# Gateways NAT
Um gateway NAT é um serviço de Network Address Translation (NAT – Conversão de endereços de rede). Você pode usar um gateway NAT para que as instâncias em uma sub-rede privada possam se conectar a serviços fora da VPC, mas os serviços externos não podem iniciar uma conexão com essas instâncias.
Ao criar um gateway NAT, você deve especificar um dos seguintes tipos de conectividade:
+ **Pública** (padrão): as instâncias em sub-redes privadas podem se conectar à Internet por meio de um gateway NAT público, mas não podem receber conexões de entrada não solicitadas da internet. Você cria um gateway NAT público em uma sub-rede pública e deve associar um endereço IP elástico ao gateway NAT na criação. Encaminhe tráfego do gateway NAT para o gateway da Internet da VPC. Como alternativa, você pode usar um gateway NAT público para se conectar a outras VPCs ou à rede on-premises. Nesse caso, você roteia o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual.
+ **Privada**: as instâncias em sub-redes privadas podem se conectar a outras VPCs ou à sua rede on-premises por meio de um gateway NAT privado, mas não podem receber conexões de entrada não solicitadas das outras VPCs ou da rede on-premises. Você pode rotear o tráfego do gateway NAT por meio de um gateway de trânsito ou de um gateway privado virtual. Não é possível associar um endereço IP elástico a um gateway NAT privado. É possível associar um gateway da Internet a uma VPC com um gateway NAT privado, mas se você rotear o tráfego do gateway NAT privado para o gateway da Internet, o gateway da Internet descartará o tráfego.
Um gateway NAT deve ser usado com tráfego IPv4 ou IPv6 (via [DNS64 e NAT64](nat-gateway-nat64-dns64.md)). Outra opção para habilitar a comunicação via Internet somente de saída via IPv6 é usar um [gateway da Internet somente de saída](egress-only-internet-gateway.md).
Os gateways NAT privados e públicos mapeiam o endereço IPv4 privado de origem das instâncias para o endereço IPv4 privado do gateway NAT, mas no caso de um gateway NAT público, o gateway da internet mapeia o endereço IPv4 privado do gateway NAT público para o endereço IP elástico associado ao gateway NAT. Ao enviar tráfego de resposta para as instâncias, seja um gateway NAT público ou privado, o gateway NAT converte o endereço de volta para o endereço IP de origem inicial.
**Considerações**
+ As conexões sempre devem ser iniciadas de dentro da VPC que contém o gateway NAT.
+ Você pode usar um gateway NAT público ou privado para rotear o tráfego para gateways de trânsito e gateways virtuais privados.
+ Se você usar um gateway NAT privado para se conectar a um gateway de trânsito ou a um gateway privado virtual, o tráfego para o destino virá do endereço IP privado do gateway NAT privado.
+ Se você usar um gateway NAT público para se conectar a um gateway de trânsito ou um gateway privado virtual, o tráfego para o destino virá do endereço IP privado do gateway NAT público. O gateway NAT público utiliza seu endereço IP elástico como endereço IP de origem apenas quando utilizado em conjunto com um gateway da Internet na mesma VPC.
**Topics**
+ [Noções básicas de gateway NAT](nat-gateway-basics.md)
+ [Trabalhar com gateways NAT](nat-gateway-working-with.md)
+ [Gateways NAT regionais para expansão multi-AZ automática](nat-gateways-regional.md)
+ [Casos de uso](nat-gateway-scenarios.md)
+ [DNS64 e NAT64](nat-gateway-nat64-dns64.md)
+ [Inspecionar tráfego de gateways NAT](nat-gateway-inspect-traffic.md)
+ [Métricas do CloudWatch](vpc-nat-gateway-cloudwatch.md)
+ [Solução de problemas](nat-gateway-troubleshooting.md)
+ [Preços](nat-gateway-pricing.md)
# Noções básicas de gateway NAT
Todo gateway NAT é criado em uma Zona de disponibilidade específica e implementado com redundância nessa zona. Há uma cota de gateways NAT que podem ser criados em cada zona de disponibilidade. Para obter mais informações, consulte [Gateways](amazon-vpc-limits.md#vpc-limits-gateways).
Se você tiver recursos em várias zonas de disponibilidade e eles compartilharem um gateway NAT, caso a zona de disponibilidade do gateway NAT fique inativa, os recursos em outras zonas de disponibilidade perderão o acesso à Internet. Para melhorar a resiliência, crie um gateway NAT em cada zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma zona de disponibilidade.
As seguintes características e regras se aplicam aos gateways NAT:
+ Um gateway NAT é compatível com os seguintes protocolos: TCP, UDP e ICMP.
+ Os gateways NAT são compatíveis com tráfego IPv4 ou IPv6. Para tráfego IPv6, o gateway NAT executa NAT64. Usando isso em conjunto com o DNS64 (disponível no Route 53 Resolver), suas workloads IPv6 em uma sub-rede na Amazon VPC podem se comunicar com recursos IPv4. Esses serviços IPv4 podem estar presentes na mesma VPC (em uma sub-rede separada) ou em uma VPC diferente, no seu ambiente on-premises ou pela Internet.
+ Um gateway NAT comporta 5 Gbps de largura de banda e escala automaticamente até 100 Gbps. Se você precisar de mais largura de banda, poderá dividir seus recursos em várias sub-redes e criar um gateway NAT em cada sub-rede.
+ Um gateway NAT pode processar um milhão de pacotes por segundo e aumentar a capacidade automaticamente para até dez milhões de pacotes por segundo. Além desse limite, um gateway NAT começará a descartar pacotes. Para evitar a perda de pacotes, divida seus recursos em várias sub-redes e crie um gateway NAT separado para cada sub-rede.
+ Cada endereço IPv4 comporta até 55.000 conexões simultâneas para cada destino exclusivo. Um destino exclusivo é identificado por uma combinação exclusiva de endereço IP de destino, a porta de destino e o protocolo (TCP/UDP/ICMP). Você pode aumentar esse limite associando até 8 endereços IPv4 aos seus gateways NAT (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
+ Ao criar um gateway NAT, você pode selecionar o endereço IPv4 privado primário a ser atribuído ao gateway NAT. Caso contrário, selecionamos um em seu nome a partir do intervalo de endereços IPv4 da sub-rede. Não é possível alterar ou remover o endereço IPv4 privado principal. Você pode adicionar endereços IPv4 privados secundários conforme necessário.
+ Não é possível associar um grupo de segurança a um gateway NAT. Você pode associar grupos de segurança às suas instâncias para controlar o tráfego de entrada e saída.
+ Criamos uma interface de rede gerenciada pelo solicitante para o seu gateway NAT. Você pode visualizar essa interface de rede usando o console do Amazon EC2. Procure o ID do gateway NAT na descrição. Você pode adicionar etiquetas à interface de rede, mas não pode modificar outras propriedades dessa interface de rede.
+ Você também pode usar uma ACL de rede para controlar o tráfego que entra e sai da sub-rede para seu gateway NAT. Os gateways NAT usam as portas 1024 a 65535. Para obter mais informações, consulte [Network ACLs](vpc-network-acls.md).
+ Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de emparelhamento da VPC. Entretanto, o tráfego proveniente de um gateway NAT através do emparelhamento VPC para destinos em VPCs emparelhados suporta o comportamento “Retornar ao remetente”. O tráfego de retorno é automaticamente roteado de volta para o gateway NAT de origem, mesmo sem rotas de retorno configuradas no VPC de destino. Esse comportamento é específico dos gateways NAT e não se aplica a instâncias do EC2 padrão. A fim de evitar isso, utilize NACLs para bloquear o tráfego de retorno.
Não compatível:
```
Client → Peering → NAT → Internet
```
Compatível:
```
Client → NAT → Peering → Destination
```
+ Não é possível rotear o tráfego para um gateway NAT do Site-to-Site VPN ou do Direct Connect usando um gateway privado virtual. É possível rotear o tráfego para um gateway NAT do Site-to-Site VPN ou do Direct Connect se você usar um gateway de trânsito em vez de um gateway privado virtual.
+ Os gateways NAT oferecem suporte a tráfego com uma unidade de transmissão máxima (MTU) de 8500, mas é importante observar o seguinte:
+ A MTU de uma conexão de rede é o tamanho, em bytes, do maior pacote permissível que pode ser passado pela conexão. Quanto maior a MTU de uma conexão, mais dados podem ser passados em um único pacote.
+ Pacotes com mais de 8.500 bytes que chegam ao gateway NAT são descartados (ou fragmentados, se aplicável).
+ Para evitar possíveis perdas de pacotes ao se comunicar com recursos pela Internet usando um gateway NAT público, a configuração de MTU para suas instâncias do EC2 não deve exceder 1500 bytes. Para obter mais informações sobre como verificar e definir a MTU em uma instância, consulte [MTU de rede para sua instância do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#set_mtu) no *Guia do usuário do Amazon EC2*.
+ Os gateways NAT oferecem suporte ao Path MTU Discovery (PMTUD) por meio de pacotes FRAG\$1NEEDED ICMPv4 e pacotes Packet Too Big (PTB) ICMPv6.
+ O gateway NAT impõe o limite de Maximum Segment Size (MSS) para todos os pacotes. Para obter mais informações, consulte [RFC879](https://datatracker.ietf.org/doc/html/rfc879).
# Trabalhar com gateways NAT
Você pode usar o console da Amazon VPC para criar e gerenciar os gateways NAT.
**Topics**
+ [Controlar o uso de gateways NAT](#nat-gateway-iam)
+ [Criar um gateway NAT](#nat-gateway-creating)
+ [Editar associações de endereço IP secundário](#nat-gateway-edit-secondary)
+ [Marcar um gateway NAT](#nat-gateway-tagging)
+ [Excluir um gateway NAT](#nat-gateway-deleting)
+ [Visão geral da linha de comando](#nat-gateway-api-cli)
## Controlar o uso de gateways NAT
Por padrão, os usuários do não têm permissão para trabalhar com gateways NAT. É possível criar uma política de perfil do IAM com uma política anexada que conceda permissão aos usuários para criar, descrever e excluir gateways NAT. Para obter mais informações, consulte [Identity and Access Management para o Amazon VPC](security-iam.md).
## Criar um gateway NAT
Use o procedimento a seguir para criar um gateway NAT.
**Cotas relacionadas**
+ Não será possível criar um gateway NAT público se você tiver esgotado o número de endereços IP elásticos alocados à sua conta. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
+ Você pode atribuir até 8 endereços IPv4 privados ao seu gateway NAT privado. Este limite não é ajustável.
+ Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
**Para criar um gateway NAT**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Gateways NAT**.
1. Escolha **Criar um gateway NAT**.
1. (Opcional) Especifique um nome para o gateway NAT. Isso cria uma tag em que a chave está **Name** e o valor é o nome que você especificar.
1. Selecione a sub-rede na qual o gateway NAT deve ser criado.
1. Em **Tipo de conectividade**, deixe a seleção padrão de **Público** para criar um gateway NAT público ou escolha **Privado** para criar um gateway NAT privado. Para obter mais informações sobre a diferença entre um gateway NAT público e um privado, consulte [Gateways NAT](vpc-nat-gateway.md).
1. Se você escolheu **Público**, faça o seguinte; caso contrário, vá para a etapa 8:
1. Escolha um **ID de alocação de IP elástico** para atribuir um endereço IP elástico ao gateway NAT ou escolha **Alocar IP elástico** para alocar automaticamente um para o gateway NAT público. Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
**Importante**
Quando você atribui um endereço IP elástico a um gateway NAT público, o grupo de borda de rede do EIP deve corresponder ao grupo de borda de rede da Zona de Disponibilidade (AZ) na qual você está iniciando o gateway NAT público. Se não for o mesmo, o gateway NAT falhará ao iniciar. Você pode ver o grupo de bordas da rede para a AZ da sub-rede visualizando os detalhes da sub-rede. Da mesma forma, você pode visualizar o grupo de bordas de rede de um EIP visualizando os detalhes do endereço EIP. Para obter mais informações, consulte [1. Alocar um endereço IP elástico](WorkWithEIPs.md#allocate-eip).
1. (Opcional) Escolha **Configurações adicionais** e, em **Endereço IP privado - opcional**, insira um endereço IPv4 privado para o gateway NAT. Se você não inserir um endereço, o AWS atribuirá automaticamente um endereço IPv4 privado ao seu gateway NAT de maneira aleatória com base na sub-rede em que seu gateway NAT está.
1. Vá para a etapa 11.
1. Se você escolheu **Privado**, em **Configurações adicionais**, **Método de atribuição de endereço IPv4 privado**, escolha uma das seguintes opções:
+ **Atribuição automática**: a AWS escolhe o endereço IPv4 privado primário para o gateway NAT. Em **Número de endereços IPv4 privados atribuídos automaticamente**, é possível, opcionalmente, especificar o número de endereços IPv4 privados secundários para o gateway NAT. A AWS escolhe esses endereços IP aleatoriamente da sub-rede para seu gateway NAT.
+ **Personalizado**: em **Endereço IPv4 privado principal**, escolha o endereço IPv4 privado principal para o gateway NAT). Em **Endereços IPv4 privados secundários**, é possível, opcionalmente, especificar até 7 endereços IPv4 privados secundários para o gateway NAT.
1. Se tiver escolhido **Personalizado** na etapa 8, pule esta etapa. Se você escolher **Atribuir automaticamente**, em **Número de endereços IP privados atribuídos automaticamente**, escolha o número de endereços IPv4 secundários que você deseja que a AWS atribua a esse gateway NAT privado. Você pode escolher até 7 endereços IPv4.
**nota**
Os endereços IPv4 secundários são opcionais e devem ser atribuídos ou alocados quando suas workloads que usam um gateway NAT excederem 55.000 conexões simultâneas para um único destino (o mesmo IP de destino, porta de destino e protocolo). Os endereços IPv4 secundários aumentam o número de portas disponíveis e, portanto, aumentam o limite do número de conexões simultâneas que suas workloads podem estabelecer usando um gateway NAT.
1. Se tiver escolhido **Atribuir automaticamente** na etapa 9, pule esta etapa. Se você escolheu **Personalizado**, faça o seguinte:
1. Em **Endereço IPv4 privado primário**, insira o endereço IPv4 privado.
1. Em **Endereço IPv4 privado secundário**, insira até 7 endereços IPv4 privados secundários.
1. (Opcional) Para adicionar uma tag ao gateway NAT, escolha **Add new tag** (Adicionar nova tag) e insira o nome e o valor da chave. É possível adicionar até 50 tags.
1. Escolha **Criar um gateway NAT**.
1. O status inicial do gateway NAT é `Pending`. Depois que o status for alterado para `Available`, o gateway NAT estará pronto para você usar. Certifique-se de atualizar as tabelas de rotas conforme necessário. Para obter exemplos, consulte [Casos de uso do gateway NAT](nat-gateway-scenarios.md).
Se o status do gateway NAT mudar para `Failed`, isso significa que ocorreu um erro durante a criação. Para obter mais informações, consulte [Falha na criação do gateway NAT](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed).
## Editar associações de endereço IP secundário
Cada endereço IPv4 comporta até 55.000 conexões simultâneas para cada destino exclusivo. Um destino exclusivo é identificado por uma combinação exclusiva de endereço IP de destino, a porta de destino e o protocolo (TCP/UDP/ICMP). Você pode aumentar esse limite associando até 8 endereços IPv4 aos seus gateways NAT (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
Você pode usar as [métricas](metrics-dimensions-nat-gateway.md) *ErrorPortAllocation* e *PacketsDropCount* do gateway NAT do CloudWatch para determinar se seu gateway NAT está gerando erros de alocação de portas ou descartando pacotes. Para resolver esse problema, adicione endereços IPv4 secundários ao seu gateway NAT.
**Considerações**
+ Você pode adicionar endereços IPv4 privados secundários ao criar um gateway NAT privado ou após criar o gateway NAT usando o procedimento nesta seção. Só é possível adicionar endereços IP elásticos aos gateways NAT públicos após criar o gateway NAT usando o procedimento nesta seção.
+ Seu gateway NAT pode ter até 8 endereços IPv4 associados a ele (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Você pode atribuir até 8 endereços IPv4 privados ao seu gateway NAT privado. Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
**Para editar associações de endereços IPv4 secundários**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Gateways NAT**.
1. Selecione o gateway NAT cujas associações de endereço IPv4 secundárias você deseja editar.
1. Escolha **Ações** e então escolha **Editar associações de endereços IP secundários**.
1. Se você estiver editando as associações de endereços IPv4 secundários de um gateway NAT privado, em **Ação**, escolha **Atribuir novos endereços IPv4** ou **Cancelar a atribuição de endereços IPv4 existentes**. Se você estiver editando as associações de endereços IPv4 secundários de um gateway NAT público, em **Ação**, escolha **Associar novos endereços IPv4** ou **Desassociar endereços IPv4 existentes**.
1. Execute um destes procedimentos:
+ Se tiver optado por atribuir ou associar novos endereços IPv4, faça o seguinte:
1. Essa etapa é necessária. Você deve selecionar um endereço IPv4. Escolha o **método de atribuição de endereço IPv4 privado**:
+ **Atribuir automaticamente**: a AWS escolhe automaticamente um endereço IPv4 privado primário e você escolhe se deseja que a AWS atribua até 7 endereços IPv4 privados secundários para atribuir ao gateway NAT. A AWS os escolhe e atribui automaticamente para você de maneira aleatória e com base na sub-rede em que seu gateway NAT está.
+ **Personalizado**: escolha o endereço IPv4 privado primário e até 7 endereços IPv4 privados secundários para atribuir ao gateway NAT.
1. Em **ID de alocação de IP elástico**, escolha um endereço IP elástico para adicionar como endereço IPv4 secundário. Essa etapa é necessária. Você deve selecionar um endereço IP elástico junto com um endereço IPv4 privado. Se você escolher **Personalizado** para o **Método de atribuição de endereço IP privado**, também deverá inserir um endereço IPv4 privado para cada endereço IP elástico adicionado.
**Importante**
Quando você atribui um EIP secundário a um gateway NAT público, o grupo de borda de rede do EIP deve corresponder ao grupo de borda de rede da Zona de Disponibilidade (AZ) na qual o gateway NAT público está. Se não for a mesma, o EIP não será atribuído. Você pode ver o grupo de bordas da rede para a AZ da sub-rede visualizando os detalhes da sub-rede. Da mesma forma, você pode visualizar o grupo de bordas de rede de um EIP visualizando os detalhes do endereço EIP. Para obter mais informações, consulte [1. Alocar um endereço IP elástico](WorkWithEIPs.md#allocate-eip).
Seu gateway NAT pode ter até 8 endereços IP associados a ele. Se for um gateway NAT público, há um limite de cota padrão para endereços IP elásticos por região. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips).
+ Se você optar por cancelar a atribuição ou desassociar novos endereços IPv4, faça o seguinte:
1. Em **Endereço IP secundário existente para cancelar a atribuição**, selecione os endereços IP secundários cuja atribuição deseja cancelar.
1. (opcional) Em **Duração da drenagem de conexão**, insira o tempo máximo de espera (em segundos) antes de liberar forçadamente os endereços IP se as conexões ainda estiverem em andamento. Se você não inserir um valor, o valor padrão será de 350 segundos.
1. Escolha **Salvar alterações**.
Se o status do gateway NAT mudar para `Failed`, isso significa que ocorreu um erro durante a criação. Para obter mais informações, consulte [Falha na criação do gateway NAT](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed).
## Marcar um gateway NAT
Você pode marcar o gateway NAT para ajudar a identificá-lo ou categorizá-lo de acordo com as necessidades da organização. Para obter informações sobre como trabalhar com tags, consulte [Marcar com tag os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) no *Guia do usuário do Amazon EC2*.
Há suporte a tags de alocação de custo para gateways NAT. Portanto, você também pode usar tags para organizar sua fatura da AWS e refletir sua própria estrutura de custo. Para obter mais informações, consulte [Uso de tags de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) no *Guia do usuário do AWS Billing*. Para obter mais informações sobre como configurar um relatório de alocação de custos com tags, consulte [Relatório mensal de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html) em *Sobre o faturamento de contas da AWS*.
**Para marcar um gateway NAT**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Gateways NAT**.
1. Selecione o gateway NAT que você deseja marcar e escolha **Ações**. Selecione **Gerenciar tags**.
1. Para cada tag, escolha **Adicionar nova tag** e insira uma **Chave** e **Valor** para a tag. É possível adicionar até 50 tags.
1. Escolha **Salvar**.
## Excluir um gateway NAT
Caso não precise mais de um gateway NAT, você pode excluí-lo. Depois de excluir um gateway NAT, sua entrada permanece visível no console da Amazon VPC durante um breve período (normalmente, uma hora) após o qual ela é automaticamente removida. Você não pode remover esta entrada sozinho.
A exclusão de um gateway NAT dissocia o respectivo endereço IP elástico, mas não libera o endereço de sua conta. Se excluir um gateway NAT, as rotas desse gateway permanecerão com o status `blackhole` até o momento em que excluir ou atualizar as rotas.
**Para excluir um gateway NAT**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Gateways NAT**.
1. Selecione o botão de opção para o gateway NAT e, em seguida, escolha **Actions** (Ações),**Delete NAT gateway** (Excluir gateway NAT).
1. Quando a confirmação for solicitada, insira **delete** e escolha **Delete (Excluir)**.
1. Se não for mais necessário o endereço IP elástico associado ao gateway NAT público, recomendamos que você o libere. Para obter mais informações, consulte [5. Liberar um endereço IP elástico](WorkWithEIPs.md#release-eip).
## Visão geral da linha de comando
É possível executar as tarefas descritas nesta página por meio da linha de comando.
**Atribuir um endereço IPv4 privado a um gateway NAT**
+ [assign-private-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-private-nat-gateway-address.html) (AWS CLI)
+ [Register-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2PrivateNatGatewayAddress.html) (AWS Tools for Windows PowerShell)
**Associar endereços IP elásticos e endereços IPv4 privados a um gateway NAT público**
+ [associate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-nat-gateway-address.html) (AWS CLI)
+ [Register-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2NatGatewayAddress.html) (AWS Tools for Windows PowerShell)
**Criar um gateway NAT**
+ [create-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html) (AWS CLI)
+ [New-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html) (AWS Tools for Windows PowerShell)
**Excluir um gateway NAT**
+ [delete-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html) (AWS CLI)
+ [Remove-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html) (AWS Tools for Windows PowerShell)
**Descrever um gateway NAT**
+ [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html) (AWS CLI)
+ [Get-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html) (AWS Tools for Windows PowerShell)
**Desassociar endereços IP elásticos secundários de um gateway NAT público**
+ [disassociate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-nat-gateway-address.html) (AWS CLI)
+ [Unregister-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2NatGatewayAddress.html) (AWS Tools for Windows PowerShell)
**Marcar um gateway NAT**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html) (AWS Tools for Windows PowerShell)
**Cancelar a atribuição de endereços IPv4 secundários de um gateway NAT privado**
+ [unassign-private-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-private-nat-gateway-address.html) (AWS CLI)
+ [Unregister-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2PrivateNatGatewayAddress.html) (AWS Tools for Windows PowerShell)
# Gateways NAT regionais para expansão multi-AZ automática
Use gateways NAT regionais quando quiser simplificar sua arquitetura de rede, melhorar sua postura de segurança e configurar a alta disponibilidade por padrão. Um gateway NAT regional se expande automaticamente entre as zonas de disponibilidade com base na presença da sua workload. Diferentemente dos gateways NAT padrão (chamados de gateways NAT de zona), que operam em uma única zona de disponibilidade, os gateways NAT regionais seguem suas workloads para fornecer alta disponibilidade automática.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/rnat.drawio.png)
O diagrama A à esquerda representa a configuração atual com o gateway NAT de zona. Primeiro, você cria gateways NAT de zona por zona de disponibilidade e hospeda seus NATs em sub-redes públicas. Em seguida, você configura rotas separadas por zona de disponibilidade de suas sub-redes privadas para o NAT nessa zona de disponibilidade. Você repete essa etapa toda vez que suas workloads se expandem para uma nova zona de disponibilidade, para obter alta disponibilidade. Além disso, você precisa adicionar rotas para o gateway da internet na tabela de rotas da sua sub-rede NAT por zona de disponibilidade.
Por outro lado, com um gateway NAT regional, você não precisa criar uma sub-rede pública para hospedá-lo. Você também não precisa criar e excluir gateways NAT e editar suas tabelas de rotas toda vez que suas workloads se expandem para novas zonas de disponibilidade. Em vez disso, basta criar um gateway NAT com modo regional, escolher sua VPC e ela se expande e se contrai automaticamente em todas as zonas de disponibilidade (AZs – Availability Zones) com base na presença de sua workload em oferecer alta disponibilidade. Conforme mostrado no diagrama B, você pode rotear o tráfego de seus recursos em uma sub-rede privada em todas as AZs para esse único ID de gateway NAT regional ou usar a mesma tabela de rotas em sub-redes em sua AZ para realizar a conversão de endereços de rede. Depois de criar seu gateway NAT regional, a AWS cria automaticamente uma tabela de rotas para ele, que vem com uma rota pré-configurada para o gateway da internet. Você pode usar essa tabela de rotas para adicionar rotas de retorno às suas caixas intermediárias.
## Benefícios
Os gateways NAT regionais oferecem os seguintes benefícios:
+ **Configuração simplificada**: use um único ID NAT em todas as zonas de disponibilidade que têm interfaces de rede, para que você possa usar a mesma entrada de rota para sub-redes em diferentes zonas de disponibilidade.
+ **Segurança aprimorada**: não são necessárias sub-redes públicas. Um gateway NAT regional é um recurso autônomo com sua própria tabela de rotas e você não precisa de uma sub-rede pública na sua VPC para hospedar um gateway NAT regional, o que reduz as chances de configuração incorreta de recursos privados em sub-redes com conectividade pública.
+ **Alta disponibilidade automática**: expande e contrai automaticamente com sua área de cobertura de workload para manter a afinidade de zona que fornece alta disponibilidade por padrão.
+ **Limites mais altos de porta e IP**: seus gateways NAT regionais suportam até 32 endereços IP por zona de disponibilidade (em comparação com 8 para gateways NAT de zona). Cada endereço IP aumenta o limite de conexões simultâneas com um destino popular (identificado pela combinação exclusiva de IP de destino, porta de destino e protocolo) em 55.000.
## Quando usar gateways NAT regionais
Considere o uso de gateways NAT regionais para todos os casos de uso, exceto aqueles que exigem conectividade privada. Os gateways NAT regionais não oferecem conectividade privada e recomendamos usar seus gateways NAT no modo de disponibilidade de zona para casos de uso de NAT privado.
## Como funcionam os gateways NAT regionais
Quando você inicia recursos em uma nova zona de disponibilidade, o gateway NAT regional detecta a presença de uma interface de rede (ENI) nessa zona de disponibilidade e se expande automaticamente para essa zona. Da mesma forma, o gateway NAT contrata da Zona de Disponibilidade que não tem workloads ativas.
Seu gateway NAT regional pode levar até 60 minutos para se expandir para uma nova zona de disponibilidade depois que um recurso for instanciado lá. Até que essa expansão seja concluída, o tráfego relevante desse recurso é processado em todas as zonas pelo seu gateway NAT regional em uma das zonas de disponibilidade existentes.
Os gateways NAT regionais oferecem suporte a dois modos:
+ **Modo automático**: nesse modo, a AWS gerencia automaticamente os endereços IP e a expansão da zona de disponibilidade (recomendado). Se você quiser usar seus próprios endereços IP nesse modo e usar o IPAM da Amazon VPC, consulte [Defina a estratégia de alocação de IPv4 público com as políticas do IPAM](https://docs.aws.amazon.com/ipam/define-public-ipv4-allocation-strategy-with-ipam-policies.xml) no *Guia do usuário do IPAM da Amazon VPC*.
+ **Modo manual**: nesse modo, você gerencia manualmente os endereços IP e controla a conversão de endereços de rede para cada zona de disponibilidade. No modo manual, você é responsável por expandir e contratar seu gateway NAT nas zonas de disponibilidade.
## Preços
Para informações sobre preços, consulte [Preços da Amazon VPC](https://aws.amazon.com/vpc/pricing/).
## Criar um gateway NAT regional
### Utilizar o console
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Gateways NAT**.
1. Escolha **Criar um gateway NAT**.
1. Para o **Modo de disponibilidade**, escolha **Regional**. Não é necessário especificar nenhuma sub-rede ao escolher a disponibilidade regional.
1. Escolha uma VPC.
1. Conclua a configuração restante e escolha **Criar gateway NAT**.
### Usar a AWS CLI
Criar um gateway NAT regional
```
aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional
```
Exibir detalhes do gateway NAT
```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678
```
Adicionar endereços IP (modo manual)
```
aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678
```
Remover endereços IP
```
aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678
```
Excluir um gateway NAT regional
```
aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678
```
## Converter gateways NAT de zona em regionais
**Importante**
Isso redefinirá suas conexões existentes. Recomendamos que conclua essas etapas na janela de manutenção.
Você pode converter os gateways NAT de zona existentes em um gateway NAT regional usando uma destas duas abordagens:
**Se você concorda com o uso de gateways NAT regionais com novos endereços IP:**
1. Crie um novo gateway NAT regional
1. Atualize as tabelas de rotas para apontar para o gateway NAT regional
1. Exclua os antigos gateways NAT de zona
Essa abordagem usa novos endereços IP e redefine as conexões existentes quando as rotas são atualizadas.
**Se você quiser reutilizar endereços IP existentes com gateways NAT regionais:**
1. Exclua os gateways NAT de zona existentes para liberar seus endereços IP
1. Crie um gateway NAT regional usando os endereços IP liberados
1. Atualize as tabelas de rotas para apontar para o gateway NAT regional
Essa abordagem preserva os endereços IP, mas requer uma janela de manutenção, pois o tráfego é interrompido durante a transição.
# Casos de uso do gateway NAT
Os exemplos a seguir são casos de uso de gateways NAT públicos e privados.
**Topics**
+ [Acessar a Internet a partir de uma sub-rede privada](#public-nat-internet-access)
+ [Acessar sua rede de endereços IP permitidos](#private-nat-allowed-range)
+ [Habilitar a comunicação entre redes sobrepostas](#private-nat-overlapping-networks)
## Acessar a Internet a partir de uma sub-rede privada
Você pode usar um gateway NAT público para permitir que instâncias em uma sub-rede privada enviem tráfego para a Internet, enquanto impede que a Internet estabeleça conexões com essas instâncias.
**Topics**
+ [Visão geral](#public-nat-gateway-overview)
+ [Roteamento](#public-nat-gateway-routing)
+ [Testar o gateway NAT público](#public-nat-gateway-testing)
### Visão geral
O diagrama a seguir ilustra esse caso de uso. Existem duas zonas de disponibilidade, com duas sub-redes em cada uma. A tabela de rotas para cada sub-rede determina como o tráfego é encaminhado. Na zona de disponibilidade A, as instâncias na sub-rede pública podem acessar a Internet por meio de uma rota para o gateway da Internet, enquanto as instâncias na sub-rede privada não têm rota para a Internet. Na zona de disponibilidade B, a sub-rede pública contém um gateway NAT e as instâncias na sub-rede privada podem acessar a Internet por meio de uma rota para o gateway NAT na sub-rede pública. Os gateways NAT privados e públicos mapeiam o endereço IPv4 privado de origem das instâncias para o endereço IPv4 privado do gateway NAT privado, mas no caso de um gateway NAT público, o gateway da internet mapeia o endereço IPv4 privado do gateway NAT público para o endereço IP elástico associado ao gateway NAT. Ao enviar tráfego de resposta para as instâncias, seja um gateway NAT público ou privado, o gateway NAT converte o endereço de volta para o endereço IP de origem inicial.
![\[VPC com sub-redes públicas e privadas, um gateway NAT e um gateway da Internet.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/public-nat-gateway-diagram.png)
Observe que, se as instâncias na sub-rede privada na zona de disponibilidade A também precisarem acessar a Internet, você poderá criar uma rota dessa sub-rede para o gateway NAT na zona de disponibilidade B. Como alternativa, é possível melhorar a resiliência criando um gateway NAT em cada zona de disponibilidade que contenha recursos que exigem acesso à Internet. Para ver um exemplo de diagrama, consulte [Exemplo: VPC com servidores em sub-redes privadas e NAT](vpc-example-private-subnets-nat.md).
### Roteamento
A tabela de rotas a seguir está associada à sub-rede pública na zona de disponibilidade A. A primeira entrada é a rota local. Ela permite que as instâncias na sub-rede se comuniquem com outras instâncias na VPC usando endereços IP privados. A segunda entrada envia todo o outro tráfego da sub-rede para o gateway da Internet; o que permite que as instâncias na sub-rede acessem a Internet.
| Destination (Destino) | Alvo |
| --- | --- |
| CIDR DA VPC | local |
| 0.0.0.0/0 | internet-gateway-id |
A tabela de rotas a seguir está associada à sub-rede privada na zona de disponibilidade A. A entrada é a rota local, que permite que as instâncias na sub-rede se comuniquem com outras instâncias na VPC usando endereços IP privados. As instâncias nessa sub-rede não têm acesso à Internet.
| Destination (Destino) | Alvo |
| --- | --- |
| CIDR DA VPC | local |
A tabela de rotas a seguir está associada à sub-rede pública na zona de disponibilidade B. A primeira entrada é a rota local. Ela permite que as instâncias na sub-rede se comuniquem com outras instâncias na VPC usando endereços IP privados. A segunda entrada envia todo o outro tráfego da sub-rede para o gateway da Internet; o que permite que o gateway NAT na sub-rede acesse a Internet.
| Destination (Destino) | Alvo |
| --- | --- |
| CIDR DA VPC | local |
| 0.0.0.0/0 | internet-gateway-id |
A tabela de rotas a seguir está associada à sub-rede privada na zona de disponibilidade B. A primeira entrada é a rota local. Ela permite que as instâncias na sub-rede se comuniquem com outras instâncias na VPC usando endereços IP privados. A segunda entrada envia todos os outros tráfegos da sub-rede ao gateway NAT.
| Destination (Destino) | Alvo |
| --- | --- |
| CIDR DA VPC | local |
| 0.0.0.0/0 | nat-gateway-id |
Para obter mais informações, consulte [Gerenciar tabelas de rotas de sub-redes](WorkWithRouteTables.md).
### Testar o gateway NAT público
Após criar o gateway NAT e atualizar as tabelas de rotas, você poderá executar ping endereços remotos na internet de uma instância na sua sub-rede privada para testar se ela pode se conectar à Internet. Para obter um exemplo de como fazer isso, consulte [Testar a conexão com a internet](#nat-gateway-testing-example).
Se conseguir conectar à Internet, você também poderá testar se o tráfego da Internet é roteado via gateway NAT:
+ rastreie a rota do tráfego de uma instância em sua sub-rede privada. Para isso, execute o comando `traceroute` em uma instância Linux em sua sub-rede privada. Na saída, você deve ver o endereço IP privado do gateway NAT em um dos saltos (em geral, o primeiro salto).
+ Use um site ou uma ferramenta de terceiros que exiba o endereço IP de origem quando você se conecta a ele de uma instância de sua sub-rede privada. O endereço IP de origem deve ser o endereço IP elástico do seu gateway NAT.
Se esses testes falharem, consulte [Solucionar problemas de gateways NAT](nat-gateway-troubleshooting.md).
#### Testar a conexão com a internet
O exemplo a seguir demonstra como testar se uma instância em uma sub-rede privada pode se conectar com a Internet.
1. Execute uma instância em sua sub-rede pública (use-a como bastion host). No Launch Wizard, é necessário selecionar uma AMI do Amazon Linux e atribuir um endereço IP público à instância. Verifique se as regras do grupo de segurança permitem tráfego SSH de entrada do intervalo de endereços IP de sua rede local e tráfego SSH de saída para o intervalo de endereços IP da sub-rede privada (você também pode usar `0.0.0.0/0` para tráfego SSH de entrada e de saída para este teste).
1. Execute uma instância em sua sub-rede privada. No Launch Wizard, selecione uma Amazon Linux AMI. Não atribua um endereço IP público à sua instância. Confirme se as regras de seu grupo de segurança permitem tráfego SSH de entrada do intervalo de endereços IP privados da instância que você executou na sub-rede pública e todos os tráfegos ICMP de saída. Você deve escolher o mesmo par de chaves que usou para executar sua instância na sub-rede pública.
1. Configure o encaminhamento de agente SSH no computador local e conecte-se ao bastion host na sub-rede pública. Para obter mais informações, consulte [Para configurar o encaminhamento de agente SSH para Linux ou macOS](#ssh-forwarding-linux) ou [Configurar o encaminhamento de agente SSH para Windows](#ssh-forwarding-windows).
1. No bastion host, conecte-se à instância na sub-rede privada e teste a conexão com a internet na instância na sub-rede privada. Para obter mais informações, consulte [Para testar a conexão com a internet](#test-internet-connection).
**Para configurar o encaminhamento de agente SSH para Linux ou macOS**
1. Em seu computador local, adicione sua chave privada para o agente de autenticação.
No Linux, use o comando a seguir:
```
ssh-add -c mykeypair.pem
```
No macOS, use o comando a seguir:
```
ssh-add -K mykeypair.pem
```
1. Conecte-se à sua instância na sub-rede pública usando a opção `-A` para permitir o encaminhamento de agente SSH e use o endereço público da instância, conforme mostrado no exemplo a seguir.
```
ssh -A ec2-user@54.0.0.123
```
**Configurar o encaminhamento de agente SSH para Windows**
Você pode usar o cliente OpenSSH disponível no Windows ou instalar seu cliente SSH preferencial (por exemplo, PuTTY).
------
#### [ OpenSSH ]
Instale o OpenSSH para Windows conforme descrito neste artigo: [Getting started with OpenSSH for Windows](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse). Em seguida, adicione sua chave ao agente de autenticação. Para obter mais informações, consulte [Key-based authentication in OpenSSH for Windows](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement).
------
#### [ PuTTY ]
1. Faça download e instale o Pageant na [página de download PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/), se ele ainda não estiver instalado.
1. Converta sua chave privada no formato .ppk. Para obter mais informações, consulte [Converter a chave privada usando o PuTTYgen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html#putty-private-key) no *Guia do usuário do Amazon EC2*.
1. Inicie o Pageant, clique com o botão direito no ícone do Pageant na barra de tarefas (ele pode estar oculto) e escolha **Add Key**. Selecione o arquivo .ppk que você criou, digite a senha se necessário e escolha **Open (Abrir)**.
1. Inicie a sessão PuTTY session e conecte-se à sua instância na sub-rede pública usando o respectivo endereço IP. Para obter mais informações, consulte [Conectar-se à instância do Linux usando PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html). Na categoria **Auth**, selecione a opção **Allow agent forwarding** e deixe a caixa **Private key file for authentication** em branco.
------
**Para testar a conexão com a internet**
1. Em sua instância na sub-rede pública, conecte-se à sua instância na sub-rede privada usando o endereço IP privado, conforme mostrado no exemplo a seguir.
```
ssh ec2-user@10.0.1.123
```
1. Na instância privada, teste se é possível conectar-se à Internet executando o comando `ping` para um site que tenha o ICMP habilitado.
```
ping ietf.org
```
```
PING ietf.org (4.31.198.44) 56(84) bytes of data.
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms
...
```
Pressione **Ctrl\$1C** no teclado para cancelar o comando `ping`. Se o comando `ping` falhar, consulte [As instâncias não conseguem acessar a Internet](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-no-internet-connection).
1. (Opcional) Se você não precisar mais das instâncias, termine-as. Para obter mais informações, consulte [Terminar sua instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html) no *Guia do usuário do Amazon EC2*.
## Acessar sua rede de endereços IP permitidos
Você pode usar um gateway NAT privado para permitir a comunicação de suas VPCs para sua rede on-premises usando um grupo de endereços permitidos. Em vez de atribuir a cada instância um endereço IP separado do intervalo de endereços IP permitidos, você pode rotear o tráfego da sub-rede destinado à rede on-premises por meio de um gateway NAT privado, com um endereço IP do intervalo de endereços IP permitidos.
**Topics**
+ [Visão geral](#private-nat-allowed-range-overview)
+ [Recursos](#private-nat-allowed-range-resources)
+ [Roteamento](#private-nat-allowed-range-routing)
### Visão geral
O diagrama a seguir mostra como as instâncias podem acessar os recursos on-premises por meio da Site-to-Site VPN. O tráfego das instâncias é roteado para um gateway privado virtual, pela conexão VPN, para o gateway do cliente e, em seguida, para o destino na rede on-premises. No entanto, suponha que o destino permita tráfego somente de um intervalo de endereços IP específico, como 100.64.1.0/28. Isso impediria que o tráfego dessas instâncias chegasse à rede on-premises.
![\[Acessar uma rede on-premises usando uma conexão da Site-to-Site VPN.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/allowed-range.png)
O diagrama a seguir mostra os principais componentes da configuração deste cenário. A VPC tem seu intervalo de endereços IP original e o intervalo de endereços IP permitidos. A VPC tem uma sub-rede do intervalo de endereços IP permitidos com um gateway NAT privado. O tráfego das instâncias destinadas à rede on-premises é enviado para o gateway NAT antes de ser roteado para a conexão VPN. A rede on-premises recebe o tráfego das instâncias com o endereço IP de origem do gateway NAT, que está no intervalo de endereços IP permitidos.
![\[Tráfego de sub-rede de VPC roteado por meio de gateway NAT privado\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/private-nat-allowed-range.png)
### Recursos
Crie ou atualize recursos da seguinte maneira:
+ Associe o intervalo de endereços IP permitidos à VPC.
+ Crie uma sub-rede na VPC do intervalo de endereços IP permitidos.
+ Crie um gateway NAT privado na nova sub-rede.
+ Atualize a tabela de rotas para a sub-rede com as instâncias, para enviar tráfego destinado à rede on-premises para o gateway NAT. Adicione uma rota à tabela de rotas para a sub-rede com o gateway NAT privado que envia o tráfego destinado à rede on-premises para o gateway privado virtual.
### Roteamento
A tabela de rotas a seguir está associada à primeira sub-rede. Existe uma rota local para cada CIDR da VPC. As rotas locais permitem que os recursos na sub-rede se comuniquem com outros recursos na VPC usando endereços IP privados. A terceira entrada envia tráfego destinado à rede on-premises para o gateway NAT privado.
| Destination (Destino) | Destino |
| --- | --- |
| 10.0.0.0/16 | local |
| 100.64.1.0/24 | local |
| 192.168.0.0/16 | nat-gateway-id |
A tabela de rotas a seguir está associada à segunda sub-rede. Existe uma rota local para cada CIDR da VPC. As rotas locais permitem que os recursos na sub-rede se comuniquem com outros recursos na VPC usando endereços IP privados. A terceira entrada envia o tráfego destinado à rede on-premises para o gateway privado virtual.
| Destination (Destino) | Destino |
| --- | --- |
| 10.0.0.0/16 | local |
| 100.64.1.0/24 | local |
| 192.168.0.0/16 | vgw-id |
## Habilitar a comunicação entre redes sobrepostas
Você pode usar um gateway NAT privado para habilitar a comunicação entre redes, mesmo se elas tiverem intervalos CIDR sobrepostos. Por exemplo, suponha que as instâncias na VPC A precisem acessar os serviços fornecidos pelas instâncias na VPC B.
![\[Duas VPCs com intervalos CIDR sobrepostos.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/overlapping-networks.png)
**Topics**
+ [Visão geral](#private-nat-overlapping-networks-overview)
+ [Recursos](#private-nat-overlapping-networks-resources)
+ [Roteamento](#private-nat-overlapping-networks-routing)
### Visão geral
O diagrama a seguir mostra os principais componentes da configuração deste cenário. Primeiro, sua equipe de gerenciamento de IP determina quais intervalos de endereços podem se sobrepor (intervalos de endereços não roteáveis) e quais não podem (intervalos de endereços roteáveis). A equipe de gerenciamento de IP aloca intervalos de endereços do grupo de intervalos de endereços roteáveis a projetos, mediante solicitação.
Cada VPC tem seu intervalo de endereços IP original, que não é roteável, além do intervalo de endereços IP roteáveis atribuído a ela pela equipe de gerenciamento de IP. A VPC A tem uma sub-rede de seu intervalo roteável com um gateway NAT privado. O gateway NAT privado obtém seu endereço IP de sua sub-rede. A VPC B tem uma sub-rede de seu intervalo roteável com um Application Load Balancer. O Application Load Balancer obtém seus endereços IP de suas sub-redes.
O tráfego de uma instância na sub-rede não roteável da VPC A destinada às instâncias na sub-rede não roteável da VPC B é enviado por meio do gateway NAT privado e, em seguida, roteado para o gateway de trânsito. O gateway de trânsito envia o tráfego ao Application Load Balancer, que o roteia a uma das instâncias de destino na sub-rede não roteável da VPC B. O tráfego do gateway de trânsito para o Application Load Balancer tem o endereço IP de origem do gateway NAT privado. Portanto, o tráfego de resposta do balanceador de carga usa o endereço do gateway NAT privado como destino. O tráfego de resposta é enviado para o gateway de trânsito e, em seguida, roteado para o gateway NAT privado, que traduz o destino para a instância na sub-rede não roteável da VPC A.
![\[Uma VPC com gateway NAT e gateway de trânsito privados para comunicação entre VPCs com um CIDR sobreposto\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/private-nat-overlapping-networks.png)
### Recursos
Crie ou atualize recursos da seguinte maneira:
+ Associe os intervalos de endereços IP roteáveis atribuídos às respectivas VPCs.
+ Crie uma sub-rede na VPC A de seu intervalo de endereços IP roteáveis e crie um gateway NAT privado nessa nova sub-rede.
+ Crie uma sub-rede na VPC B de seu intervalo de endereços IP roteáveis e crie um Application Load Balancer nessa nova sub-rede. Registre as instâncias na sub-rede não roteável com o grupo de destino para o balanceador de carga.
+ Crie um gateway de trânsito para conectar as VPCs. Certifique-se de desabilitar a propagação de rotas. Quando você anexar cada VPC ao gateway de trânsito, use o intervalo de endereços roteáveis da VPC.
+ Atualize a tabela de rotas da sub-rede não roteável na VPC A para enviar todo o tráfego destinado ao intervalo de endereços roteáveis da VPC B para o gateway NAT privado. Atualize a tabela de rotas da sub-rede roteável na VPC A para enviar todo o tráfego destinado ao intervalo de endereços roteáveis da VPC B para o gateway de trânsito.
+ Atualize a tabela de rotas da sub-rede roteável na VPC B para enviar todo o tráfego destinado ao intervalo de endereços roteáveis da VPC A para o gateway de trânsito.
### Roteamento
A tabela a seguir é a tabela de rotas para a sub-rede não roteável na VPC A.
| Destination (Destino) | Destino |
| --- | --- |
| 10.0.0.0/16 | local |
| 100.64.1.0/24 | local |
| 100.64.2.0/24 | nat-gateway-id |
A tabela a seguir é a tabela de rotas para a sub-rede roteável na VPC A.
| Destination (Destino) | Destino |
| --- | --- |
| 10.0.0.0/16 | local |
| 100.64.1.0/24 | local |
| 100.64.2.0/24 | transit-gateway-id |
A tabela a seguir é a tabela de rotas para a sub-rede não roteável na VPC B.
| Destination (Destino) | Destino |
| --- | --- |
| 10.0.0.0/16 | local |
| 100.64.2.0/24 | local |
A tabela a seguir é a tabela de rotas para a sub-rede roteável na VPC B.
| Destination (Destino) | Destino |
| --- | --- |
| 10.0.0.0/16 | local |
| 100.64.2.0/24 | local |
| 100.64.1.0/24 | transit-gateway-id |
Veja a seguir a tabela de rotas de gateway de trânsito.
| CIDR | Attachment | Tipo de rota |
| --- | --- | --- |
| 100.64.1.0/24 | Anexo para a VPC A | Estático |
| 100.64.2.0/24 | Anexo para a VPC B | Estático |
# DNS64 e NAT64
Um gateway NAT oferece suporte à conversão de endereços de rede de IPv6 para IPv4, mais conhecida como NAT64. A NAT64 ajuda os seus recursos IPv6 da AWS a se comunicarem com recursos IPv4 na mesma VPC ou em uma VPC diferente, na sua rede on-premises ou pela Internet. Você pode usar a NAT64 com o DNS64 no Amazon Route 53 Resolver ou o seu próprio servidor DNS64.
**Topics**
+ [O que é o DNS64?](#nat-gateway-dns64-what-is)
+ [O que é a NAT64?](#nat-gateway-nat64-what-is)
+ [Configure o DNS64 e a NAT64](#nat-gateway-nat64-dns64-walkthrough)
## O que é o DNS64?
As suas workloads somente IPv6 em execução em VPCs só podem enviar e receber pacotes de rede IPv6. Sem o DNS64, uma consulta ao DNS para um serviço somente IPv4 produzirá um endereço de destino IPv4 em resposta e seu serviço somente IPv6 não poderá se comunicar com ele. Para preencher essa lacuna de comunicação, você pode habilitar o DNS64 para uma sub-rede e ela se aplica a todos os recursos da AWS dentro dessa sub-rede. Com o DNS64, o Amazon Route 53 Resolver procura o registro DNS do serviço que você consultou e segue um dos seguintes procedimentos:
+ Se o registro contiver um endereço IPv6, ele retornará o registro original e a conexão será estabelecida sem nenhuma conversão por IPv6.
+ Se não houver um endereço IPv6 associado ao destino no registro DNS, o Route 53 Resolver sintetizará um endereço acrescentando o prefixo conhecido `/96`, definido em RFC6052 (`64:ff9b::/96`), ao endereço IPv4 presente no registro. O seu serviço somente IPv6 envia pacotes de rede para o endereço IPv6 sintetizado. Em seguida, você precisará encaminhar esse tráfego através do gateway NAT, que executa a conversão necessária no tráfego para permitir que os serviços IPv6 em sua sub-rede acessem serviços IPv4 fora dessa sub-rede.
É possível habilitar ou desabilitar o DNS64 em uma sub-rede usando [modify-subnet-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html) com a AWS CLI ou com o console da VPC selecionando uma sub-rede e escolhendo **Actions** > **Modify DNS64 settings** (Ações > Modificar configurações de DNS64).
## O que é a NAT64?
A NAT64 habilita a comunicação de seus serviços somente IPv6 em Amazon VPCs com serviços somente IPv4 dentro da mesma VPC (em sub-redes diferentes) ou VPCs conectadas, em suas redes on-premises ou pela Internet.
A NAT64 está disponível automaticamente em seus gateways NAT existentes ou em qualquer novo gateway NAT que você criar. Não é possível habilitar ou desabilitar esse recurso. A sub-rede na qual o gateway NAT está não precisa ser uma sub-rede de pilha dupla para que o NAT64 funcione.
Depois que você ativar o DNS64, se o serviço somente IPv6 enviar pacotes de rede para um endereço IPv6 sintetizado por meio do gateway NAT, ocorrerá o seguinte:
+ Com o prefixo `64:ff9b::/96`, o gateway NAT reconhece que o destino original é IPv4 e converte os pacotes IPv6 em IPv4 substituindo:
+ O IPv6 de origem com seu próprio IP privado, que é convertido para o endereço IP elástico pelo gateway da Internet.
+ O IPv6 de destino para o IPv4 truncando o prefixo `64:ff9b::/96`.
+ O gateway NAT envia os pacotes IPv4 convertidos para o destino por meio do gateway da Internet, gateway privado virtual ou gateway de trânsito e inicia uma conexão.
+ O host somente IPv4 envia os pacotes IPv4 de resposta de volta. Depois que uma conexão é estabelecida, o gateway NAT aceita os pacotes IPv4 de resposta dos hosts externos.
+ Os pacotes IPv4 de resposta são destinados ao gateway NAT, que os recebe e desfaz sua conversão substituindo seu IP (IP de destino) pelo endereço IPv6 do host e acrescentando `64:ff9b::/96` de volta ao endereço IPv4 de origem. O pacote então vai até o host seguindo a rota local.
Dessa forma, o gateway NAT permite que suas workloads somente IPv6 em uma sub-rede se comuniquem com serviços somente IPv4 fora da sub-rede.
## Configure o DNS64 e a NAT64
Siga as etapas desta seção para configurar o DNS64 e a NAT64 para habilitar a comunicação com serviços somente IPv4.
**Topics**
+ [Habilitar a comunicação com serviços somente IPv4 pela Internet com a AWS CLI](#nat-gateway-nat64-dns64-walkthrough-internet)
+ [Habilite a comunicação com serviços somente IPv4 em seu ambiente on-premises](#nat-gateway-nat64-dns64-walkthrough-on-prem)
### Habilitar a comunicação com serviços somente IPv4 pela Internet com a AWS CLI
Se você tiver uma sub-rede com workloads somente IPv6 que precise se comunicar com serviços somente IPv4 fora da sub-rede, este exemplo mostra como habilitar os serviços somente IPv6 para a comunicação com serviços somente IPv4 pela Internet.
Primeiro, você deve configurar um gateway NAT em uma sub-rede pública (separada da sub-rede que contém as workloads somente IPv6). Por exemplo, a sub-rede que contém o gateway NAT deve ter uma rota `0.0.0.0/0` apontando para o gateway da Internet.
Conclua estas etapas para permitir que esses serviços somente IPv6 se conectem a serviços somente IPv4 pela Internet:
1. Adicione as três rotas a seguir à tabela de rotas da sub-rede que contém as workloads somente IPv6:
+ Rota IPv4 (se houver) apontando para o gateway NAT.
+ `64:ff9b::/96`Rota apontando para o gateway NAT. Isso permitirá que o tráfego de suas workloads somente IPv6 destinadas a serviços somente IPv4 seja roteado por meio do gateway NAT.
+ Rota IPv6 `::/0` apontando para o gateway da Internet somente de saída (ou o gateway da Internet).
Observe que apontar `::/0` para o gateway da Internet permitirá que hosts IPv6 externos (fora da VPC) iniciem a conexão por IPv6.
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408
```
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408
```
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
::/0 --egress-only-internet-gateway-id eigw-c0a643a9
```
1. Habilite o recurso do DNS64 na sub-rede que contém as workloads somente IPv6.
```
aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64
```
Agora, os recursos na sua sub-rede privada podem estabelecer conexões com estado com serviços IPv4 e IPv6 pela Internet. Configure o seu grupo de segurança e NACLs adequadamente para permitir o tráfego de saída e entrada ao tráfego de `64:ff9b::/96`.
### Habilite a comunicação com serviços somente IPv4 em seu ambiente on-premises
O Amazon Route 53 Resolver permite que você encaminhe consultas de DNS da sua VPC para uma rede on-premises e vice-versa. Para isso, você pode fazer o seguinte:
+ Você cria um endpoint de saída do Route 53 Resolver em uma VPC e atribui a ele os endereços IPv4 dos quais deseja que o Route 53 Resolver encaminhe consultas. Para o seu resolvedor de DNS on-premises, estes são os endereços IP dos quais as consultas de DNS se originam e, portanto, devem ser endereços IPv4.
+ Você cria uma ou mais regras que especifiquem os nomes de domínio das consultas de DNS que deseja que o Route 53 Resolver encaminhe aos seus resolvedores on-premises. Também é necessário especificar os endereços IPv4 dos resolvedores on-premises.
+ Agora que você configurou um endpoint de saída do Route 53 Resolver, é preciso habilitar o DNS64 na sub-rede que contém suas workloads somente IPv6 e encaminhar todos os dados destinados à sua rede on-premises por meio de um gateway NAT.
Como o DNS64 funciona para destinos somente IPv4 em redes on-premises:
1. Você atribui um endereço IPv4 ao endpoint de saída do Route 53 Resolver na sua VPC.
1. A consulta de DNS do seu serviço IPv6 vai para o Route 53 Resolver por IPv6. O Route 53 Resolver corresponde à consulta com a regra de encaminhamento e obtém um endereço IPv4 para o seu resolvedor on-premises.
1. O Route 53 Resolver converte o pacote de consulta de IPv6 para IPv4 e o encaminha para o endpoint de saída. Cada endereço IP do endpoint representa um ENI que encaminha a solicitação ao endereço IPv4 on-premises do seu revolvedor de DNS.
1. O revolvedor on-premises envia o pacote de resposta por IPv4 de volta pelo endpoint de saída para o Route 53 Resolver.
1. Caso a consulta tenha sido feita por meio de uma sub-rede habilitada para DNS64, o Route 53 Resolver fará duas coisas:
1. Ele verifica o conteúdo do pacote de resposta. Se houver um endereço IPv6 no registro, ele manterá o conteúdo como está, se ele contiver apenas um registro IPv4. Ele também sintetiza um registro IPv6 acrescentando `64:ff9b::/96` ao endereço IPv4.
1. Ele reempacota o conteúdo e o envia para o serviço na sua VPC por IPv6.
# Inspecionar tráfego de gateways NAT
Você pode conectar o proxy do Network Firewall ao seu gateway NAT para inspecionar e filtrar o tráfego em seu gateway NAT. Esse controle de segurança permite que você evite vazamentos de dados fora do seu perímetro confiável e bloqueie qualquer resposta de entrada indesejada.
## Como funciona
Ao criar um proxy do Network Firewall, é necessário selecionar um gateway NAT existente ao qual conectar o proxy. Depois de criado, o proxy:
+ O proxy vem com um nome de domínio totalmente qualificado e você precisa configurar suas aplicações para enviar solicitações de conexão http e https ao proxy. O proxy primeiro filtra o nome de domínio na solicitação de conexão com base nas regras inseridas pelo cliente. Se permitido pelo cliente, o proxy então faz uma consulta ao DNS para obter o endereço IP do domínio. Em seguida, ele estabelece uma conexão TCP com o destino final. Com base na habilitação da descriptografia TLS, o proxy então filtra a conexão TLS pelos atributos de endereço IP e cabeçalho e só estabelece uma conexão TLS com o destino se os atributos IP e de cabeçalho (incluindo a ação do cabeçalho e o caminho do URL) forem permitidos pelas políticas.
+ O dispositivo inspeciona e filtra o tráfego.
+ O tráfego permitido continua até o destino (na internet, no ambiente local ou em outra VPC).
## Conexão de dispositivos
Os dispositivos são conectados aos gateways NAT por meio do AWS Network Firewall. Para ver as etapas de criação e conexão de dispositivos, consulte o [Guia do desenvolvedor de proxy do Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/network-firewall-proxy-developer-guide.html).
## Visualização de dispositivos conectados
Para visualizar os dispositivos conectados ao seu gateway NAT, use o comando [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html):
```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
```
A resposta incluirá um campo `AttachedAppliances` que mostra:
+ **Type**: o tipo de dispositivo (por exemplo, `network-firewall-proxy`)
+ **ApplianceArn**: o ARN do dispositivo conectado
+ **AttachmentState**: status da conexão atual (`attached`, `detaching`, `detached`, `attach_failed`, `detach_failed`)
+ **ModificationState**: status da modificação atual (`modifying`, `completed`, `failed`)
+ **VpcEndpointId**: o ID do endpoint da VPC usado para rotear o tráfego das VPCs da aplicação até o proxy para inspeção e filtragem
+ **FailureCode**: o código de falha se a operação de conexão ou modificação do dispositivo tiver falhado
+ **FailureMessage**: uma mensagem descritiva explicando a falha se a operação de conexão ou modificação do dispositivo tiver falhado
# Monitorar gateways NAT com o Amazon CloudWatch
É possível monitorar o gateway NAT usando o CloudWatch, que coleta informações do gateway NAT e cria métricas legíveis quase em tempo real. Você pode usar essas informações para monitorar e resolver problemas do gateway NAT. Essas métricas oferecem visibilidade da integridade e do desempenho do seu gateway NAT, permitindo que você monitore de perto sua operação e solucione rapidamente quaisquer problemas.
As métricas do gateway NAT coletadas pelo CloudWatch incluem pontos de dados como bytes processados, contagens de pacotes, contagens de conexões e taxas de erro. Isso permite que você entenda completamente o tráfego que flui pelo gateway NAT e identifique quaisquer anomalias ou gargalos. O CloudWatch fornece esses dados métricos em intervalos de 1 minuto, oferecendo uma visão granular e atualizada do comportamento do seu gateway NAT.
Além disso, o CloudWatch retém esses dados métricos do gateway NAT por um período prolongado de 15 meses, permitindo que você analise tendências e padrões ao longo do tempo. É possível usar esses dados históricos para planejar a capacidade, otimizar a performance e entender a evolução de longo prazo do uso do gateway NAT.
Para aproveitar esses poderosos recursos de monitoramento, você pode criar painéis e alarmes personalizados do CloudWatch adaptados às suas necessidades específicas. Por exemplo, é possível configurar alertas para notificar sempre que a transferência de dados de saída do gateway NAT exceder um determinado limite, permitindo que você resolva proativamente possíveis restrições de largura de banda.
Para obter mais informações sobre a definição de preço, consulte [Preços do Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).
**Topics**
+ [Métricas e dimensões do gateway NAT](metrics-dimensions-nat-gateway.md)
+ [Visualizar métricas do CloudWatch do gateway NAT](viewing-metrics.md)
+ [Criar alarmes do CloudWatch para monitorar o gateway NAT](creating-alarms-nat-gateway.md)
# Métricas e dimensões do gateway NAT
As métricas a seguir estão disponíveis para os gateways NAT. A coluna de descrição inclui uma descrição de cada métrica, bem como as [unidades](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Unit) e as [estatísticas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Statistics-definitions.html).
| Métrica | Descrição |
| --- | --- |
| ActiveConnectionCount | O número total de conexões TCP simultâneas e ativos por meio do gateway NAT. O valor zero indica que não há conexão ativas por meio do gateway NAT. Unidades: contagem Statistics: a estatística mais útil é `Max`. |
| BytesInFromDestination | O número de bytes recebidos pelo gateway NAT do destino. Se o valor para `BytesOutToSource` for menor que o valor de `BytesInFromDestination`, talvez haja perda de dados durante o processamento do gateway NAT ou tráfego sendo ativamente bloqueado pelo gateway NAT. Unidades: bytes Statistics: a estatística mais útil é `Sum`. |
| BytesInFromSource | O número de bytes recebidos pelo gateway NAT dos clientes na VPC. Se o valor de `BytesOutToDestination` for menor que o valor de `BytesInFromSource`, poderá haver perda de dados durante o processamento do gateway NAT. Unidades: bytes Statistics: a estatística mais útil é `Sum`. |
| BytesOutToDestination | O número de bytes enviados por meio do gateway NAT ao destino. Um valor maior que zero indica que há tráfego fluindo dos clientes que estão atrás do gateway NAT para a Internet. Se o valor de `BytesOutToDestination` for menor que o valor de `BytesInFromSource`, poderá haver perda de dados durante o processamento do gateway NAT. Unidade: bytes Statistics: a estatística mais útil é `Sum`. |
| BytesOutToSource | O número de bytes enviados por meio do gateway NAT para os clientes na VPC. Um valor maior que zero indica que há tráfego fluindo da Internet para os clientes que estão atrás do gateway NAT. Se o valor para `BytesOutToSource` for menor que o valor de `BytesInFromDestination`, talvez haja perda de dados durante o processamento do gateway NAT ou tráfego sendo ativamente bloqueado pelo gateway NAT. Unidades: bytes Statistics: a estatística mais útil é `Sum`. |
| ConnectionAttemptCount | O número de tentativas de conexão feita por meio do gateway NAT. Isso inclui somente o SYN inicial. Em alguns casos, o `ConnectionAttemptCount` pode ser menor do que o `ConnectionEstablishedCount` devido à retransmissão de SYN. Se o valor de `ConnectionEstablishedCount` for menor que o valor de `ConnectionAttemptCount`, os clientes atrás do gateway NAT tentaram estabelecer novas conexões para as quais não houve resposta. Unidade: contagem Statistics: a estatística mais útil é `Sum`. |
| ConnectionEstablishedCount | O número de conexões estabelecidas por meio do gateway NAT. Isso inclui SYN e retransmissões de SYN. Se o valor de `ConnectionEstablishedCount` for menor que o valor de `ConnectionAttemptCount`, os clientes atrás do gateway NAT tentaram estabelecer novas conexões para as quais não houve resposta. Unidade: contagem Statistics: a estatística mais útil é `Sum`. |
| ErrorPortAllocation | O número de vezes que o gateway NAT não conseguiu alocar uma porta de origem. Um valor maior de zero indica que muitas conexões simultâneas são abertas por meio do gateway NAT. Unidades: contagem Statistics: a estatística mais útil é `Sum`. |
| IdleTimeoutCount | O número de conexões que fizeram a transição do estado ativo para o estado inativo. Uma conexão ativa faz a transição para estado inativo caso não tenha sido fechada corretamente e não haja atividade por pelo menos 350 segundos. Um valor maior que zero indica que há conexões que foram movidas para um estado inativo. Se o valor de `IdleTimeoutCount` aumentar, isso pode indicar que os clientes atrás do gateway NAT estejam reutilizando conexões obsoletas. Unidade: contagem Statistics: a estatística mais útil é `Sum`. |
| PacketsDropCount | O número de pacotes removidos pelo gateway NAT. Para calcular o número de pacotes descartados como uma porcentagem do tráfego geral de pacotes, use esta fórmula: `PacketsDropCount/(PacketsInFromSource+PacketsInFromDestination)*100`. Se esse valor exceder 0,01% do tráfego total no gateway NAT, é possível que haja um problema com o serviço da Amazon VPC. Use o [Painel de integridade do serviço da AWS](https://status.aws.amazon.com/) para identificar quaisquer problemas com o serviço que possam estar fazendo com que os gateways NAT descartem pacotes. Unidades: contagem Statistics: a estatística mais útil é `Sum`. |
| PacketsInFromDestination | O número de pacotes recebidos pelo gateway NAT do destino. Se o valor para `PacketsOutToSource` for menor que o valor de `PacketsInFromDestination`, talvez haja perda de dados durante o processamento do gateway NAT ou tráfego sendo ativamente bloqueado pelo gateway NAT. Unidade: contagem Statistics: a estatística mais útil é `Sum`. |
| PacketsInFromSource | O número de pacotes recebidos pelo gateway NAT dos clientes na VPC. Se o valor de `PacketsOutToDestination` for menor que o valor de `PacketsInFromSource`, poderá haver perda de dados durante o processamento do gateway NAT. Unidade: contagem Statistics: a estatística mais útil é `Sum`. |
| PacketsOutToDestination | O número de pacotes enviados por meio do gateway NAT ao destino. Um valor maior que zero indica que há tráfego fluindo dos clientes que estão atrás do gateway NAT para a Internet. Se o valor de `PacketsOutToDestination` for menor que o valor de `PacketsInFromSource`, poderá haver perda de dados durante o processamento do gateway NAT. Unidade: contagem Statistics: a estatística mais útil é `Sum`. |
| PacketsOutToSource | O número de pacotes enviados por meio do gateway NAT para os clientes na VPC. Um valor maior que zero indica que há tráfego fluindo da Internet para os clientes que estão atrás do gateway NAT. Se o valor para `PacketsOutToSource` for menor que o valor de `PacketsInFromDestination`, talvez haja perda de dados durante o processamento do gateway NAT ou tráfego sendo ativamente bloqueado pelo gateway NAT. Unidade: contagem Statistics: a estatística mais útil é `Sum`. |
| PeakBytesPerSecond | Essa métrica relata a maior média de bytes por segundo de 10 segundos em um determinado minuto. Unidades: contagem Statistics: a estatística mais útil é `Maximum`. |
| PeakPacketsPerSecond | Essa métrica calcula a taxa média de pacotes (pacotes processados por segundo) a cada 10 segundos por 60 segundos e depois relata o máximo das seis taxas (a maior taxa média de pacotes). Unidades: contagem Statistics: a estatística mais útil é `Maximum`. |
Para filtrar os dados das métricas, use a dimensão a seguir.
| Dimensão | Descrição |
| --- | --- |
| NatGatewayId | Filtre os dados da métrica pelo ID do gateway NAT. |
# Visualizar métricas do CloudWatch do gateway NAT
As métricas do gateway NAT são enviadas ao CloudWatch em intervalos de um minuto. As métricas são agrupadas primeiramente pelo namespace do serviço e, em seguida, pelas possíveis combinações de dimensões dentro de cada namespace. Você pode visualizar as métricas dos gateways NAT da maneira a seguir.
**Para visualizar indicadores usando o console do CloudWatch**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Metrics** (Métricas), **All metrics** (Todas as métricas).
1. Escolha o namespace de métrica **NatGateway**.
1. Escolha uma dimensão da métrica.
**Para visualizar métricas usando o AWS CLI**
Em um prompt de comando, use o comando a seguir para listar as métricas que estão disponíveis para o serviço do gateway NAT.
```
aws cloudwatch list-metrics --namespace "AWS/NATGateway"
```
# Criar alarmes do CloudWatch para monitorar o gateway NAT
Você pode criar um alarme do CloudWatch que envia uma mensagem do Amazon SNS quando o alarme muda de estado. Um alarme observa uma única métrica por um período tempo que você especifica. Ele envia uma notificação a um tópico do Amazon SNS com base no valor da métrica em relação a um limite especificado em um número de períodos.
Por exemplo, você pode criar um alarme que monitore a quantidade de tráfego de entrada ou de saída do gateway NAT. O alarme a seguir monitora a quantidade de tráfego de saída de clientes na VPC através do gateway NAT para a internet. Ele envia uma notificação quando o número de bytes atinge um limite de 5.000.000 em um período de 15 minutos.
**Para criar um alarme para o tráfego de saída através do gateway NAT**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Alarms** (Alarmes), **All alarms** (Todos os alarmes).
1. Selecione **Criar alarme**.
1. Escolha **Selecionar métrica**.
1. Escolha o namespace de métrica **NATGateway** e, em seguida, escolha uma dimensão de métrica. Quando você chegar às métricas, marque a caixa de seleção ao lado da métrica **BytesouttoDestination** para o gateway NAT e, em seguida, escolha **Select metric** (Selecionar métrica).
1. Configure o alarme como indicado a seguir e, em seguida, selecione **Avançar**:
+ Em **Estatística**, selecione **Soma**.
+ Em **Period** (Período), escolha **15 minutes** (15 minutos).
+ Em **Whenever** (Sempre que), escolha **Greater/Equal** (Maior que/igual a) e insira `5000000` como limite.
1. Em **Notification** (Notificação), escolha um tópico existente do SNS ou **Create new topic** (Criar tópico) para criar um. Escolha **Próximo**.
1. Insira um nome e uma descrição para o alarme e selecione **Next** (Avançar).
1. Quando você terminar de configurar o alarme, escolha **Create alarm** (Criar alarme).
Como outro exemplo, você pode criar um alarme que monitore erros de alocação de porta e envie uma notificação quando o valor for maior que zero (0) por três períodos de cinco minutos consecutivos.
**Para criar um alarme para monitorar erros de alocação de porta**
1. Abra o console do CloudWatch em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Alarms** (Alarmes), **All alarms** (Todos os alarmes).
1. Selecione **Criar alarme**.
1. Escolha **Selecionar métrica**.
1. Escolha o namespace de métrica **NATGateway** e, em seguida, escolha uma dimensão de métrica. Quando você chegar às métricas, marque a caixa de seleção ao lado da métrica **ErrorPortAllocation** para o gateway NAT e, em seguida, escolha **Select metric** (Selecionar métrica).
1. Configure o alarme como indicado a seguir e, em seguida, selecione **Avançar**:
+ Em **Statistic** (Estatística), escolha **Maximum** (Máximo).
+ Em **Period** (Período), escolha **5 minutes** (5 minutos).
+ Em **Whenever** (Sempre que), escolha **Greater** (Maior que) e insira 0 como limite.
+ Em **Additional configuration** (Configuração adicional), **Datapoints to alarm** (Pontos de dados para alarme), insira 3.
1. Em **Notification** (Notificação), escolha um tópico existente do SNS ou **Create new topic** (Criar tópico) para criar um. Escolha **Próximo**.
1. Insira um nome e uma descrição para o alarme e selecione **Avançar**.
1. Quando terminar de configurar o alarme, escolha **Create alarm** (Criar alarme).
Para obter mais informações, consulte [Uso de alarmes do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) no *Manual do usuário do Amazon CloudWatch*.
# Solucionar problemas de gateways NAT
Os tópicos a seguir ajudam a solucionar problemas comuns que você pode encontrar ao criar ou usar um gateway NAT.
**Topics**
+ [Falha na criação do gateway NAT](#nat-gateway-troubleshooting-failed)
+ [Cota de gateway NAT](#nat-gateway-troubleshooting-quota)
+ [Cota de endereços IP elásticos](#nat-gateway-troubleshooting-limits)
+ [A zona de disponibilidade é incompatível](#nat-gateway-troubleshooting-unsupported-az)
+ [O gateway NAT não está mais visível](#nat-gateway-troubleshooting-gateway-removed)
+ [O gateway NAT não responde a um comando ping](#nat-gateway-troubleshooting-ping)
+ [As instâncias não conseguem acessar a Internet](#nat-gateway-troubleshooting-no-internet-connection)
+ [A conexão TCP para um destino apresenta falha](#nat-gateway-troubleshooting-tcp-issues)
+ [O resultado do traceroute não exibe endereço IP privado do gateway NAT](#nat-gateway-troubleshooting-traceroute)
+ [A conexão com a Internet cai após 350 segundos](#nat-gateway-troubleshooting-timeout)
+ [Não é possível estabelecer uma conexão IPsec](#nat-gateway-troubleshooting-ipsec)
+ [Não é possível iniciar mais conexões](#nat-gateway-troubleshooting-simultaneous-connections)
## Falha na criação do gateway NAT
**Problema**
Você cria um gateway NAT e ele entra no status `Failed`.
**nota**
Um gateway NAT com falha é excluído automaticamente, geralmente em cerca de uma hora.
**Causa**
Ocorreu um erro quando o gateway NAT foi criado. A mensagem de estado retornada fornece o motivo do erro.
**Solução**
Para visualizar a mensagem de erro, abra o console da Amazon VPC e selecione **NAT Gateways** (Gateways NAT). Selecione o botão de opção do gateway NAT e, em seguida, encontre a **State message** (Mensagem de estado) na guia **Details** (Detalhes).
A tabela a seguir lista as possíveis causas da falha, tal como indicado no console da Amazon VPC. Depois de usar quaisquer etapas de correção indicadas, você pode tentar criar o gateway NAT novamente.
| Erro exibido | Causa | Solução |
| --- | --- | --- |
| Subnet has insufficient free addresses to create this NAT gateway | A sub-rede que você especificou não tem nenhum endereço IP privado disponível. O gateway NAT requer uma interface de rede com endereço IP privado alocado no intervalo da sub-rede. | Verifique quantos endereços IP estão disponíveis na sub-rede acessando a página Subnets (Sub-redes) no console da Amazon VPC. Você pode visualizar os Available IPs (IPs disponíveis) no painel de detalhes da sub-rede. Para criar endereços IP livres em sua sub-rede, você pode excluir interfaces de rede não usadas ou encerrar instâncias das quais não necessita. |
| Network vpc-xxxxxxxx has no Internet gateway attached | É necessário criar um gateway NAT em uma VPC com um gateway da internet. | Crie e vincule um gateway da Internet à VPC. Para obter mais informações, consulte [Adicionar acesso à Internet a uma sub-rede](working-with-igw.md). |
| Elastic IP address eipalloc-xxxxxxxx is already associated | O endereço IP elástico que você especificou já está associado a outro recurso e não pode ser associado ao gateway NAT. | Verifique qual recurso está associado ao endereço IP elástico. Acesse a página Elastic IPs (IPs elásticos) no console da Amazon VPC e visualize os valores especificados para o ID da instância ou para o ID da interface de rede. Se você não precisar do endereço IP elástico para aquele recurso, poderá dissociá-lo. Outra opção é alocar um novo endereço IP elástico à sua conta. Para obter mais informações, consulte [Começar a usar endereços IP elásticos](WorkWithEIPs.md). |
## Cota de gateway NAT
Ao tentar criar um gateway NAT, você obtém o erro a seguir.
```
Performing this operation would exceed the limit of 5 NAT gateways
```
**Causa**
Você atingiu a cota do número de gateways NAT para essa zona de disponibilidade.
**Solução**
Se você atingiu essa cota de gateway NAT para sua conta, você pode fazer um dos seguintes procedimentos:
+ Solicite um aumento nos [ gateways NAT por cota de zona de disponibilidade](https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-FE5A380F) usando o console Service Quotas.
+ Verifique o status de seu gateway NAT. O status `Pending`, `Available` ou `Deleting` é contado em relação à sua cota. Se você tiver excluído um gateway NAT recentemente, espere alguns minutos para o status passar de `Deleting` para `Deleted`. Depois, tente criar outro gateway NAT.
+ Se não precisar de seu gateway NAT em uma zona de disponibilidade específica, tente criar um gateway NAT em uma zona de disponibilidade em que você não tenha atingido sua cota.
Para obter mais informações, consulte [Cotas da Amazon VPC](amazon-vpc-limits.md).
## Cota de endereços IP elásticos
**Problema**
Quando você tenta alocar um endereço IP elástico para o gateway NAT público, você recebe o seguinte erro:
```
The maximum number of addresses has been reached.
```
**Causa**
Você atingiu a cota do número de endereços IP elásticos para sua conta para essa Região.
**Solução**
Se tiver atingido a cota de endereços IP elásticos, você poderá desassociar um endereço IP elástico de outro recurso. Como alternativa, você pode solicitar um aumento na[ cota Elastic IPs](https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-0263D0A3) usando o console Service Quotas.
## A zona de disponibilidade é incompatível
**Problema**
Ao tentar criar um gateway NAT, você obtém o seguinte erro: `NotAvailableInZone`.
**Causa**
Você pode estar tentando criar o gateway NAT em uma zona de disponibilidade restrita, ou seja, uma zona em que nossa capacidade de expandir é restrita.
**Solução**
Não é possível oferecer suporte a gateways NAT nessas zonas de disponibilidade. Você pode criar um gateway NAT em uma Zona de disponibilidade diferente e usá-lo para sub-redes privadas na zona restringida. Além disso, você pode mover seus recursos para uma zona de disponibilidade irrestrita para que esses recursos e seu gateway NAT fiquem na mesma zona de disponibilidade.
## O gateway NAT não está mais visível
**Problema**
Você criou um gateway NAT, mas ele não está mais visível no console da Amazon VPC.
**Causa**
Pode ter ocorrido um erro durante a criação do gateway NAT e a criação falhou. Um gateway NAT com um status `Failed` fica visível no console da Amazon VPC por mais ou menos uma hora). Após uma hora, ele é excluído automaticamente.
**Solução**
Examine as informações em [Falha na criação do gateway NAT](#nat-gateway-troubleshooting-failed) e tente criar um novo gateway NAT.
## O gateway NAT não responde a um comando ping
**Problema**
Ao tentar executar ping em um endereço IP elástico ou em um endereço IP privado do gateway NAT na internet (por exemplo, no computador doméstico) ou em uma instância na VPC, você não receberá uma resposta.
**Causa**
O gateway NAT só transfere tráfego de uma instância em uma sub-rede privada para a internet.
**Solução**
Para testar se um gateway NAT está funcionando, consulte [Testar o gateway NAT público](nat-gateway-scenarios.md#public-nat-gateway-testing).
## As instâncias não conseguem acessar a Internet
**Problema**
Você criou um gateway NAT público e seguiu as etapas para testá-lo, mas o comando `ping` apresenta falha ou suas instâncias da sub-rede privada não conseguem acessar a Internet.
**Causas**
A causa desse problema pode ser uma das seguintes:
+ O gateway NAT não está pronto para enviar tráfego.
+ Sua tabela de rotas não está configurada de corretamente.
+ Seus grupos de segurança ou network ACLs estão bloqueando o tráfego de entrada ou de saída.
+ Você está usando um protocolo incompatível.
**Solução**
Verifique as seguintes informações:
+ Verifique se o gateway NAT encontra-se no estado `Available`. No console da Amazon VPC, acesse a página **Gateways NAT** e visualize as informações de status no painel de detalhes. Se o gateway NAT estiver no estado de falha, pode ter havido um erro no momento de criá-lo. Para obter mais informações, consulte [Falha na criação do gateway NAT](#nat-gateway-troubleshooting-failed).
+ Verifique se você configurou corretamente as tabelas de rotas:
+ O gateway NAT deve estar em uma sub-rede pública com uma tabela de rotas que roteia o tráfego da internet para um gateway da internet.
+ A instância deve estar em uma sub-rede privada com uma tabela de rotas que roteia o tráfego da internet para o gateway NAT.
+ Verifique se não existe nenhuma outra entrada na tabela de rotas que roteia todo ou parte do tráfego da internet para outro dispositivo, e não para o gateway NAT.
+ Verifique se as regras do security group para a instância privada permitem tráfego de saída pela internet. Para o comando `ping` funcionar, as regras devem também permitir tráfego ICMP de saída.
O gateway NAT propriamente dite permite tráfego de saída e tráfego recebido em resposta a uma solicitação de saída (por isso, ele é com estado).
+ Verifique se as Network ACLs associadas à sub-rede privada e às sub-redes públicas não têm regras que bloqueiam o tráfego de entrada e saída de internet. Para o comando `ping` funcionar, as regras devem também permitir tráfego ICMP de entrada e saída.
Você pode permitir logs de fluxo para ajudá-lo a diagnosticar conexões encerradas por causa de regras de Network ACL ou security group. Para obter mais informações, consulte [Como registrar tráfego IP em log com logs de fluxo da VPC](flow-logs.md).
+ Se estiver usando o comando `ping`, verifique se está executando um ping para um host habilitado para ICMP. Se o ICMP não estiver habilitado, você não receberá pacotes de resposta. Para testar, execute o mesmo comando `ping` no terminal de linha de comando de seu computador.
+ Verifique se sua instância pode executar ping em outros recursos; por exemplo, outras instâncias na sub-rede privada (supondo que as regras de security group permitam isso).
+ Verifique se sua conexão está usando somente o protocolo TCP, UDP ou ICMP.
## A conexão TCP para um destino apresenta falha
**Problema**
Algumas conexões TCP de instâncias em uma sub-rede privada para um destino específico por um gateway NAT são bem-sucedidas, mas outras estão apresentando falha ou atingindo o tempo limite.
**Causas**
A causa desse problema pode ser uma das seguintes:
+ O endpoint de destino está respondendo com pacotes TCP fragmentados. Os gateways NAT não suportam fragmentação de IP para TCP ou ICMP. Para obter mais informações, consulte [Comparar gateways NAT e instâncias NAT](vpc-nat-comparison.md).
+ A opção `tcp_tw_recycle` está habilitada no servidor remoto, que é conhecido por causar problemas quando há várias conexões por trás de um dispositivo NAT.
**Soluções**
Verifique se o endpoint ao qual você está tentando conectar está respondendo com pacotes TCP fragmentados fazendo o seguinte:
1. Use uma instância em uma sub-rede pública com um endereço IP pública para acionar uma resposta grande o suficiente para causar uma fragmentação de um endpoint específico.
1. Use o utilitário Use the `tcpdump` para verificar se o endpoint está enviando pacotes fragmentados.
**Importante**
É necessário usar uma instância em uma sub-rede pública para executar essas verificações. Não é possível usar a instância na qual a conexão original estava falhando ou uma instância em uma sub-rede privada subjacente a um gateway NAT ou a uma instância NAT.
As ferramentas de diagnóstico que enviam ou recebem grandes pacotes ICMP relatarão perda de pacote. Por exemplo, o comando `ping -s 10000 example.com` não funciona com um gateway NAT.
1. Se o endpoint estiver enviando pacotes TCP fragmentados, você poderá usar uma instância NAT, em vez de um gateway NAT.
Se tiver acesso ao servidor remoto, você poderá verificar se a opção `tcp_tw_recycle` está habilitada fazendo o seguinte:
1. No servidor, execute o comando a seguir.
```
cat /proc/sys/net/ipv4/tcp_tw_recycle
```
Se a saída for `1`, a opção `tcp_tw_recycle` estará habilitada.
1. Se a opção `tcp_tw_recycle` estiver habilitada, recomendamos desabilitá-la. Se precisar reutilizar conexões, `tcp_tw_reuse` é uma opção mais segura.
Se não tiver acesso ao servidor remoto, você poderá testar desabilitando temporariamente a opção `tcp_timestamps` em uma instância na sub-rede privada. Depois, conecte ao servidor remoto novamente. Se a conexão for bem-sucedida, a causa da falha anterior provavelmente ocorreu porque `tcp_tw_recycle` está habilitado no servidor remoto. Se for possível, entre em contato com o proprietário do servidor remoto para verificar se essa opção está habilitada e solicite que ela seja desabilitada.
## O resultado do traceroute não exibe endereço IP privado do gateway NAT
**Problema**
A instância pode acessar a internet, mas quando você executa o comando `traceroute`, o resultado não exibe o endereço IP privado do gateway NAT.
**Causa**
A instância está acessando a internet usando um gateway diferente, como um gateway da Internet.
**Solução**
Na tabela de rotas da sub-rede na qual sua instância está localizada, verifique as informações a seguir:
+ Verifique se existe uma rota que envia tráfego de internet para o gateway NAT.
+ Verifique se não existe mais de uma rota específica enviando tráfego de internet para outros dispositivos, como um gateway privado virtual ou um gateway da internet.
## A conexão com a Internet cai após 350 segundos
**Problema**
A instância pode acessar a Internet, mas a conexão cai após 350 segundos.
**Causa**
Se uma conexão que usa um gateway NAT ficar ociosa por 350 segundos ou mais, ela expirará.
Quando uma conexão atinge o tempo limite, uma gateway NAT retorna um pacote RST a qualquer recurso subjacente ao gateway NAT que tenta dar continuidade à conexão (ele não envia um pacote FIN).
**Solução**
Para evitar que a conexão caia, você pode iniciar mais tráfegos por meio da conexão. Como alternativa, é possível habilitar o keepalive TCP na instância com um valor menor que 350 segundos.
## Não é possível estabelecer uma conexão IPsec
**Problema**
Não é possível estabelecer uma conexão IPsec em um destino.
**Causa**
Atualmente, os gateways NAT não são compatíveis com o protocolo IPsec.
**Solução**
Você pode usar o NAT- Traversal (NAT-T) para encapsular o tráfego IPsec na UDP, que é um protocolo compatível com gateways NAT. Lembre-se de testar sua configuração de NAT-T e de IPsec para verificar se o tráfego IPsec não é interrompido.
## Não é possível iniciar mais conexões
**Problema**
Você tem conexões existentes para um destino por meio de um gateway NAT, mas não pode estabelecer mais conexões.
**Causa**
Talvez você tenha atingido o limite de conexões simultâneas para um único gateway NAT. Para obter mais informações, consulte [Noções básicas de gateway NAT](nat-gateway-basics.md). Se as instâncias na sub-rede privada criarem um grande número de conexões, você poderá atingir esse limite.
**Solução**
Execute um destes procedimentos:
+ Criar um gateway NAT por Zona de disponibilidade e distribuir seus clientes nessas zonas.
+ Criar outros gateways NAT na sub-rede pública e distribuir seus clientes em várias sub-redes privadas, cada uma com uma rota para um gateway NAT diferente.
+ Limitar o número de conexões que seus clientes podem criar para o destino.
+ Use a métrica [`IdleTimeoutCount`](vpc-nat-gateway-cloudwatch.md) no CloudWatch para monitorar aumentos nas conexões ociosas. Fechar as conexões ociosas para liberar capacidade.
+ Crie um gateway NAT com vários endereços IP ou adicione endereços IP secundários a um gateway NAT existente. Cada novo endereço IPv4 comporta no máximo 55.000 conexões simultâneas. Para ter mais informações, consulte [Criar um gateway NAT](nat-gateway-working-with.md#nat-gateway-creating) ou [Editar associações de endereço IP secundário](nat-gateway-working-with.md#nat-gateway-edit-secondary).
# Preços de gateways NAT
Ao provisionar um gateway NAT, você é cobrado por cada hora que o gateway NAT está disponível e por cada gigabyte de dados que ele processa. Para obter mais informações, consulte [Definição de preço da Amazon VPC](https://aws.amazon.com/vpc/pricing/).
As estratégias a seguir podem ajudar você a reduzir as cobranças de transferência de dados para o gateway NAT:
+ Se seus recursos da AWS enviam ou recebem um volume significativo de tráfego entre zonas de disponibilidade, certifique-se de que os recursos estejam na mesma zona de disponibilidade que o gateway NAT. Como alternativa, crie um gateway NAT em cada zona de disponibilidade com recursos.
+ Se a maior parte do tráfego através do gateway NAT for para serviços AWS compatíveis com endpoints de interface ou endpoints de gateway, considere a criação de um endpoint de interface ou endpoint de gateway para esses serviços. Para obter mais informações sobre as possíveis economias de custo, consulte [AWS PrivateLink Preço](https://aws.amazon.com/privatelink/pricing/).