Noções básicas de gateway NAT

Todo gateway NAT é criado em uma Zona de disponibilidade específica e implementado com redundância nessa zona. Há uma cota de gateways NAT que podem ser criados em cada zona de disponibilidade. Para obter mais informações, consulte Gateways.

Se você tiver recursos em várias zonas de disponibilidade e eles compartilharem um gateway NAT, caso a zona de disponibilidade do gateway NAT fique inativa, os recursos em outras zonas de disponibilidade perderão o acesso à Internet. Para melhorar a resiliência, crie um gateway NAT em cada zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma zona de disponibilidade.

As seguintes características e regras se aplicam aos gateways NAT:

Um gateway NAT é compatível com os seguintes protocolos: TCP, UDP e ICMP.
Os gateways NAT são compatíveis com tráfego IPv4 ou IPv6. Para tráfego IPv6, o gateway NAT executa NAT64. Usando isso em conjunto com o DNS64 (disponível no Route 53 Resolver), suas workloads IPv6 em uma sub-rede na Amazon VPC podem se comunicar com recursos IPv4. Esses serviços IPv4 podem estar presentes na mesma VPC (em uma sub-rede separada) ou em uma VPC diferente, no seu ambiente on-premises ou pela Internet.
Um gateway NAT comporta 5 Gbps de largura de banda e escala automaticamente até 100 Gbps. Se você precisar de mais largura de banda, poderá dividir seus recursos em várias sub-redes e criar um gateway NAT em cada sub-rede.
Um gateway NAT pode processar um milhão de pacotes por segundo e aumentar a capacidade automaticamente para até dez milhões de pacotes por segundo. Além desse limite, um gateway NAT começará a descartar pacotes. Para evitar a perda de pacotes, divida seus recursos em várias sub-redes e crie um gateway NAT separado para cada sub-rede.
Cada endereço IPv4 comporta até 55.000 conexões simultâneas para cada destino exclusivo. Um destino exclusivo é identificado por uma combinação exclusiva de endereço IP de destino, a porta de destino e o protocolo (TCP/UDP/ICMP). Você pode aumentar esse limite associando até 8 endereços IPv4 aos seus gateways NAT (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte Endereços IP elásticos.
Ao criar um gateway NAT, você pode selecionar o endereço IPv4 privado primário a ser atribuído ao gateway NAT. Caso contrário, selecionamos um em seu nome a partir do intervalo de endereços IPv4 da sub-rede. Não é possível alterar ou remover o endereço IPv4 privado principal. Você pode adicionar endereços IPv4 privados secundários conforme necessário.
Não é possível associar um grupo de segurança a um gateway NAT. Você pode associar grupos de segurança às suas instâncias para controlar o tráfego de entrada e saída.
Criamos uma interface de rede gerenciada pelo solicitante para o seu gateway NAT. Você pode visualizar essa interface de rede usando o console do Amazon EC2. Procure o ID do gateway NAT na descrição. Você pode adicionar etiquetas à interface de rede, mas não pode modificar outras propriedades dessa interface de rede.
Você também pode usar uma ACL de rede para controlar o tráfego que entra e sai da sub-rede para seu gateway NAT. Os gateways NAT usam as portas 1024 a 65535. Para obter mais informações, consulte Network ACLs.
Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de emparelhamento da VPC. Entretanto, o tráfego proveniente de um gateway NAT através do emparelhamento VPC para destinos em VPCs emparelhados suporta o comportamento “Retornar ao remetente”. O tráfego de retorno é automaticamente roteado de volta para o gateway NAT de origem, mesmo sem rotas de retorno configuradas no VPC de destino. Esse comportamento é específico dos gateways NAT e não se aplica a instâncias do EC2 padrão. A fim de evitar isso, utilize NACLs para bloquear o tráfego de retorno.

Não compatível:
```
Client → Peering → NAT → Internet
```
Compatível:
```
Client → NAT → Peering → Destination
```
Não é possível rotear o tráfego para um gateway NAT do Site-to-Site VPN ou do Direct Connect usando um gateway privado virtual. É possível rotear o tráfego para um gateway NAT do Site-to-Site VPN ou do Direct Connect se você usar um gateway de trânsito em vez de um gateway privado virtual.
Os gateways NAT oferecem suporte a tráfego com uma unidade de transmissão máxima (MTU) de 8500, mas é importante observar o seguinte:
- A MTU de uma conexão de rede é o tamanho, em bytes, do maior pacote permissível que pode ser passado pela conexão. Quanto maior a MTU de uma conexão, mais dados podem ser passados em um único pacote.
- Pacotes com mais de 8.500 bytes que chegam ao gateway NAT são descartados (ou fragmentados, se aplicável).
- Para evitar possíveis perdas de pacotes ao se comunicar com recursos pela Internet usando um gateway NAT público, a configuração de MTU para suas instâncias do EC2 não deve exceder 1500 bytes. Para obter mais informações sobre como verificar e definir a MTU em uma instância, consulte MTU de rede para sua instância do Amazon EC2 no Guia do usuário do Amazon EC2.
- Os gateways NAT oferecem suporte ao Path MTU Discovery (PMTUD) por meio de pacotes FRAG_NEEDED ICMPv4 e pacotes Packet Too Big (PTB) ICMPv6.
- O gateway NAT impõe o limite de Maximum Segment Size (MSS) para todos os pacotes. Para obter mais informações, consulte RFC879.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gateways NAT

Trabalhar com gateways NAT