NATGateway-Grundlagen - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

NATGateway-Grundlagen

Jedes NAT Gateway wird in einer bestimmten Availability Zone erstellt und in dieser Zone redundant implementiert. Es gibt ein Kontingent für die Anzahl der NAT Gateways, die Sie in jeder Availability Zone erstellen können. Weitere Informationen finden Sie unter VPCAmazon-Kontingente.

Wenn Sie Ressourcen in mehreren Availability Zones haben und diese sich ein NAT Gateway teilen und wenn die Availability Zone des NAT Gateways ausgefallen ist, verlieren Ressourcen in den anderen Availability Zones den Internetzugang. Um die Ausfallsicherheit zu verbessern, erstellen Sie in jeder Availability Zone ein NAT Gateway und konfigurieren Sie Ihr Routing so, dass Ressourcen das NAT Gateway in derselben Availability Zone verwenden.

Die folgenden Merkmale und Regeln gelten für NAT Gateways:

  • Ein NAT Gateway unterstützt die folgenden Protokolle: TCPUDP, undICMP.

  • NATGateways werden für IPv4 unseren IPv6 Datenverkehr unterstützt. Für den IPv6 Datenverkehr ist das NAT Gateway zuständig. NAT64 Wenn Sie dies in Verbindung mit DNS64 (auf dem Route 53 53-Resolver verfügbar) verwenden, VPC können Ihre IPv6 Workloads in einem Subnetz in Amazon mit Ressourcen kommunizieren. IPv4 Diese IPv4 Dienste können in derselben VPC (in einem separaten Subnetz) oder in einem anderenVPC, in Ihrer lokalen Umgebung oder im Internet vorhanden sein.

  • Ein NAT Gateway unterstützt eine Bandbreite von 5 Gbit/s und skaliert automatisch auf bis zu 100 Gbit/s. Wenn Sie mehr Bandbreite benötigen, können Sie Ihre Ressourcen in mehrere Subnetze aufteilen und in jedem Subnetz ein NAT Gateway einrichten.

  • Ein NAT Gateway kann eine Million Pakete pro Sekunde verarbeiten und skaliert automatisch auf bis zu zehn Millionen Pakete pro Sekunde. Bei Überschreitung dieser Grenze NAT verwirft ein Gateway Pakete. Um Paketverlust zu verhindern, teilen Sie Ihre Ressourcen in mehrere Subnetze auf und erstellen Sie für jedes Subnetz ein separates NAT Gateway.

  • Jede IPv4 Adresse kann bis zu 55.000 gleichzeitige Verbindungen zu jedem eindeutigen Ziel unterstützen. Ein eindeutiges Ziel wird durch eine eindeutige Kombination aus Ziel-IP-Adresse, Zielport und Protokoll (TCP/UDP/ICMP) identifiziert. Sie können dieses Limit erhöhen, indem Sie Ihren NAT Gateways bis zu 8 IPv4 Adressen zuordnen (1 primäre IPv4 Adresse und 7 sekundäre IPv4 Adressen). Sie sind standardmäßig darauf beschränkt, Ihrem öffentlichen NAT Gateway 2 Elastic IP-Adressen zuzuordnen. Sie können dieses Limit erhöhen, indem Sie eine Kontingentanpassung beantragen. Weitere Informationen finden Sie unter Elastic-IP-Adressen.

  • Sie können die private IPv4 Adresse auswählen, die dem NAT Gateway zugewiesen werden soll, oder sie automatisch aus dem IPv4 Adressbereich des Subnetzes zuweisen lassen. Die zugewiesene private IPv4 Adresse bleibt bestehen, bis Sie das private NAT Gateway löschen. Sie können die private IPv4 Adresse nicht trennen und Sie können keine zusätzlichen privaten IPv4 Adressen anhängen.

  • Sie können einem NAT Gateway keine Sicherheitsgruppe zuordnen. Sie können Ihren Instances Sicherheitsgruppen zuordnen, um den ein- und ausgehenden Datenverkehr zu steuern.

  • Sie können ein Netzwerk verwendenACL, um den Verkehr zum und vom Subnetz für Ihr NAT Gateway zu steuern. NATGateways verwenden die Ports 1024—65535. Weitere Informationen finden Sie unter Steuern Sie den Subnetzverkehr mit Netzwerkzugriffskontrolllisten.

  • Ein Gateway empfängt eine NetzwerkschnittstelleNAT. Sie können die private IPv4 Adresse auswählen, die der Schnittstelle zugewiesen werden soll, oder sie automatisch aus dem IPv4 Adressbereich des Subnetzes zuweisen lassen. Sie können die Netzwerkschnittstelle für das NAT Gateway mithilfe der EC2 Amazon-Konsole anzeigen. Weitere Informationen finden Sie unter Anzeige von Details zu einer Netzwerkschnittstelle. Die Attribute dieser Netzwerkschnittstelle können nicht verändert werden.

  • Sie können den Verkehr nicht über eine VPC Peering-Verbindung an ein NAT Gateway weiterleiten. Sie können den Verkehr nicht über ein NAT Gateway weiterleiten, wenn der Verkehr über eine Hybridverbindung (Site to Site VPN oder Direct Connect) über ein Virtual Private Gateway eingeht. Sie können den Verkehr über ein NAT Gateway weiterleiten, wenn der Verkehr über eine Hybridverbindung (Site to Site VPN oder Direct Connect) über ein Transit-Gateway eingeht.

  • NATGateways unterstützen Datenverkehr mit einer maximalen Übertragungseinheit (MTU) von 8500, es ist jedoch wichtig, Folgendes zu beachten:

    • Die Größe MTU einer Netzwerkverbindung ist die Größe des größten zulässigen Pakets, das über die Verbindung übertragen werden kann, in Byte. Je MTU größer eine Verbindung ist, desto mehr Daten können in einem einzigen Paket übertragen werden.

    • Pakete, die größer als 8500 Byte sind und am NAT Gateway ankommen, werden verworfen (oder, falls zutreffend, fragmentiert).

    • Um einen potenziellen Paketverlust bei der Kommunikation mit Ressourcen über das Internet über ein öffentliches NAT Gateway zu verhindern, sollte die MTU Einstellung für Ihre EC2 Instances 1500 Byte nicht überschreiten. Weitere Informationen zum Überprüfen und Einrichten von MTU On a Instance finden Sie unter Check and set the MTU on your Linux Instance im EC2Amazon-Benutzerhandbuch.

    • NATGateways unterstützen Path MTU Discovery (PMTUD) über FRAG NEEDED ICMPv4 _-Pakete und Packet Too Big (PTB) ICMPv6 -Pakete.

    • NATGateways erzwingen die Begrenzung der maximalen Segmentgröße (MSS) für alle Pakete. Weitere Informationen finden Sie unter RFC879.