AWS VPC - Cổng Internet so với NAT

Question

Cổng Internet là gì? NAT Instance là gì? Họ cung cấp những dịch vụ gì?

Đọc tài liệu AWS VPC, tôi thu thập cả hai ánh xạ địa chỉ IP riêng tư vào địa chỉ có thể định tuyến internet cho các yêu cầu gửi đi và định tuyến các phản hồi từ internet đến người yêu cầu trên mạng con.

Vậy sự khác nhau giữa chúng là gì? Tôi sử dụng một trường hợp NAT nào thay vì (hoặc bên cạnh) một Cổng Internet? Về cơ bản chúng là các cá thể EC2 chạy một số ứng dụng mạng hay chúng là phần cứng đặc biệt như một bộ định tuyến? Thay vì chỉ đơn giản là trỏ đến liên kết tài liệu AWS, bạn có thể giải thích điều này bằng cách thêm một số nền tảng cho mạng con công cộng và riêng tư để bất kỳ người mới bắt đầu nào có kiến ​​thức hạn chế về mạng có thể hiểu chúng dễ dàng không? Không. Ngoài ra khi nào tôi nên sử dụng NAT Gateway thay vì một cá thể NAT?

P.S. Tôi mới làm quen với AWS VPC, vì vậy tôi có thể so sánh táo với cam ở đây.

Answer 1

Internet Gateway

Một Internet Gateway là một kết nối logic giữa Amazon VPC và Internet. Đó là không phải thiết bị thực. Chỉ một người có thể được liên kết với mỗi VPC. Nó không không giới hạn băng thông của kết nối Internet. (Hạn chế duy nhất về băng thông là kích thước của cá thể Amazon EC2 và nó áp dụng cho tất cả lưu lượng truy cập - bên trong VPC và ra Internet.)

Nếu một VPC không có một Internet Gateway, sau đó các nguồn lực trong VPC không thể được truy cập từ Internet (trừ khi luồng giao thông qua một mạng công ty và VPN/Direct Connect).

Mạng con được coi là Mạng con công cộng nếu nó có Bảng định tuyến hướng lưu lượng truy cập đến Cổng Internet.

NAT Instance

Một NAT Instance là một ví dụ Amazon EC2 cấu hình để chuyển tiếp lưu lượng Internet. Nó có thể được phóng đi từ một AMI hiện có, hoặc có thể được cấu hình thông qua Dữ liệu người dùng như thế này:

#!/bin/sh 
echo 1 > /proc/sys/net/ipv4/ip_forward 
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects 
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE 
/sbin/iptables-save > /etc/sysconfig/iptables 
mkdir -p /etc/sysctl.d/ 
cat <<EOF > /etc/sysctl.d/nat.conf 
net.ipv4.ip_forward = 1 
net.ipv4.conf.eth0.send_redirects = 0 
EOF 

Instances trong một subnet tin rằng muốn truy cập Internet có thể có lưu lượng Internet-bound họ chuyển tới NAT Instance qua cấu hình Bảng lộ trình. NAT Instance sau đó sẽ đưa ra yêu cầu tới Internet (vì nó nằm trong Subnet Public) và phản hồi sẽ được chuyển tiếp trở lại cá thể riêng.

Giao thông được gửi đến một bản sao NAT thường sẽ được gửi đến địa chỉ IP không được liên kết với Bản thân NAT (nó sẽ được dành cho máy chủ trên Internet). Do đó, điều quan trọng là tắt tùy chọn Nguồn/Đích đến trên NAT Instance nếu không lưu lượng truy cập sẽ bị chặn.

NAT Cổng

AWS giới thiệu một NAT Cổng Dịch vụ có thể chiếm chỗ của một NAT thẩm. Những lợi ích của việc sử dụng một dịch vụ NAT Gateway:

• Nó là một dịch vụ hoàn toàn được quản lý - chỉ cần tạo ra nó và nó hoạt động tự động, bao gồm fail-over
• Nó có thể bùng nổ lên đến 10 Gbps (một NAT Ví dụ được giới hạn băng thông kết hợp với loại thể EC2)

Tuy nhiên:

• Security Group không có thể được liên kết với một NAT Cổng
• Bạn sẽ cần một trong mỗi AZ kể từ khi họ chỉ hoạt động trong một đơn AZ

Answer 2

Theo như NAT gateway so với NAT instance, hoặc sẽ hoạt động. Một cá thể NAT có thể rẻ hơn một chút, nhưng cổng NAT được quản lý hoàn toàn bởi AWS, vì vậy nó có lợi thế là không cần duy trì một cá thể EC2 chỉ cho NATing.

Tuy nhiên, đối với các trường hợp cần phải có sẵn trên Internet, cổng/trường hợp NAT không phải là những gì bạn đang tìm kiếm. Một NAT sẽ cho phép các cá thể riêng (không có IP công cộng) truy cập Internet, nhưng không cho phép theo cách khác. Vì vậy, đối với các trường hợp EC2 cần phải có sẵn trên Internet, bạn cần gán một IP công cộng. Có một giải pháp thay thế nếu bạn thực sự cần giữ riêng các cá thể EC2 - bạn có thể sử dụng bộ cân bằng tải đàn hồi để ủy quyền các yêu cầu.

Cổng Internet

Cổng Internet là cách VPC kết nối với internet. Bạn sử dụng Cổng Internet với bảng định tuyến để báo cho VPC biết lưu lượng truy cập internet vào internet như thế nào.

Cổng Internet xuất hiện trong VPC như một tên. Amazon quản lý cổng và không có gì bạn thực sự có một tiếng nói trong (khác hơn là sử dụng nó hay không; hãy nhớ rằng bạn có thể muốn một subnet phân đoạn hoàn toàn mà không thể truy cập internet ở tất cả).

Mạng con công cộng có nghĩa là mạng con có lưu lượng truy cập internet được định tuyến qua Cổng Internet của AWS. Bất kỳ cá thể nào trong mạng con công cộng đều có thể có một IP công cộng được gán cho nó (ví dụ: một cá thể EC2 có "địa chỉ IP công cộng liên kết" được bật).

Mạng con riêng tư nghĩa là các trường hợp không thể truy cập công khai từ internet. Họ KHÔNG có địa chỉ IP công cộng. Ví dụ, bạn không thể truy cập chúng trực tiếp thông qua SSH. Ví dụ, các mạng con riêng tư vẫn có thể truy cập internet (tức là bằng cách sử dụng NAT Gateway).

Answer 3

cổng Internet được sử dụng để kết nối một vpc với internet và NAT cổng được sử dụng để kết nối các mạng con tin đến internet (có nghĩa là lưu lượng truy cập đến trường hợp subnet riêng sẽ chuyển tiếp tới cổng NAT). bạn cần để chuyển tiếp lưu lượng trong bảng định tuyến để NAT

bảng Route 0.0.0.0/0