passerelle Internet
Une passerelle Internet est un connexion logique entre une Amazone VPC et Internet. C'est pas un périphérique physique. Un seul peut être associé à chaque VPC. Il ne pas limiter la bande passante de la connectivité Internet. (La seule limitation de la bande passante est la taille de l'instance Amazon EC2 et s'applique à tout le trafic interne au VPC et à Internet.)
Si un VPC ne avoir une passerelle Internet, puis les ressources du VPC ne peuvent pas être accessibles à partir de l'Internet (à moins que le flux de trafic via un réseau d'entreprise et VPN/Direct Connect).
Un sous-réseau est considéré comme sous-réseau public s'il possède une table de routage qui dirige le trafic vers la passerelle Internet.
NAT Instance
Un NAT instance est une instance Amazon EC2 configuré pour transférer le trafic sur Internet. Il peut être lancé à partir d'un AMI existant, ou peut être configuré via des données utilisateur comme ceci:
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE
/sbin/iptables-save > /etc/sysconfig/iptables
mkdir -p /etc/sysctl.d/
cat <<EOF > /etc/sysctl.d/nat.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0
EOF
instances dans un sous-réseau privé qui veulent accéder à Internet peuvent avoir leur trafic lié Internet transmis au NAT instance via une configuration de table de routage. L'instance NAT effectuera ensuite la requête sur Internet (puisqu'elle se trouve dans un sous-réseau public) et la réponse sera renvoyée à l'instance privée.
Le trafic envoyé à une instance NAT sera généralement envoyé à une adresse IP qui n'est pas associée à l'instance NAT elle-même (elle sera destinée à un serveur sur Internet). Par conséquent, il est important de désactiver l'option Source/Destination Check sur l'instance NAT sinon le trafic sera bloqué.
passerelle NAT
AWS a introduit une NAT Gateway Service qui peut prendre la place d'une instance NAT. Les avantages de l'utilisation d'un service de passerelle NAT sont:
- Il est un service entièrement géré - il suffit de créer et il fonctionne automatiquement, y compris fail-over
- Il peut éclater jusqu'à 10 Gbps (NAT instance est limitée à la bande passante associée au type d'instance EC2)
Cependant:
- Groupes de sécurité ne peut pas être associé à un NAT Passerelle
- Vous aurez besoin d'un dans chaque AZ, car ils ne fonctionnent que dans un seul AZ
Meilleure réponse en termes de NAT vs passerelle Internet. – Tagar