Elevata disponibilità Sicurezza Scalabilità

Utilizzo del gateway NAT per l'uscita centralizzata IPv4

Il gateway NAT è un servizio gestito di traduzione di indirizzi di rete. L'implementazione di un gateway NAT in ogni VPC a socket può diventare proibitiva in termini di costi, perché si paga una tariffa oraria per ogni gateway NAT che si distribuisce (consulta i prezzi di Amazon VPC). La centralizzazione dei gateway NAT può essere un'opzione valida per ridurre i costi. Per centralizzare, si crea un VPC in uscita separato nell'account dei servizi di rete, si distribuiscono i gateway NAT nel VPC in uscita e si instrada tutto il traffico in uscita dagli spoke ai VPCs gateway NAT che risiedono nel VPC in uscita utilizzando Transit Gateway o CloudWAN, come illustrato nella figura seguente.

Nota

Quando si centralizza il gateway NAT utilizzando Transit Gateway, si paga un costo aggiuntivo per l'elaborazione dei dati Transit Gateway, rispetto all'approccio decentralizzato che prevede l'esecuzione di un gateway NAT in ogni VPC. In alcuni casi limite, quando si inviano enormi quantità di dati tramite il gateway NAT da un VPC, mantenere il NAT locale nel VPC per evitare i costi di elaborazione dei dati Transit Gateway potrebbe essere un'opzione più conveniente.

Architettura gateway NAT decentralizzata ad alta disponibilità

Un diagramma che illustra un gateway NAT centralizzato che utilizza Transit Gateway (panoramica)

Gateway NAT centralizzato con Transit Gateway (panoramica)

Gateway NAT centralizzato che utilizza Transit Gateway (progettazione della tabella delle rotte)

In questa configurazione, gli allegati VPC Spoke sono associati alla Route Table 1 (RT1) e vengono propagati alla Route Table 2 (). RT2 Esiste un percorso Blackhole per impedire ai due di comunicare VPCs tra loro. Se si desidera consentire la comunicazione tra VPC, è possibile rimuovere l'ingresso del 10.0.0.0/8 -> Blackhole percorso da. RT1 Ciò consente loro di comunicare tramite il gateway di transito. Puoi anche propagare gli allegati RT1 Spoke VPC (o in alternativa, puoi usare una tabella di routing e associare/propagare tutto a quella), abilitando il flusso di traffico diretto tra i Transit Gateway che utilizzano. VPCs

Aggiungi un percorso statico RT1 indirizzando tutto il traffico verso il VPC in uscita. A causa di questa route statica, Transit Gateway invia tutto il traffico Internet attraverso il suo VPC ENIs in uscita. Una volta nel VPC in uscita, il traffico segue le rotte definite nella tabella delle rotte di sottorete in cui sono presenti questi Transit Gateway. ENIs Nelle tabelle di routing delle sottoreti si aggiunge un percorso che indirizza tutto il traffico verso il rispettivo gateway NAT nella stessa zona di disponibilità per ridurre al minimo il traffico tra zone di disponibilità (AZ). La tabella di routing della sottorete del gateway NAT ha come punto successivo il gateway Internet (IGW). Affinché il traffico di ritorno possa rifluire, è necessario aggiungere una voce statica della tabella di routing nella tabella di routing della sottorete del gateway NAT, indicando come hop successivo il traffico legato al VPC a spoke verso Transit Gateway.

Elevata disponibilità

Per un'elevata disponibilità, è necessario utilizzare più di un gateway NAT (uno in ogni zona di disponibilità). Se un gateway NAT non è disponibile, il traffico potrebbe essere interrotto nella zona di disponibilità che attraversa il gateway NAT interessato. Se una zona di disponibilità non è disponibile, l'endpoint Transit Gateway e il gateway NAT in quella zona di disponibilità non funzioneranno e tutto il traffico fluirà attraverso gli endpoint Transit Gateway e gateway NAT nell'altra zona di disponibilità.

Sicurezza

Puoi fare affidamento sui gruppi di sicurezza sulle istanze di origine, sulle route blackhole nelle tabelle di routing del Transit Gateway e sull'ACL di rete della sottorete in cui si trova il gateway NAT. Ad esempio, i clienti possono utilizzare ACLs le sottoreti pubbliche del gateway NAT per consentire o bloccare gli indirizzi IP di origine o di destinazione. In alternativa, è possibile utilizzare NAT Gateway con l'uscita centralizzata descritta nella sezione successiva AWS Network Firewall per soddisfare questo requisito.

Scalabilità

Un singolo gateway NAT può supportare fino a 55.000 connessioni simultanee per indirizzo IP assegnato a ciascuna destinazione unica. È possibile richiedere un aggiustamento della quota per consentire fino a otto indirizzi IP assegnati, consentendo 440.000 connessioni simultanee a un unico IP e porta di destinazione. Il gateway NAT fornisce 5 Gbps di larghezza di banda e si ridimensiona automaticamente fino a 100 Gbps. Transit Gateway generalmente non funge da sistema di bilanciamento del carico e non distribuisce il traffico in modo uniforme tra i gateway NAT nelle diverse zone di disponibilità. Il traffico attraverso il Transit Gateway rimarrà all'interno di una zona di disponibilità, se possibile. Se l' EC2 istanza Amazon che avvia il traffico si trova nella zona di disponibilità 1, il traffico uscirà dall'interfaccia di rete elastica Transit Gateway nella stessa zona di disponibilità 1 nel VPC in uscita e fluirà verso l'hop successivo in base alla tabella di routing di sottorete in cui risiede l'interfaccia di rete elastica. Per un elenco completo delle regole, consulta i gateway NAT nella documentazione di Amazon Virtual Private Cloud.

Per ulteriori informazioni, consulta il post di blog Creazione di un singolo punto di uscita Internet da più di un unico punto di uscita Internet VPCs con AWS Transit Gateway.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Uscita centralizzata verso Internet

Utilizzo del gateway NAT con uscita centralizzata AWS Network Firewall IPv4