用於自動多可用區域擴展的區域 NAT 閘道 - Amazon Virtual Private Cloud
優勢何時使用區域 NAT 閘道區域 NAT 閘道的運作方式定價建立區域 NAT 閘道從區域轉換為區域 NAT 閘道

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於自動多可用區域擴展的區域 NAT 閘道

當您想要簡化網路架構、改善安全狀態,以及預設設定高可用性時,請使用區域 NAT 閘道。區域 NAT 閘道會根據您的工作負載存在情況,自動跨可用區域擴展。與在單一可用區域中運作的標準 NAT 閘道 (稱為區域 NAT 閘道) 不同,區域 NAT 閘道會跟隨您的工作負載以提供自動高可用性。

左側圖表 A 代表使用區域 NAT Gateway 的目前設定。您首先為每個可用區域建立區域 NAT 閘道,並在公有子網路中託管您的 NATs。然後,您可以為每個可用區域設定從私有子網路到該可用區域中 NAT 的個別路由。每次工作負載擴展到新的可用區域時,您都會重複此步驟,以獲得高可用性。此外,您需要在每個可用區域的 NAT 子網路路由表中新增網際網路閘道的路由。

另一方面,使用區域 NAT Gateway,您不需要建立公有子網路來託管它。您不需要在每次工作負載擴展到新的可用區域時建立和刪除 NAT 閘道並編輯路由表。相反地,您只需使用區域模式建立 NAT 閘道,選擇您的 VPC,並根據工作負載的存在,自動在所有 AZs 中擴展和簽訂合約,以提供高可用性。如圖 B 所示,您可以將所有 AZs 中私有子網路中的資源流量路由到此單一區域 NAT Gateway ID,或使用 AZ 中子網路之間的相同路由表來執行網路位址轉譯。建立區域 NAT Gateway 後, AWS 會自動為其建立路由表,並隨附預先設定的網際網路閘道路由。您可以使用此路由表,將傳回路由新增至中間設備。

優勢

區域 NAT 閘道提供下列優點:

  • 簡化設定 – 在具有網路介面的所有可用區域使用單一 NAT ID,因此您可以針對不同可用區域的子網路使用相同的路由項目。

  • 增強安全性 – 不需要公有子網路。區域 NAT Gateway 是具有自己的路由表的獨立資源,您不需要 VPC 中的公有子網路來託管區域 NAT Gateway,這樣可以降低在具有公有連線的子網路中設定私有資源的機率。

  • 自動高可用性 – 自動擴展工作負載足跡並與其簽訂合約,以維持區域親和性,依預設可提供高可用性。

  • 更高的連接埠和 IP 限制 – 您的區域 NAT 閘道在每個可用區域最多支援 32 個 IP 地址 (相較於區域 NAT 閘道的 8 個)。每個 IP 地址都會將與熱門目的地 (透過目的地 IP、目的地連接埠和通訊協定的唯一組合來識別) 的並行連線限制增加 55,000。

何時使用區域 NAT 閘道

考慮在所有使用案例中使用區域 NAT 閘道,但需要私有連線的情況除外。區域 NAT Gateways 不提供私有連線,建議您在區域可用性模式中將 NAT Gateways 用於私有 NAT 使用案例。

區域 NAT 閘道的運作方式

當您在新的可用區域中啟動資源時,區域 NAT 閘道會偵測該可用區域中是否存在網路介面 (ENI),並自動擴展至該區域。同樣地,NAT Gateway 會從沒有作用中工作負載的可用區域簽訂合約。

資源執行個體化後,您的區域 NAT Gateway 最多可能需要 60 分鐘才能擴展到新的可用區域。在此擴展完成之前,來自此資源的相關流量將由區域 NAT Gateway 在其中一個現有可用區域中跨區域處理。

區域 NAT 閘道支援兩種模式:

  • 自動模式 – 在此模式中, AWS 會自動管理 IP 地址和可用區域擴展 (建議)。如果您想要在此模式下使用自己的 IP 地址,並使用 Amazon VPC IPAM,請參閱《Amazon VPC IPAM 使用者指南》中的使用 IPAM 政策定義公有 IPv4 配置策略

  • 手動模式 – 在此模式中,您可以手動管理每個可用區域的 IP 地址和控制網路地址轉譯。在手動模式中,您有責任跨可用區域擴展和收縮 NAT 閘道。

定價

如需定價資訊,請參閱 Amazon VPC 定價

建立區域 NAT 閘道

使用主控台

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 NAT 閘道

  3. 選擇建立 NAT 閘道

  4. 針對可用性模式,選擇區域性。選擇區域可用性時,您不需要指定任何子網路

  5. 選擇 VPC。

  6. 完成剩餘的組態,然後選擇建立 NAT 閘道

使用 AWS CLI

建立區域 NAT 閘道

aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional

檢視 NAT 閘道詳細資訊

aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678

新增 IP 地址 (手動模式)

aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678

移除 IP 地址

aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678

刪除區域 NAT 閘道

aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678

從區域轉換為區域 NAT 閘道

重要

這將重設您現有的連線。我們建議您在維護時段中完成這些步驟。

您可以使用兩種方法之一,將現有的區域 NAT 閘道轉換為區域 NAT 閘道:

如果您可以使用具有新 IP 地址的區域 NAT 閘道:

  1. 建立新的區域 NAT 閘道

  2. 更新路由表以指向區域 NAT 閘道

  3. 刪除舊區域 NAT 閘道

此方法使用新的 IP 地址,並在路由更新時重設現有的連線。

如果您想要在區域 NAT 閘道中重複使用現有的 IP 地址:

  1. 刪除現有的區域 NAT 閘道以釋出其 IP 地址

  2. 使用發行的 IP 地址建立區域 NAT 閘道

  3. 更新路由表以指向區域 NAT 閘道

此方法會保留 IP 地址,但需要維護時段,因為流量會在轉換期間中斷。