Internet Gateway
Một Internet Gateway là một kết nối logic giữa Amazon VPC và Internet. Đó là không phải thiết bị thực. Chỉ một người có thể được liên kết với mỗi VPC. Nó không không giới hạn băng thông của kết nối Internet. (Hạn chế duy nhất về băng thông là kích thước của cá thể Amazon EC2 và nó áp dụng cho tất cả lưu lượng truy cập - bên trong VPC và ra Internet.)
Nếu một VPC không có một Internet Gateway, sau đó các nguồn lực trong VPC không thể được truy cập từ Internet (trừ khi luồng giao thông qua một mạng công ty và VPN/Direct Connect).
Mạng con được coi là Mạng con công cộng nếu nó có Bảng định tuyến hướng lưu lượng truy cập đến Cổng Internet.
NAT Instance
Một NAT Instance là một ví dụ Amazon EC2 cấu hình để chuyển tiếp lưu lượng Internet. Nó có thể được phóng đi từ một AMI hiện có, hoặc có thể được cấu hình thông qua Dữ liệu người dùng như thế này:
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE
/sbin/iptables-save > /etc/sysconfig/iptables
mkdir -p /etc/sysctl.d/
cat <<EOF > /etc/sysctl.d/nat.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0
EOF
Instances trong một subnet tin rằng muốn truy cập Internet có thể có lưu lượng Internet-bound họ chuyển tới NAT Instance qua cấu hình Bảng lộ trình. NAT Instance sau đó sẽ đưa ra yêu cầu tới Internet (vì nó nằm trong Subnet Public) và phản hồi sẽ được chuyển tiếp trở lại cá thể riêng.
Giao thông được gửi đến một bản sao NAT thường sẽ được gửi đến địa chỉ IP không được liên kết với Bản thân NAT (nó sẽ được dành cho máy chủ trên Internet). Do đó, điều quan trọng là tắt tùy chọn Nguồn/Đích đến trên NAT Instance nếu không lưu lượng truy cập sẽ bị chặn.
NAT Cổng
AWS giới thiệu một NAT Cổng Dịch vụ có thể chiếm chỗ của một NAT thẩm. Những lợi ích của việc sử dụng một dịch vụ NAT Gateway:
- Nó là một dịch vụ hoàn toàn được quản lý - chỉ cần tạo ra nó và nó hoạt động tự động, bao gồm fail-over
- Nó có thể bùng nổ lên đến 10 Gbps (một NAT Ví dụ được giới hạn băng thông kết hợp với loại thể EC2)
Tuy nhiên:
- Security Group không có thể được liên kết với một NAT Cổng
- Bạn sẽ cần một trong mỗi AZ kể từ khi họ chỉ hoạt động trong một đơn AZ
Nguồn
2016-08-01 04:36:27
câu trả lời tốt nhất về NAT vs cổng Internet. – Tagar