Je souhaite configurer une passerelle de traduction d'adresses réseau (NAT) pour un sous-réseau privé dans Amazon Virtual Private Cloud (Amazon VPC).
Brève description
Une passerelle NAT permet aux instances Amazon Elastic Compute Cloud (Amazon EC2) d'établir des connexions sortantes vers des ressources sur Internet. Il est ainsi possible d'établir des connexions sortantes sans pour autant autoriser des connexions entrantes vers l'instance Amazon EC2. Les adresses IP privées attribuées aux instances ne peuvent pas être utilisées pour communiquer sur Internet. Les passerelles NAT utilisent des adresses IP Elastic pour permettre aux ressources privées de communiquer avec Internet.
Résolution
Pour configurer une passerelle NAT pour un sous-réseau Amazon VPC privé, procédez comme suit :
- Créez un sous-réseau public pour héberger votre passerelle NAT.
- Créez et connectez une passerelle Internet à votre Amazon VPC.
- Créez une table de routage personnalisée pour votre sous-réseau public avec un routage vers la passerelle Internet.
- Vérifiez que la liste de contrôle d'accès (ACL) réseau de votre sous-réseau public autorise le trafic entrant depuis le sous-réseau privé. Pour en savoir plus, consultez la section Utiliser les ACL réseau.
- Créez une passerelle NAT publique dans le sous-réseau public. Le cas échéant, vous pouvez créer et associer des adresses IP Elastic nouvelles ou existantes. Pour en savoir plus, consultez la section Utiliser des adresses IP Elastic.
- Mettez à jour la table de routage de votre sous-réseau Amazon VPC privé pour diriger le trafic Internet vers votre passerelle NAT.
- Testez votre passerelle NAT en envoyant une commande ping à Internet depuis une instance de votre sous-réseau Amazon VPC privé.
Bonnes pratiques
- Si vos ressources couvrent plusieurs zones de disponibilité (AZ), vous devez créer une passerelle NAT pour chaque zone de disponibilité. Vous éviterez ainsi de générer un point de défaillance unique et des frais de transfert de données par zone.
- Les données transférées entre Amazon EC2 et les interfaces réseau Elastic au sein de la même zone de disponibilité ne sont pas soumises à des frais. Toutefois, les données transférées vers et depuis Amazon EC2 et les interfaces réseau Elastic entre plusieurs zones de disponibilité de la même région AWS feront l'objet d'une facturation. Ces frais dépendent des taux de transfert de données pour la région en question.
- Utilisez AWS Trusted Advisor pour vérifier si vos passerelles NAT sont configurées avec des zones de disponibilité indépendantes. Pour les ressources appartenant à une zone de disponibilité spécifique, utilisez une passerelle NAT dans la même zone de disponibilité. Vous éviterez ainsi que les ressources d'une autre zone de disponibilité ne soient affectées par une défaillance de la passerelle NAT ou de la zone de disponibilité associée à la passerelle. Pour en savoir plus, consultez la section Indépendance des passerelles NAT au niveau de la zone de disponibilité.
Informations connexes
Surveillance des passerelles NAT avec Amazon CloudWatch