Vergleich zwischen NAT-Gateways und NAT-Instances
Nachfolgend werden die Unterschiede zwischen NAT-Gateways und NAT-Instances übersichtlich beschrieben. Es wird empfohlen, NAT-Gateways zu verwenden, da sie eine bessere Verfügbarkeit und Bandbreite bieten und weniger Administrationsaufwand erfordern.
| Attribut | NAT-Gateway | NAT-Instance |
|---|---|---|
| Verfügbarkeit | Hochverfügbar. NAT-Gateways werden innerhalb jeder Availability Zone redundant implementiert. Erstellen Sie ein NAT-Gateway in jeder Availability Zone, um eine zonenunabhängige Architektur sicherzustellen. | Den Failover zwischen Instances können Sie mithilfe eines Skripts verwalten. |
| Bandbreite | Bis zu 100 Gbit/s hochskalierbar. | Abhängig von der Bandbreite des Instance-Typs |
| Wartung | Verwaltet von AWS. Wartung ist nicht erforderlich. | Von Ihnen verwaltet, beispielsweise zur Installation von Softwareupdates oder Betriebssystem-Patches auf der Instance |
| Leistung | Software auf NAT-Datenverkehr optimiert | Generisches, für NAT konfiguriertes AMI |
| Kosten | Gebühren abhängig von der Anzahl der verwendeten NAT-Gateways, der Nutzungsdauer und dem über die NAT-Gateways gesendeten Datenvolumen | Gebühren abhängig von der Anzahl der verwendeten NAT-Instances, der Nutzungsdauer und dem Instance-Typ sowie der Instance-Größe |
| Typ und Größe | Einheitliches Angebot, keine Auswahl von Typ oder Größe | Auswahl des geeigneten Instance-Typs und der Instance-Größe anhand des erwarteten Workloads |
| Öffentliche IP-Adresse | Sie ordnen beim Erstellen eines öffentlichen NAT-Gateways eine elastische IP-Adresse zu. | Für NAT-Instances können Sie eine Elastic-IP-Adresse oder eine öffentliche IP-Adresse verwenden. Sie können die öffentliche IP-Adresse jederzeit ändern, indem Sie der Instance eine neue Elastic-IP-Adresse zuordnen. |
| Private IP-Adressen | Die private IP-Adresse wird beim Erstellen des Gateways automatisch aus dem IP-Adressbereich des Subnetzes zugewiesen. | Weisen Sie beim Starten der Instance eine bestimmte private IP-Adresse aus dem IP-Adressbereich des Subnetzes zu. |
| Sicherheitsgruppen | Sie können einer Sicherheitsgruppe kein NAT-Gateway zuordnen. Sie können den Ressourcen hinter dem NAT-Gateway Sicherheitsgruppen zuordnen, um den ein- und ausgehenden Datenverkehr zu steuern. | Ordnen Sie sie NAT-Instances und den Ressourcen hinter der NAT-Instance zu, um ein- und ausgehenden Datenverkehr zu steuern. |
| Netzwerk-ACLs | Verwenden Sie eine Netzwerk-ACL, um den Datenverkehr zu und von dem Subnetz zu steuern, in dem sich das NAT-Gateway befindet. | Verwenden Sie eine Netzwerk-ACL, um den Datenverkehr zu und von dem Subnetz zu steuern, in dem sich die NAT-Instance befindet. |
| Flow-Protokolle | Verwenden Sie Flow-Protokolle, um den Datenverkehr zu erfassen. | Verwenden Sie Flow-Protokolle, um den Datenverkehr zu erfassen. |
| Port-Weiterleitung | Nicht unterstützt | Manuelle Anpassung der Konfiguration zur Unterstützung von Port-Weiterleitung |
| Bastion Hosts | Nicht unterstützt | Als Bastion Host verwenden |
| Datenverkehr-Metriken | Anzeigen von CloudWatch-Metriken für das NAT-Gateway. | Anzeigen von CloudWatch-Metriken für die Instance. |
| Timeout-Verhalten | Wenn eine Verbindung abläuft, gibt ein NAT-Gateway ein RST-Paket an die Ressourcen hinter dem NAT-Gateway zurück, um zu versuchen, die Verbindung wiederaufzunehmen (es wird kein FIN-Paket gesendet). | Wenn eine Verbindung abläuft, sendet eine NAT-Instance ein FIN-Paket an die Ressourcen hinter der NAT-Instance, um die Verbindung zu beenden. |
| IP-Fragmentierung | Weiterleitung von IP-fragmentierten Paketen für das UDP-Protokoll wird unterstützt. Fragmentierung für das TCP- und ICMP-Protokoll wird nicht unterstützt. Fragmentierte Pakete werden für diese Protokolle verworfen. |
Zusammenführung von IP-fragmentierten Paketen wird für das UDP-, TCP- und ICMP-Protokoll unterstützt. |
Migrieren von einer NAT-Instance zu einem NAT-Gateway
Wenn Sie bereits eine NAT-Instance verwenden, empfehlen wir, diese durch ein NAT-Gateway zu ersetzen. Erstellen Sie dafür ein NAT-Gateway im selben Subnetz wie die NAT-Instance und ersetzen Sie die vorhandene Route in der Routing-Tabelle zur NAT-Instance durch eine Route zum NAT-Gateway. Wenn Sie dieselbe Elastic-IP-Adresse, die Sie für die NAT-Instance verwenden, für das NAT-Gateway verwenden möchten, müssen Sie die Zuordnung der Elastic-IP-Adresse zur NAT-Instance zunächst aufheben und sie beim Erstellen des NAT-Gateways dann diesem zuordnen.
Wenn Sie die Route von einer NAT-Instance auf ein NAT-Gateway ändern oder die Zuordnung der Elastic-IP-Adresse zur NAT-Instance aufheben, werden alle bestehenden Verbindungen getrennt und müssen neu hergestellt werden. Achten Sie darauf, dass keine wichtigen Aufgaben (oder Aufgaben auf der NAT-Instance) ausgeführt werden.
