Principes de base d'une passerelle NAT - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Principes de base d'une passerelle NAT

Chaque passerelle NAT est créée dans une zone de disponibilité spécifique et implémentée de manière redondante dans cette zone. Le nombre de passerelles NAT que vous pouvez créer dans chaque zone de disponibilité est régi par un quota. Pour de plus amples informations, veuillez consulter Passerelles.

Si vous avez des ressources dans plusieurs zones de disponibilité et qu'elles partagent une passerelle NAT, si une panne affecte la zone de disponibilité de la passerelle NAT, les ressources des autres zones de disponibilité perdent leur accès à Internet. Pour améliorer la résilience, créez une passerelle NAT dans chaque zone de disponibilité et configurez votre routage pour vous assurer que les ressources utilisent la passerelle NAT dans la même zone de disponibilité.

Les caractéristiques et règles suivantes s'appliquent aux passerelles NAT :

  • Une passerelle NAT prend en charge les protocoles suivants : TCP, UDP et ICMP.

  • Les passerelles NAT sont prises en charge pour le IPv4 IPv6 trafic. Pour IPv6 le trafic, la passerelle NAT fonctionne NAT64. En l'utilisant conjointement avec DNS64 (disponible sur le résolveur Route 53), vos IPv6 charges de travail dans un sous-réseau d'Amazon VPC peuvent communiquer avec les ressources. IPv4 Ces IPv4 services peuvent être présents dans le même VPC (dans un sous-réseau distinct) ou dans un autre VPC, dans votre environnement sur site ou sur Internet.

  • Une passerelle NAT prend en charge jusqu'à 5 Gbit/s de bande passante et augmente automatiquement jusqu'à 100 Gbit/s. Si vous avez besoin de plus de bande passante, vous pouvez diviser vos ressources en plusieurs sous-réseaux et créer une passerelle NAT dans chaque sous-réseau.

  • Une passerelle NAT peut traiter un million de paquets par seconde et augmenter automatiquement jusqu'à dix millions de paquets par seconde. Au-delà de cette limite, une passerelle NAT supprime les paquets. Pour éviter une perte de paquets, fractionnez vos ressources en plusieurs sous-réseaux et créez une passerelle NAT distincte pour chacun d'eux.

  • Chaque IPv4 adresse peut prendre en charge jusqu'à 55 000 connexions simultanées vers chaque destination unique. Une destination unique est identifiée par une combinaison unique d'adresse IP de destination, de port de destination et de protocole (TCP/UDP/ICMP). Vous pouvez augmenter cette limite en associant jusqu'à 8 IPv4 adresses à vos passerelles NAT (1 IPv4 adresse principale et 7 IPv4 adresses secondaires). Par défaut, vous ne pouvez associer que deux adresses IP Elastic à votre passerelle NAT publique. Vous pouvez augmenter cette limite en sollicitant un ajustement de quota. Pour de plus amples informations, veuillez consulter Adresses IP élastiques.

  • Lorsque vous créez une passerelle NAT, vous pouvez sélectionner l' IPv4 adresse privée principale à attribuer à la passerelle NAT. Sinon, nous en sélectionnons une en votre nom dans la plage d' IPv4 adresses du sous-réseau. Vous ne pouvez pas modifier ou supprimer l' IPv4 adresse privée principale. Vous pouvez ajouter des IPv4 adresses privées secondaires selon vos besoins.

  • Vous ne pouvez pas associer de groupe de sécurité à une passerelle NAT. Vous pouvez associer des groupes de sécurité à vos instances afin de contrôler le trafic entrant et sortant.

  • Une interface réseau gérée par le demandeur est créée pour votre passerelle NAT. Vous pouvez consulter cette interface réseau à l'aide de la EC2 console Amazon. Recherchez l’ID de la passerelle NAT dans la description. Vous pouvez ajouter des balises à l’interface réseau, mais vous ne pouvez modifier aucune autre de ses propriétés.

  • Vous pouvez utiliser une ACL réseau pour contrôler le trafic entrant et sortant du sous-réseau pour votre passerelle NAT. Les passerelles NAT utilisent les ports 1024–65535. Pour de plus amples informations, veuillez consulter Réseau ACLs.

  • Vous ne pouvez pas acheminer le trafic vers une passerelle NAT via une connexion d’appairage de VPC. Cependant, le trafic provenant d'une passerelle NAT via le peering VPC vers des destinations en mode pair prend en VPCs charge le comportement de « retour à l'expéditeur » : le trafic de retour est automatiquement redirigé vers la passerelle NAT d'origine même si les routes de retour ne sont pas configurées dans le VPC de destination. Ce comportement est spécifique aux passerelles NAT et ne s'applique pas aux EC2 instances standard. Pour éviter cela, utilisez NACLs pour bloquer le trafic de retour.

    Non pris en charge :

    Client → Peering → NAT → Internet

    Pris en charge :

    Client → NAT → Peering → Destination

  • Vous ne pouvez pas acheminer le trafic vers une passerelle NAT depuis un Site-to-Site VPN ou Direct Connect à l'aide d'une passerelle privée virtuelle. Vous pouvez acheminer le trafic vers une passerelle NAT depuis un Site-to-Site VPN ou Direct Connect si vous utilisez une passerelle de transit au lieu d'une passerelle privée virtuelle.

  • Les passerelles NAT prennent en charge le trafic avec une unité de transmission maximale (MTU) de 8 500, mais il est important de noter ce qui suit :

    • L’unité de transmission maximale (MTU) d’une connexion réseau correspond à la taille, en octets, du paquet le plus volumineux susceptible d’être transmis via la connexion. Plus la MTU d’une connexion est élevée, plus la quantité de données pouvant être transmises dans un seul paquet est importante.

    • Les paquets de plus de 8 500 octets qui parviennent à la passerelle NAT sont supprimés (ou fragmentés, le cas échéant).

    • Pour éviter toute perte de paquets potentielle lors de la communication avec des ressources via Internet via une passerelle NAT publique, le paramètre MTU de vos EC2 instances ne doit pas dépasser 1 500 octets. Pour plus d'informations sur la vérification et le paramétrage de la MTU sur une instance, consultez la section MTU réseau de votre EC2 instance dans le guide de EC2 l'utilisateur Amazon.

    • Les passerelles NAT prennent en charge la découverte de Path MTU (PMTUD) via les paquets FRAG_NEEDED et les ICMPv4 paquets Packet Too Big (PTB). ICMPv6

    • Les passerelles NAT appliquent la taille maximale du segment (MSS) pour tous les paquets. Pour de plus amples informations, veuillez consulter RFC879.