Nozioni di base sul gateway NAT - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nozioni di base sul gateway NAT

Ogni gateway NAT viene creato in una zona di disponibilità specifica e implementato con ridondanza in tale zona. Esiste una quota per il numero di gateway NAT che possono essere creati in una zona di disponibilità. Per ulteriori informazioni, consulta Gateway.

Se disponi di risorse in più zone di disponibilità che condividono un gateway NAT e la zona di disponibilità del gateway NAT non è disponibile, le risorse nelle altre zone di disponibilità perdono l'accesso a Internet. Per migliorare la resilienza, crea un gateway NAT in ogni zona di disponibilità e configura l'instradamento per garantire che le risorse utilizzino il gateway NAT nella stessa zona di disponibilità.

Ai gateway NAT si applicano le seguenti caratteristiche e regole:

  • Un gateway NAT supporta i seguenti protocolli: TCP, UDP e ICMP.

  • I gateway NAT sono supportati per il nostro traffico. IPv4 IPv6 Per quanto riguarda IPv6 il traffico, il gateway NAT funziona. NAT64 Utilizzandolo insieme a DNS64 (disponibile sul resolver Route 53), i IPv6 carichi di lavoro in una sottorete di Amazon VPC possono comunicare con le risorse. IPv4 Questi IPv4 servizi possono essere presenti nello stesso VPC (in una sottorete separata) o in un VPC diverso, nell'ambiente locale o su Internet.

  • Un gateway NAT supporta 5 Gbps di larghezza di banda e può aumentare automaticamente fino a 100 Gbps. Se è necessaria più larghezza di banda, puoi suddividere le tue risorse in più sottoreti e creare un gateway NAT in ogni sottorete.

  • Un gateway NAT può elaborare un milione di pacchetti al secondo e aumentare automaticamente fino a dieci milioni di pacchetti al secondo. Oltre questo limite, un gateway NAT rilascerà i pacchetti. Per evitare la perdita di pacchetti, suddividere le risorse in più sottoreti e creare un gateway NAT separato per ogni sottorete.

  • Ogni IPv4 indirizzo può supportare fino a 55.000 connessioni simultanee verso ogni destinazione unica. Una destinazione univoca è identificata da una combinazione unica di indirizzo IP di destinazione, porta di destinazione e protocollo ()TCP/UDP/ICMP. È possibile aumentare questo limite associando fino a 8 IPv4 indirizzi ai gateway NAT (1 IPv4 indirizzo primario e 7 indirizzi secondari IPv4 ). Per impostazione predefinita, puoi associare fino a 2 indirizzi IP elastici al tuo gateway NAT pubblico. Puoi aumentare questo limite chiedendo un adeguamento delle quote. Per ulteriori informazioni, consulta Indirizzi IP elastici.

  • Quando si crea un gateway NAT, è possibile selezionare l' IPv4 indirizzo privato principale da assegnare al gateway NAT. Altrimenti, ne selezioniamo uno per tuo conto dall'intervallo di IPv4 indirizzi della sottorete. Non puoi modificare o rimuovere l' IPv4 indirizzo privato principale. Se necessario, puoi aggiungere IPv4 indirizzi privati secondari.

  • Non è possibile associare un gruppo di sicurezza a un gateway NAT. Puoi associare i gruppi di sicurezza alle tue istanze per controllare il traffico in entrata e in uscita.

  • Creiamo un'interfaccia di rete gestita dal richiedente per il tuo gateway NAT. Puoi visualizzare questa interfaccia di rete utilizzando la EC2 console Amazon. Cerca l'ID del gateway NAT nella descrizione. È possibile aggiungere tag all'interfaccia di rete, ma non è possibile modificare altre proprietà di questa interfaccia di rete.

  • Puoi utilizzare una lista di controllo degli accessi di rete per controllare il traffico verso e dalla sottorete in cui si trova il gateway NAT. I gateway NAT utilizzano le porte 1024 - 65535. Per ulteriori informazioni, consulta Rete ACLs.

  • Non puoi instradare traffico a un gateway NAT tramite una connessione peering VPC. Tuttavia, il traffico proveniente da un gateway NAT tramite peering VPC verso destinazioni in modalità VPCs peered supporta il comportamento «Return to Sender»: il traffico di ritorno viene automaticamente reindirizzato al gateway NAT di origine anche senza che le rotte di ritorno siano configurate nel VPC di destinazione. Questo comportamento è specifico dei gateway NAT e non si applica alle istanze standard. EC2 Per evitare che ciò accada, usa NACLs per bloccare il traffico di ritorno.

    Non supportato:

    Client → Peering → NAT → Internet

    Supportato:

    Client → NAT → Peering → Destination

  • Non è possibile indirizzare il traffico verso un gateway NAT da Site-to-Site VPN o Direct Connect utilizzando un gateway privato virtuale. Puoi indirizzare il traffico verso un gateway NAT da Site-to-Site VPN o Direct Connect se utilizzi un gateway di transito anziché un gateway privato virtuale.

  • I gateway NAT supportano il traffico con un'unità di trasmissione massima (MTU) di 8500, ma è importante tenere presente quanto segue:

    • L'unità massima di trasmissione (MTU) di una connessione di rete è la dimensione, in byte, del pacchetto più grande consentito trasferibile attraverso la connessione. Maggiore è la MTU di una connessione, maggiore è la quantità di dati trasferibili in un unico pacchetto.

    • I pacchetti di dimensioni superiori a 8500 byte che arrivano al gateway NAT vengono eliminati (o frammentati, se applicabile).

    • Per evitare la potenziale perdita di pacchetti durante la comunicazione con le risorse su Internet utilizzando un gateway NAT pubblico, l'impostazione MTU per le istanze non deve superare i 1500 byte. EC2 Per ulteriori informazioni sul controllo e l'impostazione dell'MTU su un'istanza, consulta Network MTU per la tua EC2 istanza nella Amazon EC2 User Guide.

    • I gateway NAT supportano Path MTU Discovery (PMTUD) tramite pacchetti FRAG_NEEDED e pacchetti Packet Too Big (PTB). ICMPv4 ICMPv6

    • I gateway NAT applicano il clamping MSS (Maximum Segment Size) a tutti i pacchetti. Per ulteriori informazioni, consulta RFC879.