Comment puis-je configurer une passerelle NAT pour un sous-réseau privé dans un VPC Amazon ?

Brève description

Une passerelle NAT permet aux instances Amazon Elastic Compute Cloud (Amazon EC2) d’établir des connexions sortantes vers des ressources sur Internet. Il est ainsi possible d’établir des connexions sortantes sans pour autant autoriser des connexions entrantes vers l’instance Amazon EC2. Les adresses IP privées attribuées aux instances ne peuvent pas être utilisées pour communiquer sur Internet. Les passerelles NAT utilisent des adresses IP Elastic pour permettre aux ressources privées de communiquer avec Internet.

Résolution

Configuration d’une passerelle NAT pour un sous-réseau Amazon VPC privé :

1. Créez un sous-réseau public pour héberger votre passerelle NAT.
2. Créez et attachez une passerelle Internet à votre Amazon VPC.
3. Créez une table de routage personnalisée pour votre sous-réseau public avec un routage vers la passerelle Internet.
4. Vérifiez que la liste de contrôle d’accès (ACL) réseau de votre sous-réseau public autorise le trafic entrant provenant du sous-réseau privé. Consultez la page Utiliser les ACL réseau.pour en savoir plus.
5. Créez une passerelle NAT publique dans le sous-réseau public. Vous pouvez créer et associer des adresses IP Elastic nouvelles ou existantes le cas échéant. Consultez la page Utiliser des adresses IP Elastic pour en savoir plus.
6. Mettez à jour la table de routage de votre sous-réseau Amazon VPC privé pour diriger le trafic Internet vers votre passerelle NAT.
7. Testez votre passerelle NAT en envoyant une commande ping sur Internet depuis une instance de votre sous-réseau Amazon VPC privé.

Bonnes pratiques

• Vous devez créer une passerelle NAT pour chaque zone de disponibilité si vos ressources couvrent plusieurs zones de disponibilité (AZ). Ainsi, vous éviterez de créer un point unique de défaillance et des frais de transfert de données par zone.
• Les données transférées entre Amazon EC2 et les interfaces réseau Elastic au sein de la même zone de disponibilité ne sont pas soumises à des frais. Toutefois, les données transférées vers et depuis Amazon EC2 et les interfaces réseau Elastic entre plusieurs zones de disponibilité d’une même région AWS feront l’objet d’une facturation. Ces frais dépendent des taux de transfert de données pour la région en question.
• Utilisez AWS Trusted Advisor pour vérifier si vos passerelles NAT sont configurées avec des zones de disponibilité indépendantes. Pour des ressources appartenant à une zone de disponibilité spécifique, vous devez utilisez une passerelle NAT de la même zone de disponibilité. Vous éviterez ainsi que les ressources d’une autre zone de disponibilité ne soient affectées par une défaillance de la passerelle NAT ou de la zone de disponibilité associée à la passerelle. Pour en savoir plus, consultez la page Indépendance des zones de disponibilité des passerelles NAT.

Informations connexes

Surveillance des passerelles NAT avec Amazon CloudWatch