Grundlagen zu NAT-Gateways

Jedes NAT-Gateway wird in einer bestimmten Availability Zone erstellt und redundant innerhalb dieser Zone implementiert. Die Anzahl der NAT-Gateways, die Sie in einer Availability Zone erstellen können, unterliegt einem Kontingent. Weitere Informationen finden Sie unter Gateways.

Wenn Sie Ressourcen in mehreren Availability Zones haben, die gemeinsam ein NAT-Gateway nutzen, verlieren die Ressourcen in den anderen Availability Zones den Zugriff auf das Internet, wenn die Availability Zone des NAT-Gateways ausfällt. Um die Ausfallsicherheit zu erhöhen, richten Sie in jeder Availability Zone ein NAT-Gateway ein und konfigurieren Sie Ihr Routing so, dass die Ressourcen das NAT-Gateway in derselben Availability Zone verwenden.

Die folgenden Merkmale und Regeln gelten für NAT-Gateways:

NAT-Gateways unterstützen die folgenden Protokolle: TCP, UDP und ICMP.
NAT-Gateways werden für den IPv4- oder IPv6-Verkehr unterstützt. Für IPv6-Datenverkehr führt NAT-Gateway NAT64 aus. Durch die Verwendung davon in Verbindung mit DNS64 (verfügbar im Resolver Route 53) können Ihre IPv6-Workloads in einem Subnetz in Amazon VPC mit IPv4-Ressourcen kommunizieren. Diese IPv4-Services können in derselben VPC (in einem separaten Subnetz) oder einer anderen VPC, in Ihrer On-Premises-Umgebung oder im Internet verfügbar sein.
Ein NAT-Gateway unterstützt eine Bandbreite von 5 Gbps und skaliert automatisch bis auf 100 Gbit/s. Wenn Sie mehr Bandbreite benötigen, können Sie Ihre Ressourcen auf mehrere Subnetze verteilen und pro Subnetz ein NAT-Gateway erstellen.
Ein NAT-Gateway kann eine Million Pakete pro Sekunde verarbeiten und skaliert automatisch bis zu zehn Millionen Pakete pro Sekunde. Über diese Grenze hinaus wird ein NAT-Gateway Pakete löschen. Teilen Sie Ihre Ressourcen auf, um Paketverluste zu vermeiden, und erstellen Sie pro Subnetz ein separates NAT-Gateway.
Jede IPv4-Adresse kann bis zu 55 000 gleichzeitige Verbindungen zu jedem eindeutigen Ziel unterstützen. Ein eindeutiges Ziel wird durch eine eindeutige Kombination aus Ziel-IP-Adresse, Zielport und Protokoll (TCP/UDP/ICMP) identifiziert. Sie können dieses Limit erhöhen, indem Sie Ihren NAT-Gateways bis zu 8 IPv4-Adressen zuweisen (1 primäre IPv4-Adresse und 7 sekundäre IPv4-Adressen). Sie können Ihrem öffentlichen NAT-Gateway standardmäßig nur 2 Elastic-IP-Adressen zuweisen. Sie können dieses Limit erhöhen, indem Sie eine Kontingentanpassung beantragen. Weitere Informationen finden Sie unter Elastic-IP-Adressen.
Wenn Sie ein NAT-Gateway erstellen, können Sie die primäre private IPv4-Adresse auswählen, die dem NAT-Gateway zugewiesen werden soll. Andernfalls wählen wir in Ihrem Namen eine aus dem IPv4-Adressbereich des Subnetzes aus. Sie können die primäre private IPv4-Adresse nicht ändern oder entfernen. Sie können nach Bedarf sekundäre private IPv4-Adressen ergänzen.
Sie können einer Sicherheitsgruppe kein NAT-Gateway zuordnen. Sie können Ihren Instances Sicherheitsgruppen zuordnen, um den ein- und ausgehenden Datenverkehr zu steuern.
Wir erstellen eine vom Anforderer verwaltete Netzwerkschnittstelle für Ihr NAT-Gateway. Sie können diese Netzwerkschnittstelle in der Amazon-EC2-Konsole ansehen. Suchen Sie nach der ID des NAT-Gateways in der Beschreibung. Sie können zur Netzwerkschnittstelle Tags ergänzen, aber Sie können andere Eigenschaften dieser Netzwerkschnittstelle nicht ändern.
Sie können eine Netzwerk-ACL verwenden, um den Datenverkehr zu und von dem Subnetz zu Ihrem NAT-Gateway zu steuern. NAT-Gateways verwenden die Ports 1024 bis 65535. Weitere Informationen finden Sie unter Netzwerk-ACLs.
Es ist nicht möglich, Datenverkehr über eine VPC-Peering-Verbindung an ein NAT-Gateway weiterzuleiten. Der Datenverkehr von einem NAT-Gateway über VPC-Peering zu Zielen in per Peering verbundenen VPCs unterstützt jedoch das „Return-to-Sender“-Verhalten – Rückverkehr wird automatisch zurück zum ursprünglichen NAT-Gateway geleitet, selbst wenn in der Ziel-VPC keine Rückrouten konfiguriert sind. Dieses Verhalten ist spezifisch für NAT-Gateways und gilt nicht für die Standard-EC2-Instances. Wenn Sie dies verhindern möchten, verwenden Sie NACLs, um den Rückverkehr zu blockieren.

Nicht unterstützt:
```
Client → Peering → NAT → Internet
```
Unterstützt:
```
Client → NAT → Peering → Destination
```
Es ist nicht möglich, den Datenverkehr von Site-to-Site-VPN oder Direct Connect über ein virtuelles privates Gateway an ein NAT-Gateway zu senden. Sie können Datenverkehr von Site-to-Site VPN oder Direct Connect an ein NAT-Gateway weiterleiten, wenn Sie ein Transit-Gateway anstelle eines virtuellen privaten Gateways verwenden.
NAT-Gateways unterstützen Datenverkehr mit einer maximalen Übertragungseinheit (MTU) von 8 500, es ist jedoch wichtig, Folgendes zu beachten:
- Die MTU einer Netzwerkverbindung ist die Größe (in Byte) des größten zulässigen Datenpakets, das über die Verbindung übergeben werden kann. Je größer die MTU einer Verbindung, desto mehr Daten können in einem einzelnen Paket übergeben werden.
- Pakete mit mehr als 8 500 Byte, die am NAT-Gateway eingehen, werden verworfen (oder fragmentiert, falls zutreffend).
- Um einen potenziellen Paketverlust bei der Kommunikation mit Ressourcen über das Internet über ein öffentliches NAT-Gateway zu verhindern, sollte die MTU-Einstellung für Ihre EC2-Instances 1 500 Byte nicht überschreiten. Weitere Informationen zum Überprüfen und Einstellen der MTU für eine Instance finden Sie unter Netzwerk-MTU für Ihre EC2-Instance im Amazon-EC2-Benutzerhandbuch.
- NAT-Gateways unterstützen Path MTU Discovery (PMTUD) über FRAG_NEEDED für ICMPv4-Pakete und Packet Too Big (PTB) für ICMPv6-Pakete.
- NAT-Gateways erzwingen das Klemmen der maximalen Segmentgröße (MSS) für alle Pakete. Weitere Informationen finden Sie unter RFC879

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

NAT gateways (NAT-Gateways)

Arbeiten mit NAT-Gateways