我想为 Amazon Virtual Private Cloud(Amazon VPC)中的私有子网设置网络地址转换(NATI)网关。
简短描述
NAT 网关允许 Amazon Elastic Compute Cloud(Amazon EC2)实例与互联网上的资源建立出站连接。出站连接是在不允许与 Amazon EC2 实例建立入站连接的情况下建立的。分配给实例的私有 IP 地址不能用于通过互联网进行通信。NAT 网关使用弹性 IP 地址,以帮助私有资源与互联网通信。
解决方案
若要为私有 Amazon VPC 子网设置 NAT 网关,请完成以下步骤:
- 创建公有子网,以托管您的 NAT 网关。
- 创建互联网网关并将其连接到您的 Amazon VPC。
- 为您的公有子网创建自定义路由表,其中包含指向互联网网关的路由。
- 验证您的公有子网的网络访问控制列表(ACL)是否允许来自私有子网的入站流量。有关详细信息,请参阅 Work with network ACLs。
- 在公有子网中创建公有 NAT 网关。根据需要,创建和关联新的或现有的弹性 IP 地址。有关更多信息,请参阅使用弹性 IP 地址。
- 更新您的私有 Amazon VPC 子网的路由表,以将互联网流量指向您的 NAT 网关。
- 从私有 Amazon VPC 子网中的实例 ping 互联网,以此测试您的 NAT 网关。
最佳实践
- 如果您的资源跨越多个可用区(AZ),请为每个可用区创建一个 NAT 网关。这有助于避免产生单点故障和区域数据传输费用。
- 在同一可用区内的 Amazon EC2 和弹性网络接口之间传输数据时,无需付费。但是,跨越同一 AWS 区域的多个可用区在 Amazon EC2 和弹性网络接口之间传入和传出数据时,则需要付费。费用取决于该地区的数据传输速率。
- 使用 AWS Trusted Advisor 检查您的 NAT 网关是否配置为独立于可用区。您在特定可用区中的资源应使用同一可用区中的 NAT 网关。这样可以防止您在不同可用区中的资源受到 NAT 网关或网关关联可用区中断的影响。有关更多信息,请参阅 NAT Gateway AZ Independence。
相关信息
Monitor NAT gateways with Amazon CloudWatch