NAT 閘道 - Amazon Virtual Private Cloud

NAT 閘道

NAT 閘道是網路地址轉譯 (NAT) 服務。您可以使用 NAT 閘道,使私有子網路中的執行個體可以連線到 VPC 外部的服務,但外部服務無法啟動與這些執行個體的連線。

當您建立 NAT 閘道時,您可以指定下列其中一種連線類型:

  • 公有 – (預設) 私有子網路中的執行個體可以透過公有 NAT 閘道連線到網際網路,但無法從網際網路接收來路不明的輸入連線。您可以在公有子網路中建立公有 NAT 閘道,並且必須在建立時讓彈性 IP 地址與 NAT 閘道產生關聯。您可以將流量從 NAT 閘道路由傳送到 VPC 的網際網路閘道。或者,您可以使用公有 NAT 閘道來連線到其他 VPC 或內部部署網路。在此情況下,您可以透過傳輸閘道或虛擬私有閘道路由傳送來自 NAT 閘道的流量。

  • 私有 – 私有子網路中的執行個體可以透過私有 NAT 閘道連線到其他 VPC 或您的內部部署網路。您可以透過傳輸閘道或虛擬私有閘道路由傳送來自 NAT 閘道的流量。您無法將彈性 IP 地址與私有 NAT 閘道建立關聯。您可以將網際網路閘道連接到具有私有 NAT 閘道的 VPC,但是如果您將流量從私有 NAT 閘道路由傳送到網際網路閘道,網際網路閘道會捨棄流量。

NAT 閘道會以 NAT 閘道的 IP 地址取代執行個體的來源 IP 地址。對於公有 NAT 閘道,這是 NAT 閘道的彈性 IP 地址。對於私有 NAT 閘道,這是 NAT 閘道的私有 IP 地址。傳送回應流量至執行個體時,NAT 裝置會將地址轉譯回原始來源 IP 地址。

定價

當您佈建 NAT 閘道時,需支付 NAT 閘道可用時數及其處理每 GB 資料的費用。如需詳細資訊,請參閱 Amazon VPC 定價

下列策略可協助您降低 NAT 閘道的資料傳輸費用:

  • 如果您的 AWS 資源會跨可用區域傳送或接收大量流量,請確保資源與 NAT 閘道位於相同的可用區域,或在與資源相同的可用區域中建立 NAT 閘道。

  • 如果透過 NAT 閘道的大部分流量都是支援界面端點或閘道端點的 AWS 服務,請考慮為這些服務建立界面端點或閘道端點。如需有關潛在成本節省的詳細資訊,請參閱 AWS PrivateLink 定價

NAT 閘道基本概念

每個 NAT 閘道都是在特定的可用區域內建立,並且使用該區域中的備援實作。您能夠在每個可用區域中建立的 NAT 閘道數量具有配額。如需詳細資訊,請參閱 Amazon VPC 配額

若您在多個可用區域中皆有資源,且他們都共享同一個 NAT 閘道,則若 NAT 閘道的可用區域未運作時,其他可用區域中的資源都會喪失網際網路存取權。若要建立獨立於可用區域外的架構,請在每個可用區域中建立 NAT 閘道,然後設定您的路由,確保資源使用相同可用區域內的 NAT 閘道。

下列特性和規則適用於 NAT 閘道:

  • NAT 閘道支援以下通訊協定:TCP、UDP 和 ICMP。

  • IPv4 或 IPv6 流量支援 NAT 閘道。對於 IPv6 流量,NAT 閘道會執行 NAT64。搭配 DNS64 (可在 Route 53 解析器上使用) 一起使用此功能,Amazon VPC 中子網路中的 IPv6 工作負載就可以與 IPv4 資源通訊。這些 IPv4 服務可能存在於相同的 VPC (在個別的子網路中) 或不同的 VPC、您的內部部署環境或網際網路上。

  • NAT 閘道支援 5 Gbps 的頻寬,並可自動擴展至 45 Gbps。若您需要更多頻寬,您可以將您的資源分割到多個子網路,並在每個子網路中建立 NAT 閘道。

  • NAT 閘道每秒可以處理 100 萬個封包,並自動擴展至每秒 400 萬個封包。超出此限制,NAT 閘道便會捨棄封包。若要防止封包遺失,請將您的資源分割為多個子網路,並為每個子網路建立單獨的 NAT 閘道。

  • NAT 閘道可支援最多 55,000 個連至每個唯一目標的同時連線。若您每秒建立大約 900 個連至單一目標的連線 (即每分鐘約 55,000 個連線),也適用此限制。若目標 IP 地址、目標連接埠,或是通訊協定 (TCP/UDP/ICMP) 發生變更,您可以建立額外 55,000 個連線。針對超過 55,000 個連線的情況,因連接埠配置錯誤而產生連線錯誤的機率可能會提升。這些錯誤可透過檢視您 NAT 閘道的 ErrorPortAllocation CloudWatch 指標來監控。如需詳細資訊,請參閱 使用 Amazon CloudWatch 監控 NAT 閘道

  • 您僅能將一個彈性 IP 地址與一個公有 NAT 閘道建立關聯。您無法在建立 NAT 閘道之後取消與彈性 IP 地址的關聯。若要針對您的 NAT 閘道使用不同的彈性 IP 地址,您必須使用需要的地址建立新的 NAT 閘道、更新您的路由表,然後刪除現有的 NAT 閘道 (若不再需要的話)。

  • 私有 NAT 閘道會從設定它的子網路接收可用的私有 IP 地址。指派的私有 IP 地址會一直保留,直到您刪除私有 NAT 閘道。您無法將此私有 IP 地址分開,也無法連接其他私有 IP 地址。

  • 您無法建立安全群組與 NAT 閘道的關聯。您可以將安全群組與您的執行個體建立關聯,來控制傳入和傳出流量。

  • 您可以使用網路 ACL 控制流入及流出您 NAT 閘道子網路的流量。NAT 閘道使用連接埠 1024–65535。如需詳細資訊,請參閱 使用網路 ACL 控制子網路的流量

  • NAT 閘道會接收到從子網路 IP 地址範圍獲得自動指派私有 IP 地址的網路界面。您可以使用 Amazon EC2 主控台檢視 NAT 閘道的網路介面。如需詳細資訊,請參閱檢視網路介面的詳細資訊。您無法修改此網路界面的屬性。

  • NAT 閘道無法透過與您 VPC 關聯的 ClassicLink 連線存取。

  • 您無法透過 VPC 對等互連連接、Site-to-Site VPN 連接或 將流量路由至 NAT 閘道AWS Direct Connect NAT 閘道無法由這些連線另一端的資源使用。

控制 NAT 閘道的使用

根據預設,IAM 使用者沒有使用 NAT 閘道的許可。您可以建立 IAM 使用者原則,將建立、描述和刪除 NAT 閘道的許可授予使用者。如需詳細資訊,請參閱Amazon VPC 的 Identity and Access Management

使用 NAT 閘道

您可以使用 Amazon VPC 主控台來建立和管理您的 NAT 閘道。您也可以使用 Amazon VPC 精靈來建立具有公有子網路、私有子網路,以及 NAT 閘道的 VPC。如需詳細資訊,請參閱 具公有和私有子網路 (NAT) 的 VPC

建立 NAT 閘道

若要建立 NAT 閘道,請輸入名稱 (選擇性)、子網路和連線類型 (選擇性)。若是公有 NAT 閘道,您必須指定可用的彈性 IP 地址。私有 NAT 閘道會接收從子網路中隨機選取的主要私有 IP 地址。您無法分離主要私有 IP 地址或新增次要私有 IP 地址。

建立 NAT 閘道

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 NAT Gateways (NAT 閘道)

  3. 選擇建立 NAT 閘道,然後執行下列動作:

    1. (選擇性) 指定 NAT 閘道的名稱。這會建立一個標籤,其中金鑰為 Name,而值是您指定的名稱。

    2. 選取要在其中建立 NAT 閘道的子網路。

    3. 針對 Connectivity type (連線類型),選取 Private (私有) 可建立私有 NAT 閘道,選取 Public (公有)(預設值) 則可建立公有 NAT 閘道。

    4. (僅適用於公有 NAT 閘道) 針對 Elastic IP Allocation ID (彈性 IP 配置 ID),請選取要與 NAT 閘道建立關聯的彈性 IP 地址。

    5. (選擇性) 對於每個標籤,請選擇Add new tag (新增標籤),然後輸入金鑰名稱和值。

    6. 選擇 建立 NAT 閘道

  4. NAT 閘道的初始狀態為 Pending。狀態變更為後 Available,NAT 閘道即可供您使用。將 NAT 閘道路由新增至私有子網路的路由表,並將路由新增至 NAT 閘道的路由表。

    若 NAT 閘道的狀態變更為 Failed,表示在建立過程中發生錯誤。如需詳細資訊,請參閱 NAT 閘道建立失敗

為 NAT 閘道新增標籤

您可為您的 NAT 閘道新增標籤,以利您根據組織需求識別或分類。如需使用標籤的資訊,請參閱《適用於 Linux 執行個體的 Amazon EC2 使用者指南》中的「標記您的 Amazon EC2 資源」。

NAT 閘道支援成本分配標籤。因此,您也可以使用標籤整理您的 AWS 帳單,並反映您自己的成本結構。如需詳細資訊,請參閱《AWS Billing 使用者指南》中的使用成本分配標籤。如需使用標籤設定成本配置報告的詳細資訊,請參閱關於 AWS 帳戶帳單中的每月成本配置報告

刪除 NAT 閘道

若您不再需要 NAT 閘道,您可以予以刪除。在您刪除 NAT 閘道之後,其項目仍會在 Amazon VPC 主控台中顯示約一小時),之後便會自動移除。您無法自行移除此項目。

刪除 NAT 閘道會取消關聯其彈性 IP 地址,但不會從您的帳戶釋出地址。若您刪除 NAT 閘道,NAT 閘道路由會繼續處於 blackhole 狀態,直到您刪除或更新路由。

刪除 NAT 閘道

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 NAT Gateways (NAT 閘道)

  3. 選取 NAT 閘道選項按鈕,然後選擇 Actions (動作)、Delete NAT Gateway (刪除 NAT 閘道)。

  4. 出現確認提示時,請輸入 delete,然後選擇 Delete (刪除)。

  5. 如果您不再需要與公有 NAT 閘道相關聯的彈性 IP 地址,建議您將其釋出。如需詳細資訊,請參閱 釋出彈性 IP 地址

API 和 CLI 概觀

您可以使用命令列或 API 執行此頁面所述的任務。如需命令列界面的詳細資訊與可用的 API 操作清單,請參閱 存取 Amazon VPC

建立 NAT 閘道

描述 NAT 閘道

為 NAT 閘道新增標籤

刪除 NAT 閘道