如何设置NAT网关与VPN一起使用

【以下的问题经过翻译处理】 免责声明：我在这个领域仍然是新手，所以请原谅我可能存在的任何概念错误。

我做的尝试背景是，目前我们有一台内部大型服务器，上面运行着VMWare Workstation Pro和许多虚拟机。此外，我们还有一个硬件VPN。这些VMWare虚拟机仅供内部使用，不能从外部访问，我们只能通过VPN和本地IP连接到它们。

我们现在正试图迁移到AWS。例如，每个VMWare虚拟机都将由一个EC2实例替代。到目前为止，我已经按照指南设置了一个VPN。我可以从我的Mac连接到VPN，一切都运行得很完美（我可以访问每个EC2实例的私有IP等）。此外，我还可以确认，连接到VPN后，我的Mac和EC2实例都可以访问Internet。

然而，为了使这一切工作，我所有的EC2实例都需要具有公有的IPv4地址。但出于安全原因，我不希望这些EC2实例具有公网IP。我不希望外部能够"看到"这些机器，因为它们完全是供内部使用的，只能通过VPN访问。例如，就目前而言，具有公网IP时，我仍然可以SSH、Ping等访问它们。但这就是我不想要的。

我的第一个尝试是从EC2实例中删除公网IP。这解决了我想要的安全性问题，我可以通过私有IP和VPN访问该机器。然而...当我这样做时，EC2实例无法连接到互联网。

根据我所阅读的内容，我知道需要一个NAT网关。问题是，我不确定如何在我的VPN与NAT网关的结合中进行设置。

目前，我的设置如下：

• 我有一个VPC，IPv4 CIDR为172.31.0.0/16，有3个公有子网，每个子网对应一个可用区（Availability Zone）。即，us-east-2a（172.31.0.0/20），us-east-2b（172.31.16.0/20）和us-east-2c（172.31.32.0/20）。
• 所有EC2实例都创建在us-east-2a（172.31.0.0/20）子网中。
• VPC附加了一个互联网网关。
• 我有一个Client VPN端点，Client CIDR为10.0.0.0/22，并且有一个子网与之关联，作为"Target network associations"。这个子网是us-east-2a（172.31.0.0/20）。
• 端点有一个安全组，具有允许所有流量的出站规则。
• 端点有一个"Authorization rules"，允许所有VPC和目标CIDR 172.31.0.0/16的流量，以及另一个目标为0.0.0.0/0的规则。
• 端点有一个"Route table"，允许所选子网（172.31.0.0/20）的所有流量。 任何帮助将不胜感激。