Selecione o botão de opção para o gateway NAT e, em seguida, escolhaActions (Ações),Delete NAT gateway (Excluir gateway NAT).

  4. Quando a confirmação for solicitada, insira delete e escolha Delete (Excluir).

  5. Se não for mais necessário o endereço IP elástico associado ao gateway NAT público, recomendamos que você o libere. Para obter mais informações, consulte Liberar um endereço IP elástico.

Visão geral da API e da CLI

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e uma lista de operações de API disponíveis, consulte Trabalhar com a Amazon VPC.

Criar um gateway NAT

Descrever um gateway NAT

Marcar um gateway NAT

Excluir um gateway NAT