Principes de base d'une passerelle NAT
Chaque passerelle NAT est créée dans une zone de disponibilité spécifique et implémentée de manière redondante dans cette zone. Le nombre de passerelles NAT que vous pouvez créer dans chaque zone de disponibilité est régi par un quota. Pour de plus amples informations, consultez Passerelles.
Si vous avez des ressources dans plusieurs zones de disponibilité et qu'elles partagent une passerelle NAT, si une panne affecte la zone de disponibilité de la passerelle NAT, les ressources des autres zones de disponibilité perdent leur accès à Internet. Pour améliorer la résilience, créez une passerelle NAT dans chaque zone de disponibilité et configurez votre routage pour vous assurer que les ressources utilisent la passerelle NAT dans la même zone de disponibilité.
Les caractéristiques et règles suivantes s'appliquent aux passerelles NAT :
-
Une passerelle NAT prend en charge les protocoles suivants : TCP, UDP et ICMP.
-
Les passerelles NAT sont prises en charge pour le trafic IPv4 ou IPv6. Pour le trafic IPv6, la passerelle NAT exécute NAT64. Si vous l'utilisez conjointement avec DNS64 (disponible sur le résolveur Route 53), vos charges de travail IPv6 dans un sous-réseau Amazon VPC peuvent communiquer avec les ressources IPv4. Ces services IPv4 peuvent être présents dans le même VPC (dans un sous-réseau distinct) ou dans un autre VPC, dans votre environnement sur site ou sur Internet.
-
Une passerelle NAT prend en charge jusqu'à 5 Gbit/s de bande passante et augmente automatiquement jusqu'à 100 Gbit/s. Si vous avez besoin de plus de bande passante, vous pouvez diviser vos ressources en plusieurs sous-réseaux et créer une passerelle NAT dans chaque sous-réseau.
-
Une passerelle NAT peut traiter un million de paquets par seconde et augmenter automatiquement jusqu'à dix millions de paquets par seconde. Au-delà de cette limite, une passerelle NAT supprime les paquets. Pour éviter une perte de paquets, fractionnez vos ressources en plusieurs sous-réseaux et créez une passerelle NAT distincte pour chacun d'eux.
-
Chaque adresse IPv4 peut prendre en charge jusqu'à 55 000 connexions simultanées vers chaque destination unique. Une destination unique est identifiée par une combinaison unique d'adresse IP de destination, de port de destination et de protocole (TCP/UDP/ICMP). Vous pouvez augmenter cette limite en associant jusqu’à huit adresses IPv4 à vos passerelles NAT (une principale et sept secondaires). Par défaut, vous ne pouvez associer que deux adresses IP Elastic à votre passerelle NAT publique. Vous pouvez augmenter cette limite en sollicitant un ajustement de quota. Pour de plus amples informations, consultez Adresses IP Elastic.
-
Lorsque vous créez une passerelle NAT, vous pouvez choisir l’adresse IPv4 privée principale qui lui est attribuée. Sinon, une adresse est sélectionnée pour vous dans la plage d’adresses IPv4 du sous-réseau. Vous ne pouvez pas modifier ou supprimer l’adresse IPv4 privée principale. Vous pouvez ajouter des adresses IPv4 privées secondaires si nécessaire.
-
Vous ne pouvez pas associer de groupe de sécurité à une passerelle NAT. Vous pouvez associer des groupes de sécurité à vos instances afin de contrôler le trafic entrant et sortant.
-
Une interface réseau gérée par le demandeur est créée pour votre passerelle NAT. Vous pouvez visualiser cette interface réseau à l’aide de la console Amazon EC2. Recherchez l’ID de la passerelle NAT dans la description. Vous pouvez ajouter des balises à l’interface réseau, mais vous ne pouvez modifier aucune autre de ses propriétés.
-
Vous pouvez utiliser une ACL réseau pour contrôler le trafic entrant et sortant du sous-réseau pour votre passerelle NAT. Les passerelles NAT utilisent les ports 1024–65535. Pour de plus amples informations, consultez Listes ACL réseau.
-
Vous ne pouvez pas acheminer le trafic vers une passerelle NAT via une connexion d’appairage de VPC. Cependant, le trafic en provenance d’une passerelle NAT via l’appairage de VPC à destination de VPC appairés prend en charge le comportement de « retour à l’expéditeur » : le trafic de retour est automatiquement redirigé vers la passerelle NAT d’origine même si aucune route de retour n’est configurée dans le VPC de destination. Ce comportement est propre aux passerelles NAT et ne s’applique pas aux instances EC2 standard. Pour l’éviter, bloquez le trafic de retour à l’aide de NACL.
Non pris en charge :
Client → Peering → NAT → InternetPris en charge :
Client → NAT → Peering → Destination -
Vous ne pouvez pas acheminer de trafic vers une passerelle NAT depuis une connexion VPN site à site ou Direct Connect à l’aide d’une passerelle privée virtuelle. Pour cela, vous devez utiliser une passerelle de transit.
-
Les passerelles NAT prennent en charge le trafic avec une unité de transmission maximale (MTU) de 8 500, mais il est important de noter ce qui suit :
-
L’unité de transmission maximale (MTU) d’une connexion réseau correspond à la taille, en octets, du paquet le plus volumineux susceptible d’être transmis via la connexion. Plus la MTU d’une connexion est élevée, plus la quantité de données pouvant être transmises dans un seul paquet est importante.
-
Les paquets de plus de 8 500 octets qui parviennent à la passerelle NAT sont supprimés (ou fragmentés, le cas échéant).
-
Pour éviter toute perte de paquets potentielle lors de la communication avec des ressources via Internet via une passerelle NAT publique, le paramètre MTU de vos instances EC2 ne doit pas dépasser 1 500 octets. Pour plus d’informations sur la vérification et le paramétrage de la MTU sur une instance, consultez Network MTU for your EC2 instance dans le Guide d’utilisation d’Amazon EC2.
Les passerelles NAT prennent en charge la détection de la MTU du chemin (PMTUD) via les paquets FRAG_NEEDED ICMPv4 et les paquets Packet Too Big (PTB) ICMPv6.
-
Les passerelles NAT appliquent la taille maximale du segment (MSS) pour tous les paquets. Pour de plus amples informations, veuillez consulter RFC879
.
-
