fbpx

Instâncias NAT e NAT Gateways

natgatewayimagemsite
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

Por padrão, qualquer instância iniciada em uma sub-rede privada em um Amazon VPC não pode se comunicar com a Internet por meio do IGW. Isso é problemático se as instâncias nas sub-redes privadas precisarem de acesso direto à Internet a partir do Amazon VPC para aplicar atualizações de segurança, baixar patches ou atualizar o aplicativo.

A AWS fornece instâncias NAT e gateways NAT para permitir que instâncias implantadas em sub-redes privadas obtenham acesso à Internet.

Para casos de uso comuns, recomendamos que você use um gateway NAT em vez de uma instância NAT. O gateway NAT fornece melhor disponibilidade e maior largura de banda e requer menos esforço administrativo do que as instâncias NAT.

 

Instância NAT

Uma instância de conversão de endereço de rede (Instância NAT) é uma AMI (Amazon Machine Image) da Amazon Linux projetada para aceitar tráfego de instâncias em uma sub-rede privada, converter o endereço IP de origem no endereço IP público da instância NAT e encaminhar o tráfego para o IGW.

Além disso, a instância do NAT mantém o estado do tráfego encaminhado para retornar o tráfego de resposta da Internet para a instância apropriada na sub-rede privada. Essas instâncias têm a cadeia amzn-ami-vpc-nat em seus nomes, que pode ser pesquisada no console do Amazon EC2.

Para permitir que instâncias em uma sub-rede privada acessem recursos da Internet através do IGW por meio de uma instância NAT, faça o seguinte:

  • Crie um grupo de segurança para o NAT com regras de saída que especificam os recursos necessários da Internet por porta, protocolo e endereço IP.
  • Inicie uma AMI NAT do Amazon Linux como uma instância em uma sub-rede pública e associe-a ao grupo de segurança NAT.
  • Desative o atributo Source / Destination Check do NAT.
  • Configure a tabela de rotas associada a uma sub-rede privada para direcionar o tráfego vinculado à Internet para a instância NAT (por exemplo, i-1a2b3c4d).
  • Aloque um EIP e associe-o à instância NAT.

 

Essa configuração permite que instâncias em sub-redes privadas enviem comunicação de saída da Internet, mas impede que as instâncias recebam tráfego de entrada iniciado por alguém na Internet.

 

Gateway NAT

Um gateway NAT é um recurso gerenciado da Amazon, projetado para operar como uma instância NAT, mas é mais simples de gerenciar e altamente disponível em uma Zona de Disponibilidade.

Para permitir que instâncias em uma sub-rede privada acessem os recursos da Internet por meio do IGW por meio de um gateway NAT, faça o seguinte:

  • Configure a tabela de rotas associada à sub-rede privada para direcionar o tráfego vinculado à Internet para o gateway NAT (por exemplo, nat-1a2b3c4d).

 

  • Aloque um EIP e associe-o ao gateway NAT.

 

Como uma instância NAT, esse serviço gerenciado permite a comunicação de saída da Internet e impede que as instâncias recebam tráfego de entrada iniciado por alguém na Internet.

Para criar uma arquitetura independente da zona de disponibilidade, crie um gateway NAT em cada zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma zona de disponibilidade.

Comentários do Facebook

Conteúdos relacionados