Regionale NAT-Gateways für automatische Multi-AZ-Erweiterung - Amazon Virtual Private Cloud
VorteileWann sollten regionale NAT-Gateways verwendet werdenSo funktionieren regionale NAT-GatewaysPreisgestaltungErstellen Sie ein regionales NAT-GatewayVon zonalen zu regionalen NAT-Gateways konvertieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regionale NAT-Gateways für automatische Multi-AZ-Erweiterung

Verwenden Sie regionale NAT-Gateways, wenn Sie Ihre Netzwerkarchitektur vereinfachen, Ihre Sicherheitslage verbessern und standardmäßig Hochverfügbarkeit konfigurieren möchten. Ein regionales NAT-Gateway erweitert sich automatisch auf die Availability Zones, je nachdem, wo Ihre Workloads vorhanden sind. Im Gegensatz zu Standard-NAT-Gateways (als zonale NAT-Gateways bezeichnet), die in einer einzigen Availability Zone betrieben werden, folgen regionale NAT-Gateways Ihren Workloads und sorgen so für automatische Hochverfügbarkeit.

Das Diagramm A auf der linken Seite stellt die aktuelle Konfiguration mit dem zonalen NAT-Gateway dar. Sie erstellen zunächst zonale NAT-Gateways pro Availability Zone und hosten Ihre NATs in öffentlichen Subnetzen. Anschließend konfigurieren Sie separate Routen pro Availability Zone von Ihren privaten Subnetzen zum NAT in dieser Availability Zone. Sie wiederholen diesen Schritt jedes Mal, wenn Ihre Workloads auf eine neue Availability Zone erweitert werden, um eine hohe Verfügbarkeit zu gewährleisten. Darüber hinaus müssen Sie in der Routentabelle Ihres NAT-Subnetzes pro Availability Zone Routen für das Internet-Gateway hinzufügen.

Andererseits müssen Sie bei einem regionalen NAT-Gateway kein öffentliches Subnetz einrichten, um es zu hosten. Sie müssen auch nicht jedes Mal, wenn Ihre Workloads auf neue Availability Zones erweitert werden, NAT-Gateways erstellen und löschen und Ihre Routing-Tabellen bearbeiten. Stattdessen erstellen Sie einfach ein NAT-Gateway mit regionalem Modus, wählen Ihre VPC aus und diese wird automatisch erweitert und verkleinert, AZs je nachdem, wie Ihre Workload vorhanden ist, um eine hohe Verfügbarkeit zu gewährleisten. Wie in Abbildung B dargestellt, können Sie den Datenverkehr von Ihren Ressourcen in einem privaten Subnetz über alle Ressourcen AZs zu dieser einzigen regionalen NAT-Gateway-ID weiterleiten oder dieselbe Routing-Tabelle für die Subnetze in Ihrer AZ verwenden, um die Netzwerkadressübersetzung durchzuführen. Sobald Sie Ihr regionales NAT-Gateway erstellt haben, erstellt es AWS automatisch eine Routing-Tabelle, die eine vorkonfigurierte Route zum Internet-Gateway enthält. Sie können diese Routentabelle verwenden, um Ihren Middleboxes Rückrouten hinzuzufügen.

Vorteile

Regionale NAT-Gateways bieten die folgenden Vorteile:

  • Vereinfachte Einrichtung — Verwenden Sie eine einzige NAT-ID für alle Availability Zones, die über Netzwerkschnittstellen verfügen, sodass Sie denselben Routeneintrag für Subnetze in verschiedenen Availability Zones verwenden können.

  • Verbesserte Sicherheit — Keine öffentlichen Subnetze erforderlich. Ein regionales NAT-Gateway ist eine eigenständige Ressource mit eigener Routing-Tabelle. Sie benötigen kein öffentliches Subnetz in Ihrer VPC, um ein regionales NAT-Gateway zu hosten, wodurch die Wahrscheinlichkeit einer Fehlkonfiguration privater Ressourcen in Subnetzen mit öffentlicher Konnektivität verringert wird.

  • Automatische Hochverfügbarkeit — Wird automatisch an Ihren Workloadbedarf erweitert und verkleinert, um die zonale Affinität aufrechtzuerhalten, die standardmäßig für hohe Verfügbarkeit sorgt.

  • Höhere Port- und IP-Grenzwerte — Ihre regionalen NAT-Gateways unterstützen bis zu 32 IP-Adressen pro Availability Zone (im Vergleich zu 8 bei zonalen NAT-Gateways). Jede IP-Adresse erhöht das Limit für gleichzeitige Verbindungen zu einem beliebten Ziel (identifiziert durch eine eindeutige Kombination aus Ziel-IP, Zielport und Protokoll) um 55.000.

Wann sollten regionale NAT-Gateways verwendet werden

Erwägen Sie die Verwendung regionaler NAT-Gateways für alle Anwendungsfälle, außer für solche, die private Konnektivität erfordern. Regionale NAT-Gateways bieten keine private Konnektivität und wir empfehlen, Ihre NAT-Gateways für private NAT-Anwendungsfälle im zonalen Verfügbarkeitsmodus zu verwenden.

So funktionieren regionale NAT-Gateways

Wenn Sie Ressourcen in einer neuen Availability Zone starten, erkennt das regionale NAT-Gateway das Vorhandensein einer Netzwerkschnittstelle (ENI) in dieser Availability Zone und dehnt sich automatisch auf diese Zone aus. In ähnlicher Weise werden Verträge für das NAT-Gateway von der Availability Zone aus abgeschlossen, in der es keine aktiven Workloads gibt.

Es kann bis zu 60 Minuten dauern, bis Ihr regionales NAT-Gateway auf eine neue Availability Zone erweitert wird, nachdem dort eine Ressource instanziiert wurde. Bis diese Erweiterung abgeschlossen ist, wird der relevante Datenverkehr von dieser Ressource zonenübergreifend von Ihrem regionalen NAT-Gateway in einer der vorhandenen Availability Zones verarbeitet.

Regionale NAT-Gateways unterstützen zwei Modi:

  • Automatischer Modus — In diesem Modus werden IP-Adressen und die Erweiterung der Availability Zone AWS automatisch verwaltet (empfohlen). Wenn Sie in diesem Modus Ihre eigenen IP-Adressen verwenden möchten und Amazon VPC IPAM verwenden, finden Sie weitere Informationen unter Definieren einer öffentlichen IPv4 Zuweisungsstrategie mit IPAM-Richtlinien im Amazon VPC IPAM-Benutzerhandbuch.

  • Manueller Modus — In diesem Modus verwalten Sie manuell IP-Adressen und steuern die Netzwerkadressübersetzung für jede Availability Zone. Im manuellen Modus sind Sie dafür verantwortlich, Ihr NAT-Gateway in allen Availability Zones zu erweitern und zu nutzen.

Preisgestaltung

Preisinformationen finden Sie unter Amazon VPC-Preise.

Erstellen Sie ein regionales NAT-Gateway

Verwenden der Konsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Klicken Sie im Navigationsbereich auf NAT-Gateways.

  3. Wählen Sie NAT-Gateway erstellen aus.

  4. Wählen Sie für den Verfügbarkeitsmodus die Option Regional aus. Sie müssen keine Subnetze angeben, wenn Sie die regionale Verfügbarkeit wählen

  5. Wählen Sie eine VPC aus.

  6. Schließen Sie die verbleibende Konfiguration ab und wählen Sie Create NAT Gateway aus.

Verwenden der AWS CLI

Erstellen Sie ein regionales NAT-Gateway

aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional

Details zum NAT-Gateway anzeigen

aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678

IP-Adressen hinzufügen (manueller Modus)

aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678

IP-Adressen entfernen

aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678

Löschen Sie ein regionales NAT-Gateway

aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678

Von zonalen zu regionalen NAT-Gateways konvertieren

Wichtig

Dadurch werden Ihre bestehenden Verbindungen zurückgesetzt. Wir empfehlen Ihnen, diese Schritte in Ihrem Wartungsfenster durchzuführen.

Sie können vorhandene zonale NAT-Gateways mit einem von zwei Ansätzen in ein regionales NAT-Gateway umwandeln:

Wenn Sie mit der Verwendung regionaler NAT-Gateways mit neuen IP-Adressen einverstanden sind:

  1. Erstellen Sie ein neues regionales NAT-Gateway

  2. Aktualisieren Sie die Routentabellen so, dass sie auf das regionale NAT-Gateway verweisen

  3. Löschen Sie die alten zonalen NAT-Gateways

Dieser Ansatz verwendet neue IP-Adressen und setzt bestehende Verbindungen zurück, wenn Routen aktualisiert werden.

Wenn Sie vorhandene IP-Adressen mit regionalen NAT-Gateways wiederverwenden möchten:

  1. Löschen Sie vorhandene zonale NAT-Gateways, um ihre IP-Adressen freizugeben

  2. Erstellen Sie ein regionales NAT-Gateway mit den freigegebenen IP-Adressen

  3. Aktualisieren Sie die Routentabellen so, dass sie auf das regionale NAT-Gateway verweisen

Bei diesem Ansatz bleiben IP-Adressen erhalten, es ist jedoch ein Wartungsfenster erforderlich, da der Datenverkehr während des Übergangs unterbrochen wird.