Passerelle Internet
Une passerelle Internet est une connexion logique entre un Amazon VPC et Internet . Ce n'est pas un appareil physique. Un seul peut être associé à chaque VPC. Il ne limite pas la bande passante de la connectivité Internet. (La seule limitation de la bande passante est la taille de l'instance Amazon EC2, et elle s'applique à tout le trafic - interne au VPC et sortant vers Internet.)
Si un VPC ne possède pas de passerelle Internet, les ressources du VPC ne sont pas accessibles depuis Internet (sauf si le trafic circule via un réseau d'entreprise et VPN / Direct Connect).
Un sous-réseau est considéré comme un sous - réseau public s'il possède une table de routage qui dirige le trafic vers la passerelle Internet.
Instance NAT
Une instance NAT est une instance Amazon EC2 configurée pour transférer le trafic vers Internet. Il peut être lancé à partir d'une AMI existante, ou peut être configuré via les données utilisateur comme ceci:
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE
/sbin/iptables-save > /etc/sysconfig/iptables
mkdir -p /etc/sysctl.d/
cat <<EOF > /etc/sysctl.d/nat.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0
EOF
Les instances d'un sous-réseau privé qui souhaitent accéder à Internet peuvent voir leur trafic lié à Internet transmis à l'instance NAT via une configuration de table de routage. L'instance NAT fera ensuite la demande à Internet (car elle se trouve dans un sous-réseau public) et la réponse sera retransmise à l'instance privée.
Le trafic envoyé à une instance NAT sera généralement envoyé à une adresse IP qui n'est pas associée à l'instance NAT elle-même (il sera destiné à un serveur sur Internet). Par conséquent, il est important de désactiver l' option de vérification de la source / destination sur l'instance NAT, sinon le trafic sera bloqué.
Passerelle NAT
AWS a introduit un service de passerelle NAT qui peut remplacer une instance NAT. Les avantages de l'utilisation d'un service NAT Gateway sont les suivants:
- Il s'agit d'un service entièrement géré - il suffit de le créer et il fonctionne automatiquement, y compris le basculement
- Il peut exploser jusqu'à 10 Gbit / s (une instance NAT est limitée à la bande passante associée au type d'instance EC2)
Toutefois:
- Les groupes de sécurité ne peuvent pas être associés à une passerelle NAT
- Vous aurez besoin d'un dans chaque AZ car ils ne fonctionnent que dans un seul AZ
John Rotenstein
la source
An internet gateway is a horizontally scaled, redundant, and highly available VPC component that allows communication between instances in your VPC and the internet. It therefore imposes no availability risks or bandwidth constraints on your network traffic.
. D'après la description, j'ai l'impression qu'il s'agit d'un périphérique matériel réel, mais géré par AWS. Veuillez me corriger si ma compréhension est mauvaise.En ce qui concerne la passerelle NAT contre l'instance NAT, l'une ou l'autre fonctionnera. Une instance NAT peut être un peu moins chère, mais la passerelle NAT est entièrement gérée par AWS, elle a donc l'avantage de ne pas avoir besoin de maintenir une instance EC2 uniquement pour le NATing.
Cependant, pour les instances qui doivent être disponibles sur Internet, les passerelles / instances NAT ne sont pas ce que vous recherchez. Un NAT permettra aux instances privées (sans IP publique) d'accéder à Internet, mais pas l'inverse. Ainsi, pour les instances EC2 qui doivent être disponibles sur Internet, vous devez attribuer une adresse IP publique. Il existe une solution de contournement si vous devez vraiment garder les instances EC2 privées - vous pouvez utiliser un équilibreur de charge élastique pour proxy les demandes.
Passerelles Internet
La passerelle Internet est la façon dont votre VPC se connecte à Internet. Vous utilisez une passerelle Internet avec une table de routage pour indiquer au VPC comment le trafic Internet parvient à Internet.
Une passerelle Internet apparaît dans le VPC comme un simple nom. Amazon gère la passerelle et vous n'avez rien à dire (à part l'utiliser ou non; rappelez-vous que vous voudrez peut-être un sous-réseau complètement segmenté qui ne peut pas du tout accéder à Internet).
Un sous-réseau public signifie un sous-réseau dont le trafic Internet est acheminé via la passerelle Internet d'AWS. Toute instance d'un sous-réseau public peut se voir attribuer une adresse IP publique (par exemple, une instance EC2 avec "adresse IP publique associée" activée).
Un sous-réseau privé signifie que les instances ne sont pas accessibles au public depuis Internet. Ils n'ont PAS d'adresse IP publique. Par exemple, vous ne pouvez pas y accéder directement via SSH. Cependant, les instances sur des sous-réseaux privés peuvent toujours accéder à Internet elles-mêmes (par exemple en utilisant une passerelle NAT).
la source
La passerelle Internet est utilisée pour connecter un vpc à Internet et la passerelle NAT est utilisée pour connecter le sous-réseau privé à Internet (ce qui signifie quel que soit le trafic provenant de l'instance de sous-réseau privé qui sera transmis à la passerelle NAT). vous devez transférer le trafic de la table de routage vers NAT
Table de routage 0.0.0.0/0
la source