Passerelles NAT régionales pour une extension multi-AZ automatique - Amazon Virtual Private Cloud
AvantagesQuand utiliser les passerelles NAT régionalesComment fonctionnent les passerelles NAT régionalesTarificationCréation d'une passerelle NAT régionaleConversion de passerelles NAT zonales en passerelles NAT régionales

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Passerelles NAT régionales pour une extension multi-AZ automatique

Utilisez des passerelles NAT régionales lorsque vous souhaitez simplifier l'architecture de votre réseau, améliorer votre niveau de sécurité et configurer la haute disponibilité par défaut. Une passerelle NAT régionale s'étend automatiquement aux zones de disponibilité en fonction de la présence de votre charge de travail. Contrairement aux passerelles NAT standard (appelées passerelles NAT zonales), qui fonctionnent dans une seule zone de disponibilité, les passerelles NAT régionales suivent vos charges de travail pour fournir une haute disponibilité automatique.

Le schéma A de gauche représente la configuration actuelle avec une passerelle NAT zonale. Vous créez d'abord des passerelles NAT zonales par zone de disponibilité et vous les hébergez NATs dans des sous-réseaux publics. Vous configurez ensuite des routes distinctes par zone de disponibilité entre vos sous-réseaux privés et le NAT de cette zone de disponibilité. Vous répétez cette étape chaque fois que vos charges de travail s'étendent vers une nouvelle zone de disponibilité, pour une haute disponibilité. En outre, vous devez ajouter des routes pour la passerelle Internet dans la table de routage de votre sous-réseau NAT par zone de disponibilité.

En revanche, avec une passerelle NAT régionale, il n'est pas nécessaire de créer un sous-réseau public pour l'héberger. Vous n'avez pas non plus à créer et à supprimer des passerelles NAT et à modifier vos tables de routage chaque fois que vos charges de travail s'étendent à de nouvelles zones de disponibilité. Au lieu de cela, il vous suffit de créer une passerelle NAT en mode régional, de choisir votre VPC, qui s'étend et se contracte automatiquement en AZs fonction de la présence de votre charge de travail afin d'offrir une haute disponibilité. Comme le montre le diagramme B, vous pouvez acheminer le trafic depuis vos ressources dans un sous-réseau privé AZs vers cet identifiant de passerelle NAT régional unique, ou utiliser la même table de routage sur les sous-réseaux de votre zone de disponibilité pour effectuer la traduction des adresses réseau. Une fois que vous avez créé votre passerelle NAT régionale, elle crée AWS automatiquement une table de routage, qui comprend un itinéraire préconfiguré vers la passerelle Internet. Vous pouvez utiliser cette table de routage pour ajouter des itinéraires de retour à vos middleboxes.

Avantages

Les passerelles NAT régionales offrent les avantages suivants :

  • Configuration simplifiée : utilisez un identifiant NAT unique dans toutes les zones de disponibilité dotées d'interfaces réseau, afin de pouvoir utiliser la même entrée de route pour les sous-réseaux des différentes zones de disponibilité.

  • Sécurité renforcée : aucun sous-réseau public n'est requis. Une passerelle NAT régionale est une ressource autonome dotée de sa propre table de routage et vous n'avez pas besoin d'un sous-réseau public dans votre VPC pour héberger une passerelle NAT régionale, ce qui réduit les risques de mauvaise configuration des ressources privées dans les sous-réseaux dotés d'une connectivité publique.

  • Haute disponibilité automatique : étend et réduit automatiquement l'encombrement de votre charge de travail afin de maintenir l'affinité zonale, ce qui garantit une haute disponibilité par défaut.

  • Limites de port et d'IP plus élevées : vos passerelles NAT régionales prennent en charge jusqu'à 32 adresses IP par zone de disponibilité (contre 8 pour les passerelles NAT zonales). Chaque adresse IP augmente la limite de connexions simultanées vers une destination populaire (identifiée par une combinaison unique d'IP de destination, de port de destination et de protocole) de 55 000.

Quand utiliser les passerelles NAT régionales

Envisagez d'utiliser des passerelles NAT régionales pour tous les cas d'utilisation, à l'exception de ceux qui nécessitent une connectivité privée. Les passerelles NAT régionales n'offrent pas de connectivité privée et nous vous recommandons d'utiliser vos passerelles NAT en mode de disponibilité zonale pour les cas d'utilisation de NAT privés.

Comment fonctionnent les passerelles NAT régionales

Lorsque vous lancez des ressources dans une nouvelle zone de disponibilité, la passerelle NAT régionale détecte la présence d'une interface réseau (ENI) dans cette zone de disponibilité et s'étend automatiquement à cette zone. De même, la passerelle NAT contracte à partir de la zone de disponibilité qui n'a aucune charge de travail active.

L'extension de votre passerelle NAT régionale vers une nouvelle zone de disponibilité peut prendre jusqu'à 60 minutes une fois qu'une ressource y a été instanciée. Jusqu'à ce que cette extension soit terminée, le trafic pertinent provenant de cette ressource est traité entre les zones par votre passerelle NAT régionale dans l'une des zones de disponibilité existantes.

Les passerelles NAT régionales prennent en charge deux modes :

  • Mode automatique : dans ce mode, gère AWS automatiquement les adresses IP et l'extension de la zone de disponibilité (recommandé). Si vous souhaitez utiliser vos propres adresses IP dans ce mode et que vous utilisez Amazon VPC IPAM, consultez la section Définir une stratégie d' IPv4 allocation publique avec des politiques IPAM dans le guide de l'utilisateur Amazon VPC IPAM.

  • Mode manuel : dans ce mode, vous gérez manuellement les adresses IP et contrôlez la traduction des adresses réseau pour chaque zone de disponibilité. En mode manuel, vous êtes responsable de l'extension et de la contraction de votre passerelle NAT entre les zones de disponibilité.

Tarification

Pour plus d'informations sur les tarifs, consultez la section Tarification Amazon VPC.

Création d'une passerelle NAT régionale

Utilisation de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Passerelles NAT.

  3. Sélectionnez Créer une passerelle NAT.

  4. Pour le mode de disponibilité, choisissez Régional. Il n'est pas nécessaire de spécifier de sous-réseaux lorsque vous choisissez la disponibilité régionale.

  5. Choisissez un VPC.

  6. Terminez la configuration restante et choisissez Create NAT gateway.

Utilisation de la AWS CLI

Création d'une passerelle NAT régionale

aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional

Afficher les détails de la passerelle NAT

aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678

Ajouter des adresses IP (mode manuel)

aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678

Supprimer les adresses IP

aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678

Supprimer une passerelle NAT régionale

aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678

Conversion de passerelles NAT zonales en passerelles NAT régionales

Important

Cela réinitialisera vos connexions existantes. Nous vous recommandons de suivre ces étapes dans votre fenêtre de maintenance.

Vous pouvez convertir des passerelles NAT zonales existantes en passerelle NAT régionale en utilisant l'une des deux approches suivantes :

Si vous êtes d'accord avec l'utilisation de passerelles NAT régionales avec de nouvelles adresses IP :

  1. Création d'une nouvelle passerelle NAT régionale

  2. Mettre à jour les tables de routage pour qu'elles pointent vers la passerelle NAT régionale

  3. Supprimer les anciennes passerelles NAT zonales

Cette approche utilise de nouvelles adresses IP et réinitialise les connexions existantes lorsque les itinéraires sont mis à jour.

Si vous souhaitez réutiliser des adresses IP existantes avec des passerelles NAT régionales :

  1. Supprimer les passerelles NAT zonales existantes pour libérer leurs adresses IP

  2. Créez une passerelle NAT régionale à l'aide des adresses IP publiées

  3. Mettre à jour les tables de routage pour qu'elles pointent vers la passerelle NAT régionale

Cette approche préserve les adresses IP mais nécessite une fenêtre de maintenance car le trafic est interrompu pendant la transition.