如何在 Amazon VPC 中为私有子网设置 NAT 网关?

1 分钟阅读
0

我想为 Amazon Virtual Private Cloud (Amazon VPC) 中的私有子网设置网络地址转换 (NAT) 网关。

简短描述

NAT 网关允许 Amazon Elastic Compute Cloud (Amazon EC2) 实例与互联网上的资源建立出站连接。出站连接是在不允许与 Amazon EC2 实例建立入站连接的情况下建立的。分配给实例的私有 IP 地址不能用于通过互联网进行通信。NAT 网关使用弹性 IP 地址来帮助私有资源与互联网通信。

解决方法

要为私有 Amazon VPC 子网设置 NAT 网关,请完成以下步骤:

  1. 创建公有子网来托管您的 NAT 网关。
  2. 创建互联网网关并将其连接到您的 Amazon VPC。
  3. 为您的公有子网创建自定义路由表,其中包含指向互联网网关的路由。
  4. 验证您的公有子网的网络访问控制列表 (ACL) 是否允许来自私有子网的入站流量。有关详细信息,请参阅使用网络 ACL
  5. 在公有子网中创建公有 NAT 网关。根据需要创建和关联新的或现有的弹性 IP 地址。有关更多信息,请参阅使用弹性 IP 地址
  6. 更新您的私有 Amazon VPC 子网的路由表,将互联网流量指向您的 NAT 网关。
  7. 通过从私有 Amazon VPC 子网中的实例 ping 互联网,以此测试您的 NAT 网关

最佳实践

  • 如果您的资源跨越多个可用区 (AZ),请为每个可用区创建一个 NAT 网关。这有助于避免单点故障和区域数据传输费用。
  • 在同一可用区内的 Amazon EC2 和弹性网络接口之间传输数据时,无需付费。但是,跨越同一 AWS 区域的多个可用区在 Amazon EC2 和弹性网络接口之间传入和传出数据时,则需要付费。费用取决于该地区的数据传输速率。
  • 使用 AWS Trusted Advisor 检查您的 NAT 网关是否配置为独立于可用区。您在特定可用区中的资源应使用同一可用区中的 NAT 网关。这样可以防止您在不同可用区中的资源受到 NAT 网关或网关关联可用区中断的影响。有关更多信息,请参阅 NAT Gateway AZ Independence

相关信息

使用 Amazon CloudWatch 监控 NAT 网关

AWS 官方
AWS 官方已更新 5 个月前