Gateways NAT - Amazon Virtual Private Cloud

Gateways NAT

Um gateway NAT é um serviço de Network Address Translation (NAT – Conversão de endereços de rede). Você pode usar um gateway NAT para que as instâncias em uma sub-rede privada possam se conectar a serviços fora da VPC, mas os serviços externos não podem iniciar uma conexão com essas instâncias.

Ao criar um gateway NAT, você deve especificar um dos seguintes tipos de conectividade:

  • Public: (Padrão) instâncias em sub-redes privadas podem se conectar à Internet por meio de um gateway NAT público, mas não podem receber conexões de entrada não solicitadas da Internet. Você cria um gateway NAT público em uma sub-rede pública e deve associar um endereço IP elástico ao gateway NAT na criação. Encaminhe tráfego do gateway NAT para o gateway da Internet da VPC. Como alternativa, você pode usar um gateway NAT público para se conectar a outras VPCs ou à rede on-premises. Nesse caso, você roteia o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual.

  • Private (Privado): instâncias em sub-redes privadas podem se conectar a outras VPCs ou à sua rede on-premises por meio de um gateway NAT privado. Você pode rotear o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual. Não é possível associar um endereço IP elástico a um gateway NAT privado. É possível associar um gateway da Internet a uma VPC com um gateway NAT privado, mas se você rotear o tráfego do gateway NAT privado para o gateway da Internet, o gateway da Internet descartará o tráfego.

O gateway NAT substitui o endereço IP de origem das instâncias pelo endereço IP do gateway NAT. Para um gateway NAT público, esse é o endereço IP elástico do seu gateway NAT. Para um gateway NAT privado, esse é o endereço IP privado do gateway NAT. Ao enviar tráfego de resposta para as instâncias, o dispositivo de NAT converte os endereços de volta para o endereço IP de origem inicial.

Pricing

Ao provisionar um gateway NAT, você é cobrado por cada hora que o gateway NAT está disponível e cada Gigabyte de dados que ele processa. Para obter mais informações, consulte Definição de preço da Amazon VPC.

As estratégias a seguir podem ajudar você a reduzir as cobranças de transferência de dados para o gateway NAT:

  • Se seus recursos AWS enviam ou recebem um volume significativo de tráfego entre zonas de disponibilidade, certifique-se de que os recursos estejam na mesma zona de disponibilidade que o gateway NAT ou crie um gateway NAT na mesma Zona de disponibilidade que os recursos.

  • Se a maior parte do tráfego através do gateway NAT for para serviços AWS compatíveis com endpoints de interface ou endpoints de gateway, considere a criação de um endpoint de interface ou endpoint de gateway para esses serviços. Para obter mais informações sobre as possíveis economias de custo, consulte AWS PrivateLink Preço.

Noções básicas de gateway NAT

Todo gateway NAT é criado em uma Zona de disponibilidade específica e implementado com redundância nessa zona. Há uma cota de gateways NAT que podem ser criados em cada zona de disponibilidade. Para obter mais informações, consulte Cotas da Amazon VPC.

Se você tiver recursos em várias zonas de disponibilidade e eles compartilharem um gateway NAT, caso a zona de disponibilidade do gateway NAT fique inativa, os recursos em outras zonas de disponibilidade perderão o acesso à Internet. Para criar uma Zona de disponibilidade com arquitetura independente, crie um gateway NAT em cada Zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma Zona de disponibilidade.

As seguintes características e regras se aplicam aos gateways NAT:

  • Um gateway NAT é compatível com os seguintes protocolos: TCP, UDP e ICMP.

  • Os gateways NAT são compatíveis com tráfego IPv4 ou IPv6. Para tráfego IPv6, o gateway NAT executa NAT64. Usando isso em conjunto com o DNS64 (disponível no Route 53 Resolver), suas workloads IPv6 em uma sub-rede na Amazon VPC podem se comunicar com recursos IPv4. Esses serviços IPv4 podem estar presentes na mesma VPC (em uma sub-rede separada) ou em uma VPC diferente, no seu ambiente on-premises ou pela Internet.

  • Um gateway NAT comporta 5 Gbps de largura de banda e escala automaticamente até 45 Gbps. Se você precisar de mais largura de banda, poderá dividir seus recursos em várias sub-redes e criar um gateway NAT em cada sub-rede.

  • Um gateway NAT pode processar um milhão de pacotes por segundo e aumentar a capacidade automaticamente para até quatro milhões de pacotes por segundo. Além desse limite, um gateway NAT começará a descartar pacotes. Para evitar a perda de pacotes, divida seus recursos em várias sub-redes e crie um gateway NAT separado para cada sub-rede.

  • Um gateway NAT comporta no máximo 55.000 conexões simultâneas para cada destino exclusivo. Esse limite também se aplica se você criar aproximadamente 900 por segundo com um único destino (aproximadamente 55.000 conexões por minuto). Se o endereço IP de destino, a porta de destino ou o protocolo (TCP/UDP/ICMP) mudar, você poderá criar 55,000 conexões suplementares. Para mais de 55.000 conexões, há uma chance maior de erros de conexão devido a erros de alocação de porta. Esses erros podem ser monitorados visualizando a métrica do CloudWatch ErrorPortAllocation do gateway NAT. Para obter mais informações, consulte Monitorar gateways NAT com o Amazon CloudWatch.

  • Você pode associar exatamente um endereço IP elástico a um gateway NAT público. Não é possível dissociar um endereço IP elástico de um gateway NAT depois que ele é criado. Para usar outro endereço IP elástico no gateway NAT, crie um novo gateway NAT com o endereço necessário, atualize suas tabelas de rotas e, em seguida, exclua o gateway NAT existente, caso não precise mais dele.

  • Um gateway NAT privado recebe um endereço IP privado disponível da sub-rede na qual está configurado. Não é possível desanexar este endereço IP privado, assim como não é possível anexar endereços IP privados adicionais.

  • Não é possível associar um security group a um gateway NAT. Você pode associar grupos de segurança às suas instâncias para controlar o tráfego de entrada e saída.

  • Você também pode usar uma ACL da rede para controlar o tráfego que entra e sai da sub-rede para seu gateway NAT. Os gateways NAT usam as portas 1024 a 65535. Para obter mais informações, consulte Controlar o tráfego para sub-redes com ACLs da rede.

  • Um gateway NAT recebe uma interface de rede que recebe automaticamente um endereço IP privado do intervalo de endereços IP da sub-rede. É possível visualizar a interface de rede do gateway NAT no console do Amazon EC2. Para obter mais informações, consulte Visualizar detalhes sobre uma interface de rede. Não é possível modificar os atributos da interface de rede.

  • Não é possível acessar o gateway NAT por uma conexão ClassicLink associada à sua VPC.

  • Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de emparelhamento de VPC, uma conexão Site-to-Site VPN ou pelo AWS Direct Connect. Um gateway NAT não pode ser usado por recursos que se encontram no outro lado dessas conexões.

Controlar o uso de gateways NAT

Por padrão, os usuários do IAM não têm permissão para trabalhar com gateways NAT. É possível criar uma política de usuário do IAM que conceda permissão aos usuários para criar, descrever e excluir gateways NAT. Para obter mais informações, consulte Identity and Access Management para o Amazon VPC.

Trabalhar com gateways NAT

Você pode usar o console da Amazon VPC para criar e gerenciar os gateways NAT. Além disso, é possível usar o assistente da Amazon VPC para criar uma VPC com uma sub-rede pública, uma sub-rede privada e um gateway NAT. Para obter mais informações, consulte VPC com sub-redes públicas e privadas (NAT).

Criar um gateway NAT

Para criar um gateway NAT, insira um nome opcional, uma sub-rede e um tipo de conectividade opcional. Com um gateway NAT público, é necessário especificar um endereço IP elástico disponível. Um gateway NAT privado recebe um endereço IP privado primário selecionado aleatoriamente da sub-rede. Não é possível desvincular o endereço IP privado primário ou adicionar endereços IP privados secundários.

Para criar um gateway NAT

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha NAT Gateways.

  3. Escolha Create NAT Gateway (Criar gateway NAT) e faça o seguinte:

    1. (Opcional) Especifique um nome para o gateway NAT. Isso cria uma tag em que a chave está Name e o valor é o nome que você especificar.

    2. Selecione a sub-rede na qual o gateway NAT deve ser criado.

    3. Para Connectivity type (Tipo de conectividade), selecione Private (Privado) para criar um gateway NAT privado ou Public (Público) (o padrão) para criar um gateway NAT público.

    4. (Somente Public NAT gateway) Para alocação do IP elástico, selecione um endereço IP elástico a ser associado ao gateway NAT.

    5. (Opcional) Para cada tag, escolha Add new tag (Adicionar nova tag) e insira o nome e o valor da chave.

    6. Escolha Create a NAT Gateway (Criar um gateway NAT).

  4. O status inicial do gateway NAT é Pending. Depois que o status for alterado para Available, o gateway NAT estará pronto para você usar. Adicione uma rota para o gateway NAT às tabelas de rota para as sub-redes privadas e adicione rotas à tabela de rotas para o gateway NAT.

    Se o status do gateway NAT mudar para Failed, isso significa que ocorreu um erro durante a criação. Para obter mais informações, consulte Falha na criação do gateway NAT.

Marcar um gateway NAT

Você pode marcar o gateway NAT para ajudar a identificá-lo ou categorizá-lo de acordo com as necessidades da organização. Para obter informações sobre como trabalhar com tags, consulte Marcar recursos do Amazon EC2 no Manual do usuário do Amazon EC2 para instâncias do Linux.

Há suporte a tags de alocação de custo para gateways NAT. Portanto, você também pode usar tags para organizar sua fatura da AWS e refletir sua própria estrutura de custo. Para obter mais informações, consulte Uso de tags de alocação de custos no Guia do usuário do AWS Billing and Cost Management. Para obter mais informações sobre como configurar um relatório de alocação de custos com tags, consulte Relatório mensal de alocação de custos em Sobre o faturamento de contas da AWS.

Excluir um gateway NAT

Caso não precise mais de um gateway NAT, você pode excluí-lo. Depois de excluir um gateway NAT, sua entrada permanece visível no console da Amazon VPC durante um breve período (normalmente, uma hora) após o qual ela é automaticamente removida. Você não consegue removê-la.

A exclusão de um gateway NAT dissocia o respectivo endereço IP elástico, mas não libera o endereço de sua conta. Se excluir um gateway NAT, as rotas desse gateway permanecerão com o status blackhole até o momento em que excluir ou atualizar as rotas.

Para excluir um gateway NAT

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha NAT Gateways.

  3. Selecione o botão de opção para o gateway NAT e, em seguida, escolhaActions (Ações),Delete NAT gateway (Excluir gateway NAT).

  4. Quando a confirmação for solicitada, insira delete e escolha Delete (Excluir).

  5. Se não for mais necessário o endereço IP elástico associado ao gateway NAT público, recomendamos que você o libere. Para obter mais informações, consulte Liberar um endereço IP elástico.

Cenários de gateway NAT

Os exemplos a seguir são casos de uso de gateways NAT públicos e privados.

Cenário: acessar a Internet a partir de uma sub-rede privada

Você pode usar um gateway NAT público para permitir que instâncias em uma sub-rede privada enviem tráfego para a Internet, mas a Internet não pode estabelecer conexões com essas instâncias.

O diagrama a seguir ilustra a arquitetura desse caso de uso. A sub-rede pública na zona de disponibilidade A contém o gateway NAT. A sub-rede privada na zona de disponibilidade B contém instâncias. O roteador envia o tráfego das instâncias na sub-rede privada direcionado à Internet para o gateway NAT. O gateway NAT envia o tráfego para o gateway da internet usando o endereço IP elástico do gateway NAT como o endereço IP de origem.


          VPC com sub-redes públicas e privadas e um gateway NAT

A tabela de rotas a seguir está associada à sub-rede pública na zona de disponibilidade A. A primeira entrada é a padrão para o roteamento local na VPC; essa entrada permite que as instâncias na VPC se comuniquem umas com as outras. A segunda entrada envia todo o outro tráfego da sub-rede para o gateway da Internet; isso permite que o gateway NAT acesse a Internet.

Destino Destino
10.0.0.0/16 local
0.0.0.0/0 internet-gateway-id

A tabela de rotas a seguir está associada à sub-rede privada na zona de disponibilidade B. A primeira entrada é a padrão para o roteamento local na VPC; essa entrada permite que as instâncias na VPC se comuniquem umas com as outras. A segunda entrada envia todo o outro tráfego da sub-rede para o gateway NAT.

Destino Destino
10.0.0.0/16 local
0.0.0.0/0 nat-gateway-id

Testar o gateway NAT público

Após criar o gateway NAT e atualizar as tabelas de rotas, você poderá executar ping endereços remotos na internet de uma instância na sua sub-rede privada para testar se ela pode se conectar à Internet. Para obter um exemplo de como fazer isso, consulte Testar a conexão com a internet.

Se conseguir conectar à Internet, você também poderá testar se o tráfego da Internet é roteado via gateway NAT:

  • rastreie a rota do tráfego de uma instância em sua sub-rede privada. Para isso, execute o comando traceroute em uma instância Linux em sua sub-rede privada. Na saída, você deve ver o endereço IP privado do gateway NAT em um dos saltos (em geral, o primeiro salto).

  • Use um site ou uma ferramenta de terceiros que exiba o endereço IP de origem quando você se conecta a ele de uma instância de sua sub-rede privada. O endereço IP de origem deve ser o endereço IP elástico do seu gateway NAT.

Se esses testes falharem, consulte Solucionar problemas de gateways NAT.

Testar a conexão com a internet

O exemplo a seguir demonstra como testar se uma instância em uma sub-rede privada pode se conectar com a Internet.

  1. Execute uma instância em sua sub-rede pública (use-a como bastion host). Para obter mais informações, consulte Iniciar uma instância na sub-rede.. No Launch Wizard, é necessário selecionar uma AMI do Amazon Linux e atribuir um endereço IP público à instância. Verifique se as regras do grupo de segurança permitem tráfego SSH de entrada do intervalo de endereços IP de sua rede local e tráfego SSH de saída para o intervalo de endereços IP da sub-rede privada (você também pode usar 0.0.0.0/0 para tráfego SSH de entrada e de saída para este teste).

  2. Execute uma instância em sua sub-rede privada. No Launch Wizard, selecione uma Amazon Linux AMI. Não atribua um endereço IP público à sua instância. Confirme se as regras de seu security group permitem tráfego SSH de entrada do intervalo de endereços IP privados da instância que você executou na sub-rede pública e todos os tráfegos ICMP de saída. Você deve escolher o mesmo par de chaves que usou para executar sua instância na sub-rede pública.

  3. Configure o encaminhamento de agente SSH no computador local e conecte-se ao host bastion na sub-rede pública. Para obter mais informações, consulte Para configurar o encaminhamento de agente SSH para Linux ou macOS ou Para configurar o encaminhamento de agente SSH para Windows (PuTTY).

  4. No host bastion, conecte-se à instância na sub-rede privada e teste a conexão com a internet na instância na sub-rede privada. Para obter mais informações, consulte Para testar a conexão com a internet.

Para configurar o encaminhamento de agente SSH para Linux ou macOS

  1. Em seu computador local, adicione sua chave privada para o agente de autenticação.

    No Linux, use o comando a seguir:

    ssh-add -c mykeypair.pem

    No macOS, use o comando a seguir:

    ssh-add -K mykeypair.pem
  2. Conecte-se à sua instância na sub-rede pública usando a opção -A para permitir o encaminhamento de agente SSH e use o endereço público da instância, conforme mostrado no exemplo a seguir.

    ssh -A ec2-user@54.0.0.123

Para configurar o encaminhamento de agente SSH para Windows (PuTTY)

  1. Faça download e instale o Pageant na página de download PuTTY, se ele ainda não estiver instalado.

  2. Converta sua chave privada no formato .ppk. Para obter mais informações, consulte Converter a chave privada com PuTTYgen no Manual do usuário do Amazon EC2 para instâncias do Linux.

  3. Inicie o Pageant, clique com o botão direito no ícone do Pageant na barra de tarefas (ele pode estar oculto) e escolha Add Key. Selecione o arquivo .ppk que você criou, digite a senha se necessário e escolha Open (Abrir).

  4. Inicie a sessão PuTTY session e conecte-se à sua instância na sub-rede pública usando o respectivo endereço IP. Para obter mais informações, consulte Conectar-se à instância do Linux. Na categoria Auth, selecione a opção Allow agent forwarding e deixe a caixa Private key file for authentication em branco.

Para testar a conexão com a internet

  1. Em sua instância na sub-rede pública, conecte-se à sua instância na sub-rede privada usando o endereço IP privado, conforme mostrado no exemplo a seguir.

    ssh ec2-user@10.0.1.123
  2. Na instância privada, teste se é possível conectar-se à Internet executando o comando ping para um site que tenha o ICMP habilitado.

    ping ietf.org
    PING ietf.org (4.31.198.44) 56(84) bytes of data. 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms ...

    Pressione Ctrl+C no teclado para cancelar o comando ping. Se o comando ping falhar, consulte As instâncias não conseguem acessar a Internet.

  3. (Opcional) Se você não precisar mais das instâncias, encerre-as. Para obter mais informações, consulte Encerrar a instância no Manual do usuário do Amazon EC2 para instâncias do Linux.

Cenário: permitir acesso à sua rede a partir de endereços IP permitidos

Em vez de atribuir a cada instância um endereço IP separado do intervalo de endereços IP que têm permissão para acessar sua rede on-premises, você pode criar uma sub-rede em sua VPC com o intervalo de endereços IP permitido, criar um gateway NAT privado na sub-rede e rotear o tráfego de sua VPC destinado à sua rede on-premises via gateway NAT.

Migrar de uma instância NAT para um gateway NAT

Se você já usa uma instância NAT, reomendamos substituí-la por um gateway NAT. Você pode criar um gateway NAT na mesma sub-rede da sua instância NAT e substituir a rota existente em sua tabela de rotas que aponta para a instância NAT por uma rota que aponta para o gateway NAT. Para usar o mesmo endereço IP elástico para o gateway NAT usado no momento para a instância NAT, primeiro é necessário desassociar o endereço IP elástico da instância NAT e associá-lo a seu gateway NAT ao criar o gateway.

Se mudar o roteamento de uma instância NAT para um gateway NAT ou se dissociar o endereço IP elástico de sua instância NAT, qualquer conexão atual será interrompida e precisará ser restabelecida. Verifique se não há nenhuma tarefa essencial em execução (ou qualquer tarefa que seja executada por meio de uma instância NAT).

Visão geral da API e da CLI

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e uma lista de operações de API disponíveis, consulte Acessar a Amazon VPC.

Criar um gateway NAT

Descrever um gateway NAT

Marcar um gateway NAT

Excluir um gateway NAT

DNS64 e NAT64

O gateway NAT oferece suporte à conversão de endereços de rede de IPv6 para IPv4, mais conhecida como NAT64. A NAT64 ajuda os seus recursos IPv6 da AWS a se comunicarem com recursos IPv4 na mesma VPC ou em uma VPC diferente, na sua rede on-premises ou pela Internet. Você pode usar a NAT64 com o DNS64 no Amazon Route 53 Resolver ou o seu próprio servidor DNS64.

O que é o DNS64?

As suas workloads somente IPv6 em execução em VPCs só podem enviar e receber pacotes de rede IPv6. Sem o DNS64, uma consulta de DNS para um serviço somente IPv4 produzirá um endereço de destino IPv4 em resposta e seu serviço somente IPv6 não poderá se comunicar com ele. Para preencher essa lacuna de comunicação, você pode habilitar o DNS64 para uma sub-rede e ela se aplica a todos os recursos da AWS dentro dessa sub-rede. Com o DNS64, o Amazon Route 53 Resolver procura o registro DNS do serviço que você consultou e segue um dos seguintes procedimentos:

  • Se o registro contiver um endereço IPv6, ele retornará o registro original e a conexão será estabelecida sem nenhuma conversão por IPv6.

  • Se não houver um endereço IPv6 associado ao destino no registro DNS, o Route 53 Resolver sintetizará um endereço acrescentando o prefixo conhecido /96, definido em RFC6052 (64:ff9b::/96), ao endereço IPv4 presente no registro. O seu serviço somente IPv6 envia pacotes de rede para o endereço IPv6 sintetizado. Em seguida, você precisará encaminhar esse tráfego através do gateway NAT, que executa a conversão necessária no tráfego para permitir que os serviços IPv6 em sua sub-rede acessem serviços IPv4 fora dessa sub-rede.

É possível habilitar ou desabilitar o DNS64 em uma sub-rede usando o modify-subnet-attribute, usando a CLI da AWS ou com o console da VPC selecionando uma sub-rede e escolhendo Actions (Ações) > Modify DNS64 settings (Modificar configurações de DNS64).

O que é a NAT64?

A NAT64 habilita a comunicação de seus serviços somente IPv6 em Amazon VPCs com serviços somente IPv4 dentro da mesma VPC (em sub-redes diferentes) ou VPCs conectadas, em suas redes on-premises ou pela Internet.

A NAT64 está disponível automaticamente em seus gateways NAT existentes ou em qualquer novo gateway NAT que você criar. Não é possível habilitar ou desabilitar esse recurso.

Depois que você habilitar o DNS64 e o seu serviço somente IPv6 enviar pacotes de rede para o endereço IPv6 sintetizado por meio do gateway NAT, ocorre o seguinte:

  • Com o prefixo 64:ff9b::/96, o gateway NAT reconhece que o destino original é IPv4 e converte os pacotes IPv6 em IPv4 substituindo:

    • O IPv6 de origem com seu próprio IP privado, que é convertido para o endereço IP elástico pelo gateway da Internet.

    • O IPv6 de destino para o IPv4 truncando o prefixo 64:ff9b::/96.

  • O gateway NAT envia os pacotes IPv4 convertidos para o destino por meio do gateway da Internet, gateway privado virtual ou gateway de trânsito e inicia uma conexão.

  • O host somente IPv4 envia os pacotes IPv4 de resposta de volta. Assim que uma conexão for estabelecida, o gateway NAT aceita os pacotes IPv4 de resposta dos hosts externos.

  • Os pacotes IPv4 de resposta são destinados ao gateway NAT, que os recebe e desfaz sua conversão substituindo seu IP (IP de destino) pelo endereço IPv6 do host e acrescentando 64:ff9b::/96 de volta ao endereço IPv4 de origem. O pacote então vai até o host seguindo a rota local.

Dessa forma, o gateway NAT habilita a comunicação entre as suas workloads somente IPv6 em uma sub-rede da Amazon VPC e serviços somente IPv4 em qualquer lugar fora da sub-rede.

Configure o DNS64 e a NAT64

Siga as etapas desta seção para configurar o DNS64 e a NAT64 para habilitar a comunicação com serviços somente IPv4.

Habilite a comunicação com serviços somente IPv4 pela Internet com a CLI da AWS

Se você tiver uma sub-rede com workloads somente IPv6 que precise se comunicar com serviços somente IPv4 fora da sub-rede, este exemplo mostra como habilitar os serviços somente IPv6 para a comunicação com serviços somente IPv4 pela Internet.

Primeiro, você deve configurar um gateway NAT em uma sub-rede pública (separada da sub-rede que contém as workloads somente IPv6). Por exemplo, a sub-rede que contém o gateway NAT deve ter uma rota 0.0/0 apontando para o gateway da Internet.

Conclua estas etapas para permitir que esses serviços somente IPv6 se conectem a serviços somente IPv4 pela Internet:

  1. Adicione as três rotas a seguir à tabela de rotas da sub-rede que contém as workloads somente IPv6:

    • Rota IPv4 (se houver) apontando para o gateway NAT.

    • 64:ff9b::/96Rota apontando para o gateway NAT. Isso permitirá que o tráfego de suas workloads somente IPv6 destinadas a serviços somente IPv4 seja roteado por meio do gateway NAT.

    • Rota IPv6 ::/0 apontando para o gateway da Internet somente de saída (ou o gateway da Internet).

    Observe que apontar ::/0 para o gateway da Internet permitirá que hosts IPv6 externos (fora da VPC) iniciem a conexão por IPv6.

    aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block 0.0.0.0/0 –-nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 –-destination-ipv6-cidr-block 64:ff9b::/96 –-nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 –-destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-c0a643a9
  2. Habilite o recurso do DNS64 na sub-rede que contém as workloads somente IPv6.

    aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d –-enable-dns64

Agora, os recursos na sua sub-rede privada podem estabelecer conexões com estado com serviços IPv4 e IPv6 pela Internet. Configure o seu grupo de segurança e NACLs adequadamente para permitir o tráfego de saída e entrada ao tráfego de 64:ff9b::/96.

Habilite a comunicação com serviços somente IPv4 em seu ambiente on-premises

O Amazon Route 53 Resolver permite que você encaminhe consultas de DNS da sua VPC para uma rede on-premises e vice-versa. Para isso, você pode fazer o seguinte:

  • Você cria um endpoint de saída do Route 53 Resolver em uma VPC e atribui a ele os endereços IPv4 dos quais deseja que o Route 53 Resolver encaminhe consultas. Para o seu resolvedor de DNS on-premises, estes são os endereços IP dos quais as consultas de DNS se originam e, portanto, devem ser endereços IPv4.

  • Você cria uma ou mais regras que especifiquem os nomes de domínio das consultas de DNS que deseja que o Route 53 Resolver encaminhe aos seus resolvedores on-premises. Também é necessário especificar os endereços IPv4 dos resolvedores on-premises.

  • Agora que você configurou um endpoint de saída do Route 53 Resolver, é preciso habilitar o DNS64 na sub-rede que contém suas workloads somente IPv6 e encaminhar todos os dados destinados à sua rede on-premises por meio de um gateway NAT.

Como o DNS64 funciona para destinos somente IPv4 em redes on-premises:

  1. Você atribui um endereço IPv4 ao endpoint de saída do Route 53 Resolver na sua VPC.

  2. A consulta de DNS do seu serviço IPv6 vai para o Route 53 Resolver por IPv6. O Route 53 Resolver corresponde à consulta com a regra de encaminhamento e obtém um endereço IPv4 para o seu resolvedor on-premises.

  3. O Route 53 Resolver converte o pacote de consulta de IPv6 para IPv4 e o encaminha para o endpoint de saída. Cada endereço IP do endpoint representa um ENI que encaminha a solicitação ao endereço IPv4 on-premises do seu revolvedor de DNS.

  4. O revolvedor on-premises envia o pacote de resposta por IPv4 de volta pelo endpoint de saída para o Route 53 Resolver.

  5. Caso a consulta tenha sido feita por meio de uma sub-rede habilitada para DNS64, o Route 53 Resolver fará duas coisas:

    1. Ele verifica o conteúdo do pacote de resposta. Se houver um endereço IPv6 no registro, ele manterá o conteúdo como está, se ele contiver apenas um registro IPv4. Ele também sintetiza um registro IPv6 acrescentando 64:ff9b::/96 ao endereço IPv4.

    2. Ele reempacota o conteúdo e o envia para o serviço na sua VPC por IPv6.