admin管理员组文章数量:1571197
NAT网关基础
NAT 网关是一种网络地址转换 (NAT) 服务。您可以使用 NAT 网关,以便私有子网中的实例可以连接到 VPC 外部的服务,但外部服务无法启动与这些实例的连接。
NAT 网关将实例的源 IPv4 地址替换为 NAT 网关的私有 IP 地址。向实例发送响应流量时,NAT 设备会将地址转换回原始源 IPv4 地址。
在创建 NAT 网关时,您指定以下连接类型之一:
- 公开 –(默认)私有子网中的实例可以通过公共 NAT 网关连接到互联网,但不能接收来自互联网的未经请求的入站连接。您在公有子网中创建公有 NAT 网关,并且必须在创建时将弹性 IP 地址与 NAT 网关相关联。您可以将流量从 NAT 网关路由到 VPC 的互联网网关。或者,您可以使用公有 NAT 网关连接到其他 VPC 或本地部署网络。在这种情况下,您可以借助中转网关或虚拟私有网关路由来自 NAT 网关的流量。
- 私密 – 私有子网中的实例可以通过私有 NAT 网关连接到其他 VPC 或您的本地部署网络。您可以借助中转网关或虚拟私有网关路由来自 NAT 网关的流量。您不能将弹性 IP 地址与私有 NAT 网关相关联。您可以将互联网网关连接到具有私有 NAT 网关的 VPC,但如果您将流量从私有 NAT 网关路由到互联网网关,则互联网网关会丢弃流量。
通过NAT网关访问互联网的逻辑:
私有子网(没有互联网网关的子网)通过NAT网关访问互联网。NAT网关将多个私有的IPv4地址映射到一个公有的IPv4地址。NAT设备会将来自实例的流量路由到互联网网关,并将所有响应路由到该实例。
注意:
1.每个公有 NAT 网关只能关联一个弹性 IP 地址。创建弹性 IP 地址后,无法解除该地址与 NAT 网关的关联。如果您需要为 NAT 网关使用不同的弹性 IP 地址,则必须创建具有所需地址的新 NAT 网关,更新路由表,然后删除现有 NAT 网关 (如果不再需要)。
2.每个 NAT 网关都在特定可用区中创建,并在该可用区进行冗余实施。如果您在多个可用区中拥有资源并且它们共享一个 NAT 网关,如果该 NAT 网关的可用区不可用,其他可用区中的资源将无法访问 Internet。要创建不依赖于可用区的架构,请在每个可用区中都创建一个 NAT 网关,并配置路由以确保这些资源使用自身可用区中的 NAT 网关。
3. 不能为 NAT 网关关联安全组。您可以将安全组与实例相关联,以控制入站和出站流量。
实操
创建NAT网关
NAT网关创建是选择子网,一定要选择公有子网(有互联网网关子网)
NAT 网关的初始状态为 Pending。状态更改为 Available 后,NAT 网关即可供您使用。将路由到 NAT 网关添加到私有子网的路由表,并将路由添加到 NAT 网关的路由表中。
如果 NAT 网关的状态变成 Failed,则表示在创建过程中发生了错误。
添加路由
新建路由表
编辑路由规则
将路由表应用到子网和NAT网关
选定需要修改的子网,修改其路由表关联
选定新建的路由表后保存配置
验证
配置NAT网关前
配置NAT网关后
参考文档
AWS NAT网关NAT 网关 - Amazon Virtual Private Cloud
版权声明:本文标题:AWS私有子网访问互联网之-NAT网关 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1727686776a1125432.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论