Passerelle Internet
Une passerelle Internet est une connexion logique entre un Amazon VPC et Internet . Ce n'est pas un appareil physique. Un seul peut être associé à chaque VPC. Il ne limite pas la bande passante de la connectivité Internet. (La seule limitation de la bande passante est la taille de l'instance Amazon EC2, et elle s'applique à tout le trafic - interne au VPC et sortant vers Internet.)
Si un VPC ne possède pas de passerelle Internet, les ressources du VPC ne sont pas accessibles depuis Internet (sauf si le trafic circule via un réseau d'entreprise et VPN / Direct Connect).
Un sous-réseau est considéré comme un sous - réseau public s'il possède une table de routage qui dirige le trafic vers la passerelle Internet.
Instance NAT
Une instance NAT est une instance Amazon EC2 configurée pour transférer le trafic vers Internet. Il peut être lancé à partir d'une AMI existante, ou peut être configuré via les données utilisateur comme ceci:
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE
/sbin/iptables-save > /etc/sysconfig/iptables
mkdir -p /etc/sysctl.d/
cat <<EOF > /etc/sysctl.d/nat.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0
EOF
Les instances d'un sous-réseau privé qui souhaitent accéder à Internet peuvent voir leur trafic lié à Internet transmis à l'instance NAT via une configuration de table de routage. L'instance NAT fera ensuite la demande à Internet (car elle se trouve dans un sous-réseau public) et la réponse sera retransmise à l'instance privée.
Le trafic envoyé à une instance NAT sera généralement envoyé à une adresse IP qui n'est pas associée à l'instance NAT elle-même (il sera destiné à un serveur sur Internet). Par conséquent, il est important de désactiver l' option de vérification de la source / destination sur l'instance NAT, sinon le trafic sera bloqué.
Passerelle NAT
AWS a introduit un service de passerelle NAT qui peut remplacer une instance NAT. Les avantages de l'utilisation d'un service NAT Gateway sont les suivants:
- Il s'agit d'un service entièrement géré - il suffit de le créer et il fonctionne automatiquement, y compris le basculement
- Il peut exploser jusqu'à 10 Gbit / s (une instance NAT est limitée à la bande passante associée au type d'instance EC2)
Toutefois:
- Les groupes de sécurité ne peuvent pas être associés à une passerelle NAT
- Vous aurez besoin d'un dans chaque AZ car ils ne fonctionnent que dans un seul AZ