¿Cómo configuro una puerta de enlace de NAT para una subred privada en Amazon VPC?

Descripción breve

Una puerta de enlace de NAT permite a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) establecer conexiones salientes a los recursos de Internet. Las conexiones salientes se establecen sin permitir las conexiones entrantes a la instancia de Amazon EC2. Las direcciones IP privadas que se asignan a las instancias no se pueden utilizar para comunicarse a través de Internet. Las puertas de enlace de NAT utilizan direcciones IP elásticas para ayudar a los recursos privados a comunicarse con Internet.

Resolución

Para configurar una puerta de enlace de NAT para una subred privada de Amazon VPC, siga estos pasos:

1. Cree una subred pública para alojar su puerta de enlace de NAT.
2. Cree y asocie una puerta de enlace de Internet a su Amazon VPC.
3. Cree una tabla de enrutamiento personalizada para su subred pública con una ruta a la puerta de enlace de Internet.
4. Verifique que la lista de control de acceso (ACL) a la red de su subred pública permita el tráfico entrante desde la subred privada. Para obtener más información, consulte Work with network ACLs.
5. Crea una puerta de enlace de NAT pública en la subred pública. Cree y asocie sus direcciones IP elásticas nuevas o actuales según sea necesario. Para obtener más información, consulte Trabajar con direcciones IP elásticas.
6. Actualice la tabla de enrutamiento de su subred privada de Amazon VPC para dirigir el tráfico de Internet a su puerta de enlace de NAT.
7. Haga ping de Internet desde una instancia de su subred privada de Amazon VPC para probar la puerta de enlace de NAT.

Prácticas recomendadas

• Si sus recursos abarcan varias zonas de disponibilidad (AZ), cree una puerta de enlace de NAT por cada AZ. Esto ayuda a evitar un punto único de error y los cargos por transferencia de datos por zona.
• Los datos que se transfieren entre Amazon EC2 y Elastic Network Interfaces en la misma zona de disponibilidad son gratuitos. Sin embargo, se cobran los datos que se transfieren hacia y desde Amazon EC2 y las interfaces de Elastic Network a través de varias zonas de disponibilidad en la misma región de AWS. Los cargos dependen de las tarifas de transferencia de datos de la región.
• Utilice AWS Trusted Advisor para comprobar si sus puertas de enlace de NAT están configuradas con independencia de la zona de disponibilidad. Para los recursos de una zona de disponibilidad específica, utilice una puerta de enlace de NAT en la misma zona de disponibilidad. Esto evita que los recursos de una zona de disponibilidad diferente se vean afectados por la interrupción de una puerta de enlace de NAT o de la zona de disponibilidad asociada a la puerta de enlace. Para obtener más información, consulte NAT Gateway AZ Independence.

Información relacionada

Monitor NAT gateways with Amazon CloudWatch