Comment migrer d'une instance NAT vers une passerelle NAT ?

Brève description

Lorsque vous créez un plan de migration, tenez compte des points suivants :

• Prévoyez-vous d'utiliser la même adresse IP Elastic pour la passerelle NAT que celle actuellement utilisée par l'instance NAT ? Il est possible qu'une nouvelle adresse IP Elastic ne soit pas reconnue par les clients externes.
• Votre instance NAT exécute-t-elle d'autres fonctions, telles que le transfert de port, des scripts personnalisés, la fourniture de services VPN ou le rôle d'hôte bastion ? Une passerelle NAT permet aux instances d'un sous-réseau privé de se connecter à Internet ou à d'autres services AWS. Les connexions Internet vers la passerelle NAT ne sont pas autorisées. Il ne peut être utilisé pour aucune autre fonction.
• Avez-vous correctement configuré les groupes de sécurité de vos instances NAT et les listes de contrôle d'accès réseau (ACL réseau) de votre passerelle NAT ? Vous pouvez utiliser des groupes de sécurité sur l'instance NAT et des ACL réseau sur le sous-réseau de l'instance NAT pour contrôler le trafic à destination et en provenance du sous-réseau NAT. Vous ne pouvez utiliser une ACL réseau que pour contrôler le trafic à destination et en provenance du sous-réseau dans lequel se trouve la passerelle NAT.
• Vos instances NAT actuelles offrent-elles une haute disponibilité dans toutes les zones de disponibilité ? Si tel est le cas, vous souhaiterez peut-être créer une architecture multi-AZ. Vous pouvez le faire en créant une passerelle NAT dans chaque zone de disponibilité. Configurez ensuite vos tables de routage de sous-réseau privées dans une zone de disponibilité spécifique pour utiliser la passerelle NAT de la même zone de disponibilité. Le mode Multi-AZ est utile si vous souhaitez éviter des frais pour le trafic inter-AZ.
• Certaines tâches s'exécutent-elles via l'instance NAT ? Lorsque le routage est modifié depuis l'instance NAT, les connexions existantes sont abandonnées et les connexions doivent être rétablies.
• Votre architecture permet-elle de tester les migrations d'instances individuellement ? Si tel est le cas, migrez une instance NAT vers une passerelle NAT et vérifiez la connectivité avant de migrer d'autres instances.
• Autorisez-vous le trafic entrant en provenance des ports 1024 à 65535 sur l'ACL réseau de l'instance NAT ? Vous devez autoriser le trafic en provenance des ports 1024 à 65535 car la passerelle NAT les utilise comme ports source. Pour en savoir plus, consultez la section VPC avec sous-réseaux publics et privés (NAT).

Résolution

1. Dissociez l'adresse IP Elastic de l'instance NAT existante.
2. Créez une passerelle NAT dans le sous-réseau public pour l'instance NAT que vous souhaitez remplacer. Vous pouvez le faire avec l'adresse IP Elastic dissociée ou avec une nouvelle adresse IP Elastic.
3. Passez en revue les tables de routage qui font référence à l'instance NAT ou à l'interface réseau élastique de l'instance NAT. Modifiez ensuite l'itinéraire pour qu'il pointe plutôt vers la passerelle NAT nouvellement créée.
   Remarque : Répétez ce processus pour chaque instance NAT et chaque sous-réseau que vous souhaitez migrer.
4. Accédez à l'une des instances Amazon Elastic Compute Cloud (Amazon EC2) du sous-réseau privé et vérifiez la connectivité à Internet.

Une fois que vous avez migré avec succès vers la passerelle NAT et que vous avez vérifié la connectivité, vous pouvez mettre fin aux instances NAT.

Informations connexes

Comparez les passerelles NAT et les instances NAT

Migrer d'une instance NAT vers une passerelle NAT

Passerelles NAT

Comment configurer une passerelle NAT pour un sous-réseau privé dans Amazon VPC ?

Résoudre les problèmes liés aux passerelles NAT