Nozioni di base sul gateway NAT - Amazon Virtual Private Cloud

Nozioni di base sul gateway NAT

Ogni gateway NAT viene creato in una zona di disponibilità specifica e implementato con ridondanza in tale zona. Esiste una quota per il numero di gateway NAT che possono essere creati in una zona di disponibilità. Per ulteriori informazioni, consulta Gateway.

Se disponi di risorse in più zone di disponibilità che condividono un gateway NAT e la zona di disponibilità del gateway NAT non è disponibile, le risorse nelle altre zone di disponibilità perdono l’accesso a Internet. Per migliorare la resilienza, crea un gateway NAT in ogni zona di disponibilità e configura l’instradamento per garantire che le risorse utilizzino il gateway NAT nella stessa zona di disponibilità.

Ai gateway NAT si applicano le seguenti caratteristiche e regole:

  • Un gateway NAT supporta i seguenti protocolli: TCP, UDP e ICMP.

  • I gateway NAT sono supportati per il traffico IPv4 o IPv6. Per il traffico IPv6, il gateway NAT esegue NAT64. Usandolo insieme a DNS64 (disponibile su Route 53 resolver), i carichi di lavoro IPv6 in una sottorete di Amazon VPC possono comunicare con le risorse IPv4. Questi servizi IPv4 possono essere presenti nello stesso VPC (in una sottorete separata) o in un VPC diverso, nell’ambiente on-premise o su Internet.

  • Un gateway NAT supporta 5 Gbps di larghezza di banda e può aumentare automaticamente fino a 100 Gbps. Se è necessaria più larghezza di banda, puoi suddividere le tue risorse in più sottoreti e creare un gateway NAT in ogni sottorete.

  • Un gateway NAT può elaborare un milione di pacchetti al secondo e aumentare automaticamente fino a dieci milioni di pacchetti al secondo. Oltre questo limite, un gateway NAT rilascerà i pacchetti. Per evitare la perdita di pacchetti, suddividere le risorse in più sottoreti e creare un gateway NAT separato per ogni sottorete.

  • Ogni indirizzo IPv4 può supportare fino a 55.000 connessioni simultanee verso una destinazione univoca. Una destinazione univoca è identificata da una combinazione univoca di indirizzo IP di destinazione, porta di destinazione e protocollo (TCP/UDP/ICMP). Puoi aumentare questo limite associando fino a 8 indirizzi IPv4 ai tuoi gateway NAT (1 indirizzo IPv4 primario e 7 indirizzi IPv4 secondari). Per impostazione predefinita, puoi associare fino a 2 indirizzi IP elastici al tuo gateway NAT pubblico. Puoi aumentare questo limite chiedendo un adeguamento delle quote. Per ulteriori informazioni, consulta Indirizzi IP elastici.

  • Quando crei un gateway NAT, ora puoi selezionare l’indirizzo IPv4 privato primario da assegnare al gateway NAT. In caso contrario, ne selezioneremo uno per te dall’intervallo di indirizzi IPv4 della sottorete. Non puoi modificare o rimuovere l’indirizzo IPv4 privato primario. Puoi aggiungere indirizzi IPv4 privati secondari in base alle esigenze.

  • Non puoi associare un gruppo di sicurezza a un gateway NAT. Puoi associare i gruppi di sicurezza alle tue istanze per controllare il traffico in entrata e in uscita.

  • Creiamo un’interfaccia di rete gestita dal richiedente per il tuo gateway NAT. Puoi visualizzare questa interfaccia utilizzando la console Amazon EC2. Cerca l’ID del gateway NAT nella descrizione. Puoi aggiungere tag all’interfaccia di rete, ma non puoi modificare altre proprietà di questa interfaccia di rete.

  • Puoi utilizzare una lista di controllo degli accessi di rete per controllare il traffico verso e dalla sottorete in cui si trova il gateway NAT. I gateway NAT utilizzano le porte 1024 - 65535. Per ulteriori informazioni, consulta Liste di controllo accessi (ACL) di rete.

  • Non puoi instradare traffico a un gateway NAT tramite una connessione peering VPC. Tuttavia, il traffico proveniente da un gateway NAT tramite peering di VPC verso destinazioni in VPC con peering supporta il comportamento “Restituire al mittente”: il traffico di ritorno viene automaticamente reindirizzato al gateway NAT di origine anche senza che le rotte di ritorno siano configurate nel VPC di destinazione. Questo comportamento è specifico dei gateway NAT e non si applica alle istanze EC2 standard. Per evitare che ciò accada, usa i NACL per bloccare il traffico di ritorno.

    Non supportato:

    Client → Peering → NAT → Internet

    Supportato:

    Client → NAT → Peering → Destination

  • Non puoi instradare il traffico a un gateway NAT dalla VPN da sito a sito o Direct Connect utilizzando un gateway privato virtuale. Puoi instradare il traffico a un gateway NAT dalla VPN da sito a sito o Direct Connect se utilizzi un gateway di transito invece di uno privato virtuale.

  • I gateway NAT supportano il traffico con un’unità di trasmissione massima (MTU) di 8500, ma è importante tenere presente quanto segue:

    • L’unità massima di trasmissione (MTU) di una connessione di rete è la dimensione, in byte, del pacchetto più grande consentito trasferibile attraverso la connessione. Maggiore è la MTU di una connessione, maggiore è la quantità di dati trasferibili in un unico pacchetto.

    • I pacchetti con più di 8.500 byte che arrivano al gateway NAT vengono eliminati (o frammentati, se applicabile).

    • Per evitare la potenziale perdita di pacchetti durante la comunicazione con le risorse su Internet utilizzando un gateway NAT pubblico, l’impostazione MTU per le istanze EC2 non deve superare i 1.500 byte. Per ulteriori informazioni sul controllo e l’impostazione dell’MTU su un’istanza, consulta la Rete MTU nella tua istanza EC2 nella Guida per l’utente di Amazon EC2.

    • I gateway NAT supportano Path MTU Discovery (PMTUD) tramite pacchetti ICMPv4 FRAG_NEEDED e pacchetti ICMPv6 Packet Too Big (PTB).

    • I gateway NAT applicano il clamping MSS (Maximum Segment Size) a tutti i pacchetti. Per maggiori informazioni, consulta RFC879.