Gateway NAT privado - Construindo uma infraestrutura de rede múltipla escalável e segura VPC AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gateway NAT privado

As equipes geralmente trabalham de forma independente e podem criar uma nova VPC para um projeto, que pode ter blocos de roteamento entre domínios (CIDR) sobrepostos sem classes. Para integração, talvez eles queiram permitir a comunicação entre redes com CIDRs sobrepostos, o que não é possível por meio de recursos como emparelhamento de VPC e Transit Gateway. Um gateway NAT privado pode ajudar nesse caso de uso. O gateway NAT privado usa um endereço IP privado exclusivo para realizar o NAT de origem para o endereço IP de origem sobreposto, e o ELB faz o NAT de destino para o endereço IP de destino sobreposto. Você pode rotear o tráfego do seu gateway NAT privado para outras VPCs ou redes locais usando o Transit Gateway ou um gateway privado virtual.

Um diagrama que descreve um exemplo de configuração para um gateway NAT privado

Exemplo de configuração — gateway NAT privado

A figura anterior mostra duas sub-redes não roteáveis (CIDRs sobrepostas) nas VPC A e B. Para estabelecer uma conexão entre elas, você pode adicionar CIDRs secundárias não sobrepostas/roteáveis (100.64.0.0/16sub-redes roteáveis e) às VPC A e B, respectivamente. 10.0.1.0/24 10.0.2.0/24 Os CIDRs roteáveis devem ser alocados pela equipe de gerenciamento de rede responsável pela alocação de IP. Um gateway NAT privado é adicionado à sub-rede roteável na VPC A com um endereço IP de. 10.0.1.125 O gateway NAT privado realiza a conversão do endereço de rede de origem em solicitações de instâncias na sub-rede não roteável da VPC A 100.64.0.10 () 10.0.1.125 como a ENI do gateway NAT privado. Agora, o tráfego pode ser direcionado para um endereço IP roteável atribuído ao Application Load Balancer (ALB) na VPC B 10.0.2.10 (), que tem como destino. 100.64.0.10 O tráfego é roteado pelo Transit Gateway. O tráfego de retorno é processado pelo gateway NAT privado de volta para a instância original do Amazon EC2 solicitando a conexão.

O gateway NAT privado também pode ser usado quando sua rede local restringe o acesso a IPs aprovados. A conformidade exige que as redes locais de poucos clientes se comuniquem somente com redes privadas (sem IGW) somente por meio de um bloco contíguo limitado de IPs aprovados de propriedade do cliente. Em vez de alocar para cada instância um IP separado do bloco, você pode executar grandes cargas de trabalho em AWS VPCs por trás de cada IP da lista de permissões usando um gateway NAT privado. Para obter detalhes, consulte a postagem do blog Como resolver a exaustão de IP privado com a solução NAT privada.

Um diagrama que mostra como usar um gateway NAT privado para fornecer IPs aprovados para a rede local

Exemplo de configuração — Como usar o gateway NAT privado para fornecer IPs aprovados para a rede local