本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # NAT 閘道基本概念 每個 NAT 閘道都是在特定的可用區域內建立,並且使用該區域中的備援實作。您能夠在每個可用區域中建立的 NAT 閘道數量具有配額。如需詳細資訊,請參閱[閘道](amazon-vpc-limits.md#vpc-limits-gateways)。 若您在多個可用區域中皆有資源,且他們都共享同一個 NAT 閘道,則若 NAT 閘道的可用區域未運作時,其他可用區域中的資源都會喪失網際網路存取權。若要提高彈性,請在每個可用區域中建立 NAT 閘道,然後設定您的路由,確保資源使用相同可用區域內的 NAT 閘道。 下列特性和規則適用於 NAT 閘道: + NAT 閘道支援以下通訊協定:TCP、UDP 和 ICMP。 + IPv4 或 IPv6 流量支援 NAT 閘道。對於 IPv6 流量,NAT 閘道會執行 NAT64。搭配 DNS64 (可在 Route 53 解析器上使用) 一起使用此功能,Amazon VPC 中子網中的 IPv6 工作負載就可以與 IPv4 資源通訊。這些 IPv4 服務可能存在於相同的 VPC (在個別的子網中) 或不同的 VPC、您的內部部署環境或網際網路上。 + NAT 閘道支援 5 Gbps 的頻寬,並可自動擴展至 100 Gbps。若您需要更多頻寬,您可以將您的資源分割到多個子網,並在每個子網中建立 NAT 閘道。 + NAT 閘道每秒可以處理 100 萬個封包,並自動擴展至每秒 1000 萬個封包。超出此限制,NAT 閘道便會捨棄封包。若要防止封包遺失,請將您的資源分割為多個子網,並為每個子網建立單獨的 NAT 閘道。 + 每個 IPv4 地址可支援最多 55,000 個連至每個唯一目標的同時連線。唯一目的地由目的地 IP 地址、目的地連接埠以及通訊協定 (TCP/UDP/ICMP) 的唯一組合來識別。您可以將最多 8 個 IPv4 位址與 NAT 閘道關聯 (1 個主要 IPv4 位址與 7 個次要 IPv4 位址) 來提高此限制。依預設,您只能將 2 個彈性 IP 地址與公有 NAT 閘道相關聯。您可以透過請求調整配額來提高此限制。如需詳細資訊,請參閱[彈性 IP 位址](amazon-vpc-limits.md#vpc-limits-eips)。 + 建立 NAT 閘道時,您需選取要指派給 NAT 閘道的主要私有 IPv4 位址。否則,我們會代為從子網路的 IPv4 位址範圍中選取一個。您無法變更或移除主要私有 IPv4 位址。您可以視需要新增次要私有 IPv4 位址。 + 您無法建立安全群組與 NAT 閘道的關聯。您可以將安全群組與您的執行個體建立關聯,來控制傳入和傳出流量。 + 我們會為您的 NAT 閘道建立申請者受管網路介面。您可以透過 Amazon EC2 主控台檢視此網路介面。在描述中搜尋 NAT 閘道的 ID。您可以將標籤新增至網路介面,但無法修改此網路介面的其他屬性。 + 您可以使用網路 ACL 控制流入及流出您 NAT 閘道子網的流量。NAT 閘道使用連接埠 1024–65535。如需詳細資訊,請參閱[網路 ACL](vpc-network-acls.md)。 + 您無法透過 VPC 對等互連將流量路由至 NAT 閘道。不過,從 NAT 閘道透過 VPC 對等互連傳送至對等 VPC 目的地的流量,支援「回傳至傳送著」行為,即使目的地 VPC 未設定回傳路由,返回流量仍會自動路由回原始 NAT 閘道。此行為僅適用於 NAT 閘道,不適用於標準 EC2 執行個體。若要防止這種情況,可使用 NACL 來封鎖回傳流量。 不支援: ``` Client → Peering → NAT → Internet ``` 支援: ``` Client → NAT → Peering → Destination ``` + 您無法透過虛擬私有閘道,將來自 Site-to-Site VPN 或 Direct Connect 的流量路由至 NAT 閘道。如果您使用傳輸閘道而非虛擬私有閘道,則可以從 Site-to-Site VPN 或 Direct Connect 路由流量至 NAT 閘道。 + NAT 閘道支援最大傳輸單位 (MTU) 為 8500 的流量,但請務必注意下列事項: + 網路連線的 MTU 係允許通過該連線的最大封包大小 (以位元組為單位)。連線的 MTU 越大,單一封包能傳遞的資料也越多。 + 抵達 NAT 閘道且大於 8500 位元組的封包會被丟棄 (或在適用時進行分段處理)。 + 為了防止使用公有 NAT 閘道透過網際網路與資源通訊時潛在的封包遺失,EC2 執行個體的 MTU 設定不應超過 1500 個位元組。如需在執行個體上檢查和設定 MTU 的詳細資訊,請參閱《Amazon EC2 使用者指南》**中的 [EC2 執行個體的網路 MTU](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#set_mtu)。 + NAT 閘道支援透過 FRAG\$1NEEDED ICMPv4 封包和 Packet Too Big (PTB) ICMPv6 封包的路徑 MTU 探索 (PMTUD)。 + NAT 閘道會強制執行所有封包的最大區段大小 (MSS) 限制。如需詳細資訊,請參閱 [RFC879](https://datatracker.ietf.org/doc/html/rfc879)。