NAT 网关基础知识

NAT 网关支持以下协议：TCP、UDP 和 ICMP。

IPv4 或 IPv6 流量支持 NAT 网关。对于 IPv6 流量，NAT 网关将执行 NAT64。通过与 DNS64 结合使用（在 Route 53 Resolver 上可用），Amazon VPC 子网中的 IPv6 工作负载可以与 IPv4 资源进行通信。这些 IPv4 服务可能存在于同一 VPC（在单独子网中）或其他 VPC、本地环境或互联网上。

NAT 网关支持 5 Gbps 带宽并会自动扩展到 100 Gbps。如果您需要更大的带宽，您可以将资源拆分到多个子网中，并在每个子网中创建 NAT 网关。

一个 NAT 网关每秒能处理 1 百万个数据包，还能自动扩展到每秒 1 千万个数据包。超出此限制后，NAT 网关将丢弃数据包。为防止数据包丢失，请将资源拆分到多个子网中，并为每个子网中创建单独的 NAT 网关。

对于每个唯一目标，每个 IPv4 地址最多可以支持 55,000 个并发连接。唯一目标由目标 IP 地址、目标端口和协议（TCP/UDP/ICMP）的唯一组合标识。您可以通过将最多 8 个 IPv4 地址（1 个主要 IPv4 地址和 7 个辅助 IPv4 地址）关联到 NAT 网关来提高此限制。默认情况下，公有 NAT 网关只能关联 2 个弹性 IP 地址。您可以通过请求调整限额来提高此限制。有关更多信息，请参阅 弹性 IP 地址。

创建 NAT 网关时，可以选择要分配给 NAT 网关的主私有 IPv4 地址。否则，我们将代表您从子网的 IPv4 地址范围内选择一个地址。您无法更改或删除主私有 IPv4 地址。可以根据需要添加辅助私有 IPv4 地址。

您不能将安全组与 NAT 网关关联。您可以将安全组与实例相关联，以控制入站和出站流量。

我们会为您的 NAT 网关创建一个请求者托管式网络接口。您可以使用 Amazon EC2 控制台查看此网络接口。在描述中搜索 NAT 网关的 ID。您可以向网络接口添加标签，但不能修改此网络接口的其他属性。

您可以使用网络 ACL 控制进出 NAT 网关所在子网的流量。NAT 网关使用端口 1024–65535。有关更多信息，请参阅 网络 ACL。

无法通过 VPC 对等连接将流量路由到 NAT 网关。但是，从 NAT 网关通过 VPC 对等连接到对等 VPC 中的目标的流量支持“返回到发送方”行为 - 即使在目标 VPC 中没有配置返回路由，返回流量也会自动路由回源 NAT 网关。此行为仅适用于 NAT 网关，不适用于标准 EC2 实例。为防止这种情况，请使用 NACL 来阻止返回流量。

不支持：

Client → Peering → NAT → Internet

支持：

Client → NAT → Peering → Destination

您无法使用虚拟专用网关将流量从 Site-to-Site VPN 或 Direct Connect 路由到 NAT 网关。如果您使用中转网关而不是虚拟专用网关，则可以将流量从 Site-to-Site VPN 或 Direct Connect 路由到 NAT 网关。

NAT 网关支持最大传输单位（MTU）为 8500 的流量，但请务必注意以下几点：