Gateways NAT

Um gateway NAT é um serviço de Network Address Translation (NAT – Conversão de endereços de rede). Você pode usar um gateway NAT para que as instâncias em uma sub-rede privada possam se conectar a serviços fora da VPC, mas os serviços externos não podem iniciar uma conexão com essas instâncias.

Ao criar um gateway NAT, você deve especificar um dos seguintes tipos de conectividade:

• Public: (Padrão) instâncias em sub-redes privadas podem se conectar à Internet por meio de um gateway NAT público, mas não podem receber conexões de entrada não solicitadas da Internet. Você cria um gateway NAT público em uma sub-rede pública e deve associar um endereço IP elástico ao gateway NAT na criação. Encaminhe tráfego do gateway NAT para o gateway da Internet da VPC. Como alternativa, você pode usar um gateway NAT público para se conectar a outras VPCs ou à rede on-premises. Nesse caso, você roteia o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual.

• Private (Privado): instâncias em sub-redes privadas podem se conectar a outras VPCs ou à sua rede on-premises por meio de um gateway NAT privado. Você pode rotear o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual. Não é possível associar um endereço IP elástico a um gateway NAT privado. É possível associar um gateway da Internet a uma VPC com um gateway NAT privado, mas se você rotear o tráfego do gateway NAT privado para o gateway da Internet, o gateway da Internet descartará o tráfego.

Os gateways NAT privados e públicos mapeiam o endereço IPv4 privado de origem das instâncias para o endereço IPv4 privado do gateway NAT, mas no caso de um gateway NAT público, o gateway da Internet mapeia o endereço IPv4 privado do gateway NAT público para o endereço IP elástico associado ao gateway NAT. Ao enviar tráfego de resposta para as instâncias, seja um gateway NAT público ou privado, o gateway NAT converte o endereço de volta para o endereço IP de origem inicial.

Importante

Você pode usar um gateway NAT público ou privado para rotear o tráfego para gateways de trânsito e gateways virtuais privados.

Se você usar um gateway NAT privado para se conectar a um gateway de trânsito ou a um gateway privado virtual, o tráfego para o destino virá do endereço IP privado do gateway NAT privado.

Se você usar um gateway NAT público para se conectar a um gateway de trânsito ou um gateway privado virtual, o tráfego para o destino virá do endereço IP privado do gateway NAT público, a menos que você use um gateway da Internet. O gateway NAT público só usará seu EIP como endereço IP de origem quando usado em conjunto com um gateway da Internet.

Conteúdo

• Noções básicas de gateway NAT
• Controlar o uso de gateways NAT
• Trabalhar com gateways NAT
• Visão geral da API e da CLI
• Casos de uso
• DNS64 e NAT64
• Métricas do CloudWatch
• Solução de problemas
• Definição de preço

Noções básicas de gateway NAT

Todo gateway NAT é criado em uma Zona de disponibilidade específica e implementado com redundância nessa zona. Há uma cota de gateways NAT que podem ser criados em cada zona de disponibilidade. Para obter mais informações, consulte Cotas da Amazon VPC.

Se você tiver recursos em várias zonas de disponibilidade e eles compartilharem um gateway NAT, caso a zona de disponibilidade do gateway NAT fique inativa, os recursos em outras zonas de disponibilidade perderão o acesso à Internet. Para melhorar a resiliência, crie um gateway NAT em cada zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma zona de disponibilidade.

As seguintes características e regras se aplicam aos gateways NAT:

• Um gateway NAT é compatível com os seguintes protocolos: TCP, UDP e ICMP.

• Os gateways NAT são compatíveis com tráfego IPv4 ou IPv6. Para tráfego IPv6, o gateway NAT executa NAT64. Usando isso em conjunto com o DNS64 (disponível no Route 53 Resolver), suas workloads IPv6 em uma sub-rede na Amazon VPC podem se comunicar com recursos IPv4. Esses serviços IPv4 podem estar presentes na mesma VPC (em uma sub-rede separada) ou em uma VPC diferente, no seu ambiente on-premises ou pela Internet.

• Um gateway NAT comporta 5 Gbps de largura de banda e escala automaticamente até 100 Gbps. Se você precisar de mais largura de banda, poderá dividir seus recursos em várias sub-redes e criar um gateway NAT em cada sub-rede.

• Um gateway NAT pode processar um milhão de pacotes por segundo e aumentar a capacidade automaticamente para até dez milhões de pacotes por segundo. Além desse limite, um gateway NAT começará a descartar pacotes. Para evitar a perda de pacotes, divida seus recursos em várias sub-redes e crie um gateway NAT separado para cada sub-rede.

• Cada endereço IPv4 comporta até 55.000 conexões simultâneas para cada destino exclusivo. Um destino exclusivo é identificado por uma combinação exclusiva de endereço IP de destino, a porta de destino e o protocolo (TCP/UDP/ICMP). Você pode aumentar esse limite associando até 8 endereços IPv4 aos seus gateways NAT (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para ter mais informações, consulte Endereços IP elásticos.

• Você pode escolher o endereço IPv4 privado para atribuir ao gateway NAT ou atribuí-lo automaticamente com base no intervalo de endereços IPv4 da sub-rede. O endereço IPv4 privado atribuído persiste até que você exclua o gateway NAT privado. Não é possível desvincular o endereço IPv4 privado nem anexar endereços IPv4 privados adicionais.

• Não é possível associar um grupo de segurança a um gateway NAT. Você pode associar grupos de segurança às suas instâncias para controlar o tráfego de entrada e saída.

• Você também pode usar uma ACL de rede para controlar o tráfego que entra e sai da sub-rede para seu gateway NAT. Os gateways NAT usam as portas 1024 a 65535. Para ter mais informações, consulte Controlar o tráfego para sub-redes com ACLs de rede.

• Um gateway NAT recebe uma interface de rede. Você pode escolher o endereço IPv4 privado para atribuir à interface ou atribuí-lo automaticamente com base no intervalo de endereços IPv4 da sub-rede. É possível visualizar a interface de rede do gateway NAT no console do Amazon EC2. Para obter mais informações, consulte Visualizar detalhes sobre uma interface de rede. Não é possível modificar os atributos da interface de rede.

• Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de emparelhamento da VPC. Não é possível rotear o tráfego por meio de um gateway NAT quando o tráfego chega por meio de uma conexão híbrida (VPN site a site ou Direct Connect) via gateway privado virtual. É possível rotear o tráfego por meio de um gateway NAT quando o tráfego chega por meio de uma conexão híbrida (VPN site a site ou Direct Connect) via gateway de trânsito.

• Os gateways NAT oferecem suporte a tráfego com uma unidade de transmissão máxima (MTU) de 8500, mas é importante observar o seguinte:

  • Para evitar possíveis perdas de pacotes ao se comunicar com recursos pela Internet usando um gateway NAT público, a configuração de MTU para suas instâncias do EC2 não deve exceder 1500 bytes. Para obter mais informações sobre como verificar e configurar a MTU em uma instância, consulte Verificar e definir a MTU na instância do Linux no Guia do usuário do Amazon EC2 para instâncias do Linux.

  • Os gateways NAT oferecem suporte ao Path MTU Discovery (PMTUD) por meio de pacotes FRAG_NEEDED ICMPv4 e pacotes Packet Too Big (PTB) ICMPv6.

  • O gateway NAT impõe o limite de Maximum Segment Size (MSS) para todos os pacotes. Para obter mais informações, consulte RFC879.

Controlar o uso de gateways NAT

Por padrão, os usuários do não têm permissão para trabalhar com gateways NAT. É possível criar uma política de perfil do IAM com uma política anexada que conceda permissão aos usuários para criar, descrever e excluir gateways NAT. Para ter mais informações, consulte Identity and Access Management para o Amazon VPC.

Trabalhar com gateways NAT

Você pode usar o console da Amazon VPC para criar e gerenciar os gateways NAT.

Criar um gateway NAT

Use o procedimento a seguir para criar um gateway NAT.

Cotas relacionadas

• Você não poderá criar um gateway NAT público se tiver esgotado o número de EIPs alocados para sua conta. Para obter mais informações cotas de EIP e como ajustá-las, consulte Endereços IP elásticos.

• Você pode atribuir até 8 endereços IPv4 privados ao seu gateway NAT privado. Este limite não é ajustável.

• Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para ter mais informações, consulte Endereços IP elásticos.

Para criar um gateway NAT

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Gateways NAT.

3. Escolha Criar um gateway NAT.

4. (Opcional) Especifique um nome para o gateway NAT. Isso cria uma tag em que a chave está Name e o valor é o nome que você especificar.

5. Selecione a sub-rede na qual o gateway NAT deve ser criado.

6. Em Tipo de conectividade, deixe a seleção padrão de Público para criar um gateway NAT público ou escolha Privado para criar um gateway NAT privado. Para obter mais informações sobre a diferença entre um gateway NAT público e um privado, consulte Gateways NAT.

7. Se você escolheu Público, faça o seguinte; caso contrário, vá para a etapa 8:

   1. Escolha um ID de alocação de IP elástico para atribuir um IP elástico ao gateway NAT ou escolha Alocar IP elástico para alocar automaticamente um IP elástico para usar em seu gateway NAT público. Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para ter mais informações, consulte Endereços IP elásticos.

      Importante

      Quando você atribui um EIP a um gateway NAT público, o grupo de borda de rede do EIP deve corresponder ao grupo de borda de rede da Zona de Disponibilidade (AZ) na qual você está iniciando o gateway NAT público. Se não for o mesmo, o gateway NAT falhará ao iniciar. Você pode ver o grupo de bordas da rede para a AZ da sub-rede visualizando os detalhes da sub-rede. Da mesma forma, você pode visualizar o grupo de bordas de rede de um EIP visualizando os detalhes do endereço EIP. Para obter mais informações sobre grupos de bordas de rede e EIPs, consulte Alocar um endereço IP elástico.

   2. (Opcional) Escolha Configurações adicionais e, em Endereço IP privado - opcional, insira um endereço IPv4 privado para o gateway NAT. Se você não inserir um endereço, o AWS atribuirá automaticamente um endereço IPv4 privado ao seu gateway NAT de maneira aleatória com base na sub-rede em que seu gateway NAT está.

   3. Vá para a etapa 11.

8. Se você escolheu Privado, em Configurações adicionais, Método de atribuição de endereço IPv4 privado, escolha uma das seguintes opções:

   • Atribuição automática: a AWS escolhe o endereço IPv4 privado primário para o gateway NAT. Em Número de endereços IPv4 privados atribuídos automaticamente, é possível, opcionalmente, especificar o número de endereços IPv4 privados secundários para o gateway NAT. A AWS escolhe esses endereços IP aleatoriamente da sub-rede para seu gateway NAT.

   • Personalizado: em Endereço IPv4 privado principal, escolha o endereço IPv4 privado principal para o gateway NAT). Em Endereços IPv4 privados secundários, é possível, opcionalmente, especificar até 7 endereços IPv4 privados secundários para o gateway NAT.

9. Se tiver escolhido Personalizado na etapa 8, pule esta etapa. Se você escolher Atribuir automaticamente, em Número de endereços IP privados atribuídos automaticamente, escolha o número de endereços IPv4 secundários que você deseja que a AWS atribua a esse gateway NAT privado. Você pode escolher até 7 endereços IPv4.

   nota

   Os endereços IPv4 secundários são opcionais e devem ser atribuídos ou alocados quando suas workloads que usam um gateway NAT excederem 55.000 conexões simultâneas para um único destino (o mesmo IP de destino, porta de destino e protocolo). Os endereços IPv4 secundários aumentam o número de portas disponíveis e, portanto, aumentam o limite do número de conexões simultâneas que suas workloads podem estabelecer usando um gateway NAT.

10. Se tiver escolhido Atribuir automaticamente na etapa 9, pule esta etapa. Se você escolheu Personalizado, faça o seguinte:

    1. Em Endereço IPv4 privado primário, insira o endereço IPv4 privado.

    2. Em Endereço IPv4 privado secundário, insira até 7 endereços IPv4 privados secundários.

11. (Opcional) Para adicionar uma tag ao gateway NAT, escolha Add new tag (Adicionar nova tag) e insira o nome e o valor da chave. É possível adicionar até 50 tags.

12. Escolha Criar um gateway NAT.

13. O status inicial do gateway NAT é Pending. Depois que o status for alterado para Available, o gateway NAT estará pronto para você usar. Certifique-se de atualizar as tabelas de rotas conforme necessário. Para ver exemplos, consulte Casos de uso do gateway NAT.

Se o status do gateway NAT mudar para Failed, isso significa que ocorreu um erro durante a criação. Para ter mais informações, consulte Falha na criação do gateway NAT.

Editar associações de endereço IP secundário

Cada endereço IPv4 comporta até 55.000 conexões simultâneas para cada destino exclusivo. Um destino exclusivo é identificado por uma combinação exclusiva de endereço IP de destino, a porta de destino e o protocolo (TCP/UDP/ICMP). Você pode aumentar esse limite associando até 8 endereços IPv4 aos seus gateways NAT (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para ter mais informações, consulte Endereços IP elásticos.

Você pode usar as métricas ErrorPortAllocation e PacketsDropCount do gateway NAT do CloudWatch para determinar se seu gateway NAT está gerando erros de alocação de portas ou descartando pacotes. Para resolver esse problema, adicione endereços IPv4 secundários ao seu gateway NAT.

Considerações

• Você pode adicionar endereços IPv4 privados secundários ao criar um gateway NAT privado ou após criar o gateway NAT usando o procedimento nesta seção. Só é possível adicionar endereços IP elásticos secundários aos gateways NAT públicos após criar o gateway NAT usando o procedimento nesta seção.

• Seu gateway NAT pode ter até 8 endereços IPv4 associados a ele (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Você pode atribuir até 8 endereços IPv4 privados ao seu gateway NAT privado. Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para ter mais informações, consulte Endereços IP elásticos.

Para editar associações de endereços IPv4 secundários

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Gateways NAT.

3. Selecione o gateway NAT cujas associações de endereço IPv4 secundárias você deseja editar.

4. Escolha Ações e então escolha Editar associações de endereços IP secundários.

5. Se você estiver editando as associações de endereços IPv4 secundários de um gateway NAT privado, em Ação, escolha Atribuir novos endereços IPv4 ou Cancelar a atribuição de endereços IPv4 existentes. Se você estiver editando as associações de endereços IPv4 secundários de um gateway NAT público, em Ação, escolha Associar novos endereços IPv4 ou Desassociar endereços IPv4 existentes.

6. Execute um destes procedimentos:

   • Se tiver optado por atribuir ou associar novos endereços IPv4, faça o seguinte:

     1. Essa etapa é necessária. Você deve selecionar um endereço IPv4. Escolha o método de atribuição de endereço IPv4 privado:

        • Atribuir automaticamente: a AWS escolhe automaticamente um endereço IPv4 privado primário e você escolhe se deseja que a AWS atribua até 7 endereços IPv4 privados secundários para atribuir ao gateway NAT. A AWS os escolhe e atribui automaticamente para você de maneira aleatória e com base na sub-rede em que seu gateway NAT está.

        • Personalizado: escolha o endereço IPv4 privado primário e até 7 endereços IPv4 privados secundários para atribuir ao gateway NAT.

     2. Em ID de alocação de IP elástico, escolha um IP elástico para adicionar como endereço IPv4 secundário. Essa etapa é necessária. Você deve selecionar um IP elástico junto com um endereço IPv4 privado. Se você escolher Personalizado para o Método de atribuição de endereço IP privado, também deverá inserir um endereço IPv4 privado para cada IP elástico adicionado.

        Importante

        Quando você atribui um EIP secundário a um gateway NAT público, o grupo de borda de rede do EIP deve corresponder ao grupo de borda de rede da Zona de Disponibilidade (AZ) na qual o gateway NAT público está. Se não for a mesma, o EIP não será atribuído. Você pode ver o grupo de bordas da rede para a AZ da sub-rede visualizando os detalhes da sub-rede. Da mesma forma, você pode visualizar o grupo de bordas de rede de um EIP visualizando os detalhes do endereço EIP. Para obter mais informações sobre grupos de bordas de rede e EIPs, consulte Alocar um endereço IP elástico.

     Seu gateway NAT pode ter até 8 endereços IP associados a ele. Se for um gateway NAT público, há um limite de cota padrão para IPs elásticos por região. Para ter mais informações, consulte Endereços IP elásticos.

   • Se você optar por cancelar a atribuição ou desassociar novos endereços IPv4, faça o seguinte:

     1. Em Endereço IP secundário existente para cancelar a atribuição, selecione os endereços IP secundários cuja atribuição deseja cancelar.

     2. (opcional) Em Duração da drenagem de conexão, insira o tempo máximo de espera (em segundos) antes de liberar forçadamente os endereços IP se as conexões ainda estiverem em andamento. Se você não inserir um valor, o valor padrão será de 350 segundos.

7. Escolha Salvar alterações.

Se o status do gateway NAT mudar para Failed, isso significa que ocorreu um erro durante a criação. Para obter mais informações, consulte Falha na criação do gateway NAT.

Marcar um gateway NAT

Você pode marcar o gateway NAT para ajudar a identificá-lo ou categorizá-lo de acordo com as necessidades da organização. Para obter informações sobre como trabalhar com tags, consulte Marcar recursos do Amazon EC2 no Manual do usuário do Amazon EC2 para instâncias do Linux.

Há suporte a tags de alocação de custo para gateways NAT. Portanto, você também pode usar tags para organizar sua fatura da AWS e refletir sua própria estrutura de custo. Para obter mais informações, consulte Uso de tags de alocação de custos no Guia do usuário do AWS Billing. Para obter mais informações sobre como configurar um relatório de alocação de custos com tags, consulte Relatório mensal de alocação de custos em Sobre o faturamento de contas da AWS.

Para marcar um gateway NAT

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha NAT Gateways.

3. Selecione o gateway NAT que você deseja marcar e escolha Ações. Selecione Gerenciar tags.

4. Para cada tag, escolha Adicionar nova tag e insira uma Chave e Valor para a tag. É possível adicionar até 50 tags.

5. Escolha Salvar.

Excluir um gateway NAT

Caso não precise mais de um gateway NAT, você pode excluí-lo. Depois de excluir um gateway NAT, sua entrada permanece visível no console da Amazon VPC durante um breve período (normalmente, uma hora) após o qual ela é automaticamente removida. Você não consegue removê-la.

A exclusão de um gateway NAT dissocia o respectivo endereço IP elástico, mas não libera o endereço de sua conta. Se excluir um gateway NAT, as rotas desse gateway permanecerão com o status blackhole até o momento em que excluir ou atualizar as rotas.

Para excluir um gateway NAT

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha NAT Gateways.

3. Selecione o botão de opção para o gateway NAT e, em seguida, escolhaActions (Ações),Delete NAT gateway (Excluir gateway NAT).

4. Quando a confirmação for solicitada, insira delete e escolha Delete (Excluir).

5. Se não for mais necessário o endereço IP elástico associado ao gateway NAT público, recomendamos que você o libere. Para ter mais informações, consulte Liberar um endereço IP elástico.

Visão geral da API e da CLI

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e uma lista de operações de API disponíveis, consulte Trabalhar com a Amazon VPC.

Atribuir um endereço IPv4 privado a um gateway NAT

• assign-private-nat-gateway-address (AWS CLI)

• Register-EC2PrivateNatGatewayAddress (AWS Tools for Windows PowerShell)

• AssignPrivateNatGatewayAddress (API Amazon EC2 Query)

Associar endereços IP elásticos (EIPs) e endereços IPv4 privados a um gateway NAT público

• associate-nat-gateway-address (AWS CLI)

• Register-EC2NatGatewayAddress (AWS Tools for Windows PowerShell)

• AssociateNatGatewayAddress (API Amazon EC2 Query)

Criar um gateway NAT

• create-nat-gateway (AWS CLI)

• New-EC2NatGateway (AWS Tools for Windows PowerShell)

• CreateNatGateway (API de consulta do Amazon EC2)

Excluir um gateway NAT

• delete-nat-gateway (AWS CLI)

• Remove-EC2NatGateway (AWS Tools for Windows PowerShell)

• DeleteNatGateway (API de consulta do Amazon EC2)

Descrever um gateway NAT

• describe-nat-gateways (AWS CLI)

• Get-EC2NatGateway (AWS Tools for Windows PowerShell)

• DescribeNatGateways (API de consulta do Amazon EC2)

Desassociar endereços IP elásticos (EIPs) secundários de um gateway NAT público

• disassociate-nat-gateway-address (AWS CLI)

• Unregister-EC2NatGatewayAddress (AWS Tools for Windows PowerShell)

• DisassociateNatGatewayAddress (API Amazon EC2 Query)

Marcar um gateway NAT

• create-tags (AWS CLI)

• New-EC2Tag (AWS Tools for Windows PowerShell)

• CreateTags (API de consulta do Amazon EC2)

Cancelar a atribuição de endereços IPv4 secundários de um gateway NAT privado

• unassign-private-nat-gateway-address (AWS CLI)

• Unregister-EC2PrivateNatGatewayAddress (AWS Tools for Windows PowerShell)

• UnassignPrivateNatGatewayAddress (API Amazon EC2 Query)

Definição de preço

Ao provisionar um gateway NAT, você é cobrado por cada hora que o gateway NAT está disponível e por cada gigabyte de dados que ele processa. Para obter mais informações, consulte Definição de preço da Amazon VPC.

As estratégias a seguir podem ajudar você a reduzir as cobranças de transferência de dados para o gateway NAT:

• Se seus recursos da AWS enviam ou recebem um volume significativo de tráfego entre zonas de disponibilidade, certifique-se de que os recursos estejam na mesma zona de disponibilidade que o gateway NAT. Como alternativa, crie um gateway NAT em cada zona de disponibilidade com recursos.

• Se a maior parte do tráfego através do gateway NAT for para serviços AWS compatíveis com endpoints de interface ou endpoints de gateway, considere a criação de um endpoint de interface ou endpoint de gateway para esses serviços. Para obter mais informações sobre as possíveis economias de custo, consulte AWS PrivateLink Preço.