Gateways NAT regionais para expansão multi-AZ automática - Amazon Virtual Private Cloud
BenefíciosQuando usar gateways NAT regionaisComo funcionam os gateways NAT regionaisPreçosCriar um gateway NAT regionalConverter gateways NAT de zona em regionais

Gateways NAT regionais para expansão multi-AZ automática

Use gateways NAT regionais quando quiser simplificar sua arquitetura de rede, melhorar sua postura de segurança e configurar a alta disponibilidade por padrão. Um gateway NAT regional se expande automaticamente entre as zonas de disponibilidade com base na presença da sua workload. Diferentemente dos gateways NAT padrão (chamados de gateways NAT de zona), que operam em uma única zona de disponibilidade, os gateways NAT regionais seguem suas workloads para fornecer alta disponibilidade automática.

O diagrama A à esquerda representa a configuração atual com o gateway NAT de zona. Primeiro, você cria gateways NAT de zona por zona de disponibilidade e hospeda seus NATs em sub-redes públicas. Em seguida, você configura rotas separadas por zona de disponibilidade de suas sub-redes privadas para o NAT nessa zona de disponibilidade. Você repete essa etapa toda vez que suas workloads se expandem para uma nova zona de disponibilidade, para obter alta disponibilidade. Além disso, você precisa adicionar rotas para o gateway da internet na tabela de rotas da sua sub-rede NAT por zona de disponibilidade.

Por outro lado, com um gateway NAT regional, você não precisa criar uma sub-rede pública para hospedá-lo. Você também não precisa criar e excluir gateways NAT e editar suas tabelas de rotas toda vez que suas workloads se expandem para novas zonas de disponibilidade. Em vez disso, basta criar um gateway NAT com modo regional, escolher sua VPC e ela se expande e se contrai automaticamente em todas as zonas de disponibilidade (AZs – Availability Zones) com base na presença de sua workload em oferecer alta disponibilidade. Conforme mostrado no diagrama B, você pode rotear o tráfego de seus recursos em uma sub-rede privada em todas as AZs para esse único ID de gateway NAT regional ou usar a mesma tabela de rotas em sub-redes em sua AZ para realizar a conversão de endereços de rede. Depois de criar seu gateway NAT regional, a AWS cria automaticamente uma tabela de rotas para ele, que vem com uma rota pré-configurada para o gateway da internet. Você pode usar essa tabela de rotas para adicionar rotas de retorno às suas caixas intermediárias.

Benefícios

Os gateways NAT regionais oferecem os seguintes benefícios:

  • Configuração simplificada: use um único ID NAT em todas as zonas de disponibilidade que têm interfaces de rede, para que você possa usar a mesma entrada de rota para sub-redes em diferentes zonas de disponibilidade.

  • Segurança aprimorada: não são necessárias sub-redes públicas. Um gateway NAT regional é um recurso autônomo com sua própria tabela de rotas e você não precisa de uma sub-rede pública na sua VPC para hospedar um gateway NAT regional, o que reduz as chances de configuração incorreta de recursos privados em sub-redes com conectividade pública.

  • Alta disponibilidade automática: expande e contrai automaticamente com sua área de cobertura de workload para manter a afinidade de zona que fornece alta disponibilidade por padrão.

  • Limites mais altos de porta e IP: seus gateways NAT regionais suportam até 32 endereços IP por zona de disponibilidade (em comparação com 8 para gateways NAT de zona). Cada endereço IP aumenta o limite de conexões simultâneas com um destino popular (identificado pela combinação exclusiva de IP de destino, porta de destino e protocolo) em 55.000.

Quando usar gateways NAT regionais

Considere o uso de gateways NAT regionais para todos os casos de uso, exceto aqueles que exigem conectividade privada. Os gateways NAT regionais não oferecem conectividade privada e recomendamos usar seus gateways NAT no modo de disponibilidade de zona para casos de uso de NAT privado.

Como funcionam os gateways NAT regionais

Quando você inicia recursos em uma nova zona de disponibilidade, o gateway NAT regional detecta a presença de uma interface de rede (ENI) nessa zona de disponibilidade e se expande automaticamente para essa zona. Da mesma forma, o gateway NAT contrata da Zona de Disponibilidade que não tem workloads ativas.

Seu gateway NAT regional pode levar até 60 minutos para se expandir para uma nova zona de disponibilidade depois que um recurso for instanciado lá. Até que essa expansão seja concluída, o tráfego relevante desse recurso é processado em todas as zonas pelo seu gateway NAT regional em uma das zonas de disponibilidade existentes.

Os gateways NAT regionais oferecem suporte a dois modos:

  • Modo automático: nesse modo, a AWS gerencia automaticamente os endereços IP e a expansão da zona de disponibilidade (recomendado). Se você quiser usar seus próprios endereços IP nesse modo e usar o IPAM da Amazon VPC, consulte Defina a estratégia de alocação de IPv4 público com as políticas do IPAM no Guia do usuário do IPAM da Amazon VPC.

  • Modo manual: nesse modo, você gerencia manualmente os endereços IP e controla a conversão de endereços de rede para cada zona de disponibilidade. No modo manual, você é responsável por expandir e contratar seu gateway NAT nas zonas de disponibilidade.

Preços

Para informações sobre preços, consulte Preços da Amazon VPC.

Criar um gateway NAT regional

Utilizar o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Gateways NAT.

  3. Escolha Criar um gateway NAT.

  4. Para o Modo de disponibilidade, escolha Regional. Não é necessário especificar nenhuma sub-rede ao escolher a disponibilidade regional.

  5. Escolha uma VPC.

  6. Conclua a configuração restante e escolha Criar gateway NAT.

Usar a AWS CLI

Criar um gateway NAT regional

aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional

Exibir detalhes do gateway NAT

aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678

Adicionar endereços IP (modo manual)

aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678

Remover endereços IP

aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678

Excluir um gateway NAT regional

aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678

Converter gateways NAT de zona em regionais

Importante

Isso redefinirá suas conexões existentes. Recomendamos que conclua essas etapas na janela de manutenção.

Você pode converter os gateways NAT de zona existentes em um gateway NAT regional usando uma destas duas abordagens:

Se você concorda com o uso de gateways NAT regionais com novos endereços IP:

  1. Crie um novo gateway NAT regional

  2. Atualize as tabelas de rotas para apontar para o gateway NAT regional

  3. Exclua os antigos gateways NAT de zona

Essa abordagem usa novos endereços IP e redefine as conexões existentes quando as rotas são atualizadas.

Se você quiser reutilizar endereços IP existentes com gateways NAT regionais:

  1. Exclua os gateways NAT de zona existentes para liberar seus endereços IP

  2. Crie um gateway NAT regional usando os endereços IP liberados

  3. Atualize as tabelas de rotas para apontar para o gateway NAT regional

Essa abordagem preserva os endereços IP, mas requer uma janela de manutenção, pois o tráfego é interrompido durante a transição.