

# Trabalhar com gateways NAT
<a name="nat-gateway-working-with"></a>

Você pode usar o console da Amazon VPC para criar e gerenciar os gateways NAT.

**Topics**
+ [Controlar o uso de gateways NAT](#nat-gateway-iam)
+ [Criar um gateway NAT](#nat-gateway-creating)
+ [Editar associações de endereço IP secundário](#nat-gateway-edit-secondary)
+ [Marcar um gateway NAT](#nat-gateway-tagging)
+ [Excluir um gateway NAT](#nat-gateway-deleting)
+ [Visão geral da linha de comando](#nat-gateway-api-cli)

## Controlar o uso de gateways NAT
<a name="nat-gateway-iam"></a>

Por padrão, os usuários do não têm permissão para trabalhar com gateways NAT. É possível criar uma política de perfil do IAM com uma política anexada que conceda permissão aos usuários para criar, descrever e excluir gateways NAT. Para obter mais informações, consulte [Identity and Access Management para o Amazon VPC](security-iam.md).

## Criar um gateway NAT
<a name="nat-gateway-creating"></a>

Use o procedimento a seguir para criar um gateway NAT.

**Cotas relacionadas**
+ Não será possível criar um gateway NAT público se você tiver esgotado o número de endereços IP elásticos alocados à sua conta. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
+ Você pode atribuir até 8 endereços IPv4 privados ao seu gateway NAT privado. Este limite não é ajustável.
+ Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).

**Para criar um gateway NAT**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Gateways NAT**.

1. Escolha **Criar um gateway NAT**.

1. (Opcional) Especifique um nome para o gateway NAT. Isso cria uma tag em que a chave está **Name** e o valor é o nome que você especificar.

1. Selecione a sub-rede na qual o gateway NAT deve ser criado.

1. Em **Tipo de conectividade**, deixe a seleção padrão de **Público** para criar um gateway NAT público ou escolha **Privado** para criar um gateway NAT privado. Para obter mais informações sobre a diferença entre um gateway NAT público e um privado, consulte [Gateways NAT](vpc-nat-gateway.md).

1. Se você escolheu **Público**, faça o seguinte; caso contrário, vá para a etapa 8:

   1. Escolha um **ID de alocação de IP elástico** para atribuir um endereço IP elástico ao gateway NAT ou escolha **Alocar IP elástico** para alocar automaticamente um para o gateway NAT público. Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
**Importante**  
Quando você atribui um endereço IP elástico a um gateway NAT público, o grupo de borda de rede do EIP deve corresponder ao grupo de borda de rede da Zona de Disponibilidade (AZ) na qual você está iniciando o gateway NAT público. Se não for o mesmo, o gateway NAT falhará ao iniciar. Você pode ver o grupo de bordas da rede para a AZ da sub-rede visualizando os detalhes da sub-rede. Da mesma forma, você pode visualizar o grupo de bordas de rede de um EIP visualizando os detalhes do endereço EIP. Para obter mais informações, consulte [1. Alocar um endereço IP elástico](WorkWithEIPs.md#allocate-eip). 

   1. (Opcional) Escolha **Configurações adicionais** e, em **Endereço IP privado - opcional**, insira um endereço IPv4 privado para o gateway NAT. Se você não inserir um endereço, o AWS atribuirá automaticamente um endereço IPv4 privado ao seu gateway NAT de maneira aleatória com base na sub-rede em que seu gateway NAT está.

   1. Vá para a etapa 11.

1. Se você escolheu **Privado**, em **Configurações adicionais**, **Método de atribuição de endereço IPv4 privado**, escolha uma das seguintes opções:
   + **Atribuição automática**: a AWS escolhe o endereço IPv4 privado primário para o gateway NAT. Em **Número de endereços IPv4 privados atribuídos automaticamente**, é possível, opcionalmente, especificar o número de endereços IPv4 privados secundários para o gateway NAT. A AWS escolhe esses endereços IP aleatoriamente da sub-rede para seu gateway NAT.
   + **Personalizado**: em **Endereço IPv4 privado principal**, escolha o endereço IPv4 privado principal para o gateway NAT). Em **Endereços IPv4 privados secundários**, é possível, opcionalmente, especificar até 7 endereços IPv4 privados secundários para o gateway NAT.

1. Se tiver escolhido **Personalizado** na etapa 8, pule esta etapa. Se você escolher **Atribuir automaticamente**, em **Número de endereços IP privados atribuídos automaticamente**, escolha o número de endereços IPv4 secundários que você deseja que a AWS atribua a esse gateway NAT privado. Você pode escolher até 7 endereços IPv4.
**nota**  
Os endereços IPv4 secundários são opcionais e devem ser atribuídos ou alocados quando suas workloads que usam um gateway NAT excederem 55.000 conexões simultâneas para um único destino (o mesmo IP de destino, porta de destino e protocolo). Os endereços IPv4 secundários aumentam o número de portas disponíveis e, portanto, aumentam o limite do número de conexões simultâneas que suas workloads podem estabelecer usando um gateway NAT.

1. Se tiver escolhido **Atribuir automaticamente** na etapa 9, pule esta etapa. Se você escolheu **Personalizado**, faça o seguinte:

   1. Em **Endereço IPv4 privado primário**, insira o endereço IPv4 privado.

   1. Em **Endereço IPv4 privado secundário**, insira até 7 endereços IPv4 privados secundários.

1. (Opcional) Para adicionar uma tag ao gateway NAT, escolha **Add new tag** (Adicionar nova tag) e insira o nome e o valor da chave. É possível adicionar até 50 tags.

1. Escolha **Criar um gateway NAT**.

1. O status inicial do gateway NAT é `Pending`. Depois que o status for alterado para `Available`, o gateway NAT estará pronto para você usar. Certifique-se de atualizar as tabelas de rotas conforme necessário. Para obter exemplos, consulte [Casos de uso do gateway NAT](nat-gateway-scenarios.md).

Se o status do gateway NAT mudar para `Failed`, isso significa que ocorreu um erro durante a criação. Para obter mais informações, consulte [Falha na criação do gateway NAT](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed).

## Editar associações de endereço IP secundário
<a name="nat-gateway-edit-secondary"></a>

Cada endereço IPv4 comporta até 55.000 conexões simultâneas para cada destino exclusivo. Um destino exclusivo é identificado por uma combinação exclusiva de endereço IP de destino, a porta de destino e o protocolo (TCP/UDP/ICMP). Você pode aumentar esse limite associando até 8 endereços IPv4 aos seus gateways NAT (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).

Você pode usar as [métricas](metrics-dimensions-nat-gateway.md) *ErrorPortAllocation* e *PacketsDropCount* do gateway NAT do CloudWatch para determinar se seu gateway NAT está gerando erros de alocação de portas ou descartando pacotes. Para resolver esse problema, adicione endereços IPv4 secundários ao seu gateway NAT.

**Considerações**
+ Você pode adicionar endereços IPv4 privados secundários ao criar um gateway NAT privado ou após criar o gateway NAT usando o procedimento nesta seção. Só é possível adicionar endereços IP elásticos aos gateways NAT públicos após criar o gateway NAT usando o procedimento nesta seção. 
+ Seu gateway NAT pode ter até 8 endereços IPv4 associados a ele (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Você pode atribuir até 8 endereços IPv4 privados ao seu gateway NAT privado. Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).

**Para editar associações de endereços IPv4 secundários**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Gateways NAT**.

1. Selecione o gateway NAT cujas associações de endereço IPv4 secundárias você deseja editar.

1. Escolha **Ações** e então escolha **Editar associações de endereços IP secundários**.

1. Se você estiver editando as associações de endereços IPv4 secundários de um gateway NAT privado, em **Ação**, escolha **Atribuir novos endereços IPv4** ou **Cancelar a atribuição de endereços IPv4 existentes**. Se você estiver editando as associações de endereços IPv4 secundários de um gateway NAT público, em **Ação**, escolha **Associar novos endereços IPv4** ou **Desassociar endereços IPv4 existentes**.

1. Execute um destes procedimentos:
   + Se tiver optado por atribuir ou associar novos endereços IPv4, faça o seguinte:

     1. Essa etapa é necessária. Você deve selecionar um endereço IPv4. Escolha o **método de atribuição de endereço IPv4 privado**:
        + **Atribuir automaticamente**: a AWS escolhe automaticamente um endereço IPv4 privado primário e você escolhe se deseja que a AWS atribua até 7 endereços IPv4 privados secundários para atribuir ao gateway NAT. A AWS os escolhe e atribui automaticamente para você de maneira aleatória e com base na sub-rede em que seu gateway NAT está.
        + **Personalizado**: escolha o endereço IPv4 privado primário e até 7 endereços IPv4 privados secundários para atribuir ao gateway NAT.

     1. Em **ID de alocação de IP elástico**, escolha um endereço IP elástico para adicionar como endereço IPv4 secundário. Essa etapa é necessária. Você deve selecionar um endereço IP elástico junto com um endereço IPv4 privado. Se você escolher **Personalizado** para o **Método de atribuição de endereço IP privado**, também deverá inserir um endereço IPv4 privado para cada endereço IP elástico adicionado.
**Importante**  
Quando você atribui um EIP secundário a um gateway NAT público, o grupo de borda de rede do EIP deve corresponder ao grupo de borda de rede da Zona de Disponibilidade (AZ) na qual o gateway NAT público está. Se não for a mesma, o EIP não será atribuído. Você pode ver o grupo de bordas da rede para a AZ da sub-rede visualizando os detalhes da sub-rede. Da mesma forma, você pode visualizar o grupo de bordas de rede de um EIP visualizando os detalhes do endereço EIP. Para obter mais informações, consulte [1. Alocar um endereço IP elástico](WorkWithEIPs.md#allocate-eip). 

     Seu gateway NAT pode ter até 8 endereços IP associados a ele. Se for um gateway NAT público, há um limite de cota padrão para endereços IP elásticos por região. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
   + Se você optar por cancelar a atribuição ou desassociar novos endereços IPv4, faça o seguinte:

     1. Em **Endereço IP secundário existente para cancelar a atribuição**, selecione os endereços IP secundários cuja atribuição deseja cancelar.

     1. (opcional) Em **Duração da drenagem de conexão**, insira o tempo máximo de espera (em segundos) antes de liberar forçadamente os endereços IP se as conexões ainda estiverem em andamento. Se você não inserir um valor, o valor padrão será de 350 segundos.

1. Escolha **Salvar alterações**.

Se o status do gateway NAT mudar para `Failed`, isso significa que ocorreu um erro durante a criação. Para obter mais informações, consulte [Falha na criação do gateway NAT](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed).

## Marcar um gateway NAT
<a name="nat-gateway-tagging"></a>

Você pode marcar o gateway NAT para ajudar a identificá-lo ou categorizá-lo de acordo com as necessidades da organização. Para obter informações sobre como trabalhar com tags, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.

Há suporte a tags de alocação de custo para gateways NAT. Portanto, você também pode usar tags para organizar sua fatura da AWS e refletir sua própria estrutura de custo. Para obter mais informações, consulte [Uso de tags de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) no *Guia do usuário do AWS Billing*. Para obter mais informações sobre como configurar um relatório de alocação de custos com tags, consulte [Relatório mensal de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html) em *Sobre o faturamento de contas da AWS*. 

**Para marcar um gateway NAT**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Gateways NAT**.

1. Selecione o gateway NAT que você deseja marcar e escolha **Ações**. Selecione **Gerenciar tags**.

1. Para cada tag, escolha **Adicionar nova tag** e insira uma **Chave** e **Valor** para a tag. É possível adicionar até 50 tags.

1. Escolha **Salvar**.

## Excluir um gateway NAT
<a name="nat-gateway-deleting"></a>

Caso não precise mais de um gateway NAT, você pode excluí-lo. Depois de excluir um gateway NAT, sua entrada permanece visível no console da Amazon VPC durante um breve período (normalmente, uma hora) após o qual ela é automaticamente removida. Você não pode remover esta entrada sozinho.

A exclusão de um gateway NAT dissocia o respectivo endereço IP elástico, mas não libera o endereço de sua conta. Se excluir um gateway NAT, as rotas desse gateway permanecerão com o status `blackhole` até o momento em que excluir ou atualizar as rotas.

**Para excluir um gateway NAT**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Gateways NAT**.

1. Selecione o botão de opção para o gateway NAT e, em seguida, escolha **Actions** (Ações),**Delete NAT gateway** (Excluir gateway NAT).

1. Quando a confirmação for solicitada, insira **delete** e escolha **Delete (Excluir)**.

1. Se não for mais necessário o endereço IP elástico associado ao gateway NAT público, recomendamos que você o libere. Para obter mais informações, consulte [5. Liberar um endereço IP elástico](WorkWithEIPs.md#release-eip).

## Visão geral da linha de comando
<a name="nat-gateway-api-cli"></a>

É possível executar as tarefas descritas nesta página por meio da linha de comando.

**Atribuir um endereço IPv4 privado a um gateway NAT**
+ [assign-private-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-private-nat-gateway-address.html) (AWS CLI)
+ [Register-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2PrivateNatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Associar endereços IP elásticos e endereços IPv4 privados a um gateway NAT público**
+ [associate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-nat-gateway-address.html) (AWS CLI)
+ [Register-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2NatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Criar um gateway NAT**
+ [create-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html) (AWS CLI)
+ [New-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Excluir um gateway NAT**
+ [delete-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html) (AWS CLI)
+ [Remove-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Descrever um gateway NAT**
+ [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html) (AWS CLI)
+ [Get-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Desassociar endereços IP elásticos secundários de um gateway NAT público**
+ [disassociate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-nat-gateway-address.html) (AWS CLI)
+ [Unregister-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2NatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Marcar um gateway NAT**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html) (AWS Tools for Windows PowerShell)

**Cancelar a atribuição de endereços IPv4 secundários de um gateway NAT privado**
+ [unassign-private-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-private-nat-gateway-address.html) (AWS CLI)
+ [Unregister-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2PrivateNatGatewayAddress.html) (AWS Tools for Windows PowerShell)