Noções básicas de gateway NAT
Todo gateway NAT é criado em uma Zona de disponibilidade específica e implementado com redundância nessa zona. Há uma cota de gateways NAT que podem ser criados em cada zona de disponibilidade. Para obter mais informações, consulte Cotas da Amazon VPC.
Se você tiver recursos em várias zonas de disponibilidade e eles compartilharem um gateway NAT, caso a zona de disponibilidade do gateway NAT fique inativa, os recursos em outras zonas de disponibilidade perderão o acesso à Internet. Para melhorar a resiliência, crie um gateway NAT em cada zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma zona de disponibilidade.
As seguintes características e regras se aplicam aos gateways NAT:
-
Um gateway NAT é compatível com os seguintes protocolos: TCP, UDP e ICMP.
-
Os gateways NAT são compatíveis com tráfego IPv4 ou IPv6. Para tráfego IPv6, o gateway NAT executa NAT64. Usando isso em conjunto com o DNS64 (disponível no Route 53 Resolver), suas workloads IPv6 em uma sub-rede na Amazon VPC podem se comunicar com recursos IPv4. Esses serviços IPv4 podem estar presentes na mesma VPC (em uma sub-rede separada) ou em uma VPC diferente, no seu ambiente on-premises ou pela Internet.
-
Um gateway NAT comporta 5 Gbps de largura de banda e escala automaticamente até 100 Gbps. Se você precisar de mais largura de banda, poderá dividir seus recursos em várias sub-redes e criar um gateway NAT em cada sub-rede.
-
Um gateway NAT pode processar um milhão de pacotes por segundo e aumentar a capacidade automaticamente para até dez milhões de pacotes por segundo. Além desse limite, um gateway NAT começará a descartar pacotes. Para evitar a perda de pacotes, divida seus recursos em várias sub-redes e crie um gateway NAT separado para cada sub-rede.
-
Cada endereço IPv4 comporta até 55.000 conexões simultâneas para cada destino exclusivo. Um destino exclusivo é identificado por uma combinação exclusiva de endereço IP de destino, a porta de destino e o protocolo (TCP/UDP/ICMP). Você pode aumentar esse limite associando até 8 endereços IPv4 aos seus gateways NAT (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para ter mais informações, consulte Endereços IP elásticos.
-
Você pode escolher o endereço IPv4 privado para atribuir ao gateway NAT ou atribuí-lo automaticamente com base no intervalo de endereços IPv4 da sub-rede. O endereço IPv4 privado atribuído persiste até que você exclua o gateway NAT privado. Não é possível desvincular o endereço IPv4 privado nem anexar endereços IPv4 privados adicionais.
-
Não é possível associar um grupo de segurança a um gateway NAT. Você pode associar grupos de segurança às suas instâncias para controlar o tráfego de entrada e saída.
-
Você também pode usar uma ACL de rede para controlar o tráfego que entra e sai da sub-rede para seu gateway NAT. Os gateways NAT usam as portas 1024 a 65535. Para ter mais informações, consulte Controlar o tráfego da sub-rede com listas de controle de acesso à rede.
-
Um gateway NAT recebe uma interface de rede. Você pode escolher o endereço IPv4 privado para atribuir à interface ou atribuí-lo automaticamente com base no intervalo de endereços IPv4 da sub-rede. É possível visualizar a interface de rede do gateway NAT no console do Amazon EC2. Para obter mais informações, consulte Visualizar detalhes sobre uma interface de rede. Não é possível modificar os atributos da interface de rede.
-
Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de emparelhamento da VPC. Não é possível rotear o tráfego por meio de um gateway NAT quando o tráfego chega por meio de uma conexão híbrida (VPN site a site ou Direct Connect) via gateway privado virtual. É possível rotear o tráfego por meio de um gateway NAT quando o tráfego chega por meio de uma conexão híbrida (VPN site a site ou Direct Connect) via gateway de trânsito.
-
Os gateways NAT oferecem suporte a tráfego com uma unidade de transmissão máxima (MTU) de 8500, mas é importante observar o seguinte:
-
A MTU de uma conexão de rede é o tamanho, em bytes, do maior pacote permissível que pode ser passado pela conexão. Quanto maior a MTU de uma conexão, mais dados podem ser passados em um único pacote.
-
Pacotes com mais de 8.500 bytes que chegam ao gateway NAT são descartados (ou fragmentados, se aplicável).
-
Para evitar possíveis perdas de pacotes ao se comunicar com recursos pela Internet usando um gateway NAT público, a configuração de MTU para suas instâncias do EC2 não deve exceder 1500 bytes. Para obter mais informações sobre como verificar e definir a MTU em uma instância, consulte Verificar e definir a MTU na instância do Linux no Guia do usuário do Amazon EC2.
Os gateways NAT oferecem suporte ao Path MTU Discovery (PMTUD) por meio de pacotes FRAG_NEEDED ICMPv4 e pacotes Packet Too Big (PTB) ICMPv6.
-
O gateway NAT impõe o limite de Maximum Segment Size (MSS) para todos os pacotes. Para obter mais informações, consulte RFC879
.
-