Puertas de enlace NAT regionales para la expansión automática en varias zonas de disponibilidad
Utilice puertas de enlace NAT regionales cuando desee simplificar la arquitectura de red, mejorar la postura de seguridad y configurar la alta disponibilidad de forma predeterminada. Una puerta de enlace NAT regional se expande automáticamente entre las zonas de disponibilidad en función de la presencia de las cargas de trabajo. A diferencia de las puertas de enlace NAT estándar (denominadas puertas de enlace NAT zonales), que funcionan en una sola zona de disponibilidad, las puertas de enlace NAT regionales siguen a las cargas de trabajo para proporcionar alta disponibilidad automática.
El diagrama A de la izquierda representa la configuración actual con una puerta de enlace NAT zonal. Primero crea puertas de enlace NAT zonales por zona de disponibilidad y aloja las puertas de enlace NAT en subredes públicas. A continuación, configura rutas independientes por zona de disponibilidad desde las subredes privadas hacia la puerta de enlace NAT de esa zona de disponibilidad. Este paso se repite cada vez que las cargas de trabajo se expanden a una nueva zona de disponibilidad, para lograr alta disponibilidad. Además, debe agregar rutas hacia la puerta de enlace de Internet en la tabla de enrutamiento de la subred de la puerta de enlace NAT para cada zona de disponibilidad.
Por otro lado, con una puerta de enlace NAT regional, no necesita crear una subred pública para alojarla. Tampoco tiene que crear ni eliminar puertas de enlace NAT ni editar las tablas de enrutamiento cada vez que las cargas de trabajo se expanden a nuevas zonas de disponibilidad. En su lugar, basta con crear una puerta de enlace NAT en modo regional, seleccionar la VPC, y esta se expande y se contrae automáticamente en todas las zonas de disponibilidad en función de la presencia de las cargas de trabajo, con el fin de ofrecer alta disponibilidad. Como se muestra en el diagrama B, puede enrutar el tráfico desde los recursos en una subred privada a través de todas las zonas de disponibilidad hacia este único ID de puerta de enlace NAT regional, o bien utilizar la misma tabla de enrutamiento en las subredes de la zona de disponibilidad para realizar la traducción de direcciones de red. Una vez que crea su puerta de enlace NAT regional, AWS crea automáticamente para esta una tabla de enrutamiento, que incluye una ruta preconfigurada hacia la puerta de enlace de Internet. Puede utilizar esta tabla de enrutamiento para agregar rutas de retorno hacia los dispositivos intermedios.
Ventajas
Las puertas de enlace NAT regionales ofrecen las siguientes ventajas:
-
Configuración simplificada: utilice un único ID de NAT en todas las zonas de disponibilidad que tengan interfaces de red, de modo que pueda usar la misma entrada de ruta para subredes en distintas zonas de disponibilidad.
-
Seguridad mejorada: no se requieren subredes públicas. Una puerta de enlace NAT regional es un recurso independiente con su propia tabla de enrutamiento, y no se necesita una subred pública en la VPC para alojarla, lo que reduce las probabilidades de configurar incorrectamente recursos privados en subredes con conectividad pública.
-
Alta disponibilidad automática: se expande y se contrae automáticamente según la presencia de las cargas de trabajo para mantener la afinidad zonal, lo que proporciona alta disponibilidad de forma predeterminada.
-
Límites superiores de puertos y direcciones IP: las puertas de enlace NAT regionales admiten hasta 32 direcciones IP por zona de disponibilidad (en comparación con 8 en las puertas de enlace NAT zonales). Cada dirección IP aumenta en 55 000 el límite de conexiones simultáneas hacia un destino popular (identificado por una combinación única de dirección IP de destino, puerto de destino y protocolo).
Cuándo usar puertas de enlace NAT regionales
Considere el uso de puertas de enlace NAT regionales para todos los casos de uso, excepto aquellos que requieran conectividad privada. Las puertas de enlace NAT regionales no ofrecen conectividad privada y se recomienda usar puertas de enlace NAT en modo de disponibilidad zonal para los casos de uso de NAT privado.
Cómo funcionan las puertas de enlace NAT regionales
Cuando lanza recursos en una nueva zona de disponibilidad, la puerta de enlace NAT regional detecta la presencia de una interfaz de red (ENI) en esa zona de disponibilidad y se expande automáticamente hacia esa zona. De forma similar, la puerta de enlace NAT se contrae en la zona de disponibilidad que no tenga cargas de trabajo activas.
La expansión de la puerta de enlace NAT regional hacia una nueva zona de disponibilidad puede tardar hasta 60 minutos después de que se instancie un recurso en esta. Hasta que se complete esta expansión, el tráfico relevante de este recurso se procesa, con alcance en todas las zonas, por la puerta de enlace NAT regional en una de las zonas de disponibilidad existentes.
Las puertas de enlace NAT regionales admiten dos modos:
-
Modo automático: en este modo, AWS administra automáticamente las direcciones IP y la expansión de zonas de disponibilidad (recomendado). Si desea utilizar sus propias direcciones IP en este modo y usa Amazon VPC IPAM, consulte Definición de la estrategia de asignación de IPv4 pública con las políticas de IPAM en la Guía del usuario de Amazon VPC IPAM.
-
Modo manual: en este modo, administra manualmente las direcciones IP y controla la traducción de direcciones de red para cada zona de disponibilidad. En el modo manual, es responsable de expandir y contraer la puerta de enlace NAT en las zonas de disponibilidad.
Precios
Para obtener información sobre los precios, consulte Precios de Amazon VPC
Creación de una puerta de enlace NAT regional
Uso de la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Puertas de enlace de NAT.
-
Elija Crear una puerta de enlace de NAT.
-
En Modo de disponibilidad, seleccione Regional. No necesita especificar ninguna subred cuando selecciona la disponibilidad regional
-
Elija una VPC.
-
Complete la configuración restante y seleccione Crear puerta de enlace NAT.
Uso de la CLI de AWS
Creación de una puerta de enlace NAT regional
aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional
Ver detalles de la puerta de enlace NAT
aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678
Agregar direcciones IP (modo manual)
aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678
Eliminar direcciones IP
aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678
Eliminar una puerta de enlace NAT regional
aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678
Conversión de puertas de enlace NAT zonales a regionales
importante
Esto restablecerá las conexiones existentes. Se recomienda completar estos pasos durante el periodo de mantenimiento.
Puede convertir puertas de enlace NAT zonales existentes en una puerta de enlace NAT regional mediante uno de los dos enfoques siguientes:
Si está de acuerdo con usar puertas de enlace NAT regionales con nuevas direcciones IP:
-
Crear una nueva puerta de enlace NAT regional
-
Actualizar las tablas de enrutamiento para que apunten a la puerta de enlace NAT regional
-
Eliminar las puertas de enlace NAT zonales antiguas
Este enfoque utiliza nuevas direcciones IP y restablece las conexiones existentes cuando se actualizan las rutas.
Si desea reutilizar direcciones IP existentes con puertas de enlace NAT regionales:
-
Eliminar las puertas de enlace NAT zonales existentes para liberar sus direcciones IP
-
Crear una puerta de enlace NAT regional con las direcciones IP liberadas
-
Actualizar las tablas de enrutamiento para que apunten a la puerta de enlace NAT regional
Este enfoque conserva las direcciones IP, pero requiere un periodo de mantenimiento, ya que el tráfico se interrumpe durante la transición.
