Descripción general del gateway de NAT privado
Gateway de NAT privados
Los gateway de NAT privados proporcionan servicios de traducción de direcciones privadas para ECS y BMS en una VPC. Puede configurar las reglas de SNAT y DNAT para traducir las direcciones IP de origen y destino en direcciones IP de tránsito, de modo que los servidores de la VPC puedan comunicarse con otras VPC o centros de datos locales.
En especial:
- SNAT permite que varios servidores de AZ en una VPC compartan una dirección IP de tránsito para acceder a centros de datos locales u otras VPC.
- DNAT permite que los servidores que comparten la misma dirección IP de tránsito en una VPC proporcionen servicios accesibles desde centros de datos locales u otras VPC.
Transit Subnet (Subred de tránsito)
Una subred de tránsito funciona como una red de tránsito. Puede configurar una dirección IP de tránsito para la subred de tránsito para que los servidores de una VPC local puedan compartir la dirección IP de tránsito para acceder a centros de datos locales u otras VPC.
Transit VPC (VPC de tránsito)
La VPC de tránsito es la VPC de la que forma parte la subred de tránsito.
Figura 1 muestra dos formas en que se puede implementar un gateway de NAT privado.
- Comunicaciones entre VPC con bloques CIDR superpuestos
Normalmente, las VPC con bloques CIDR superpuestos no pueden comunicarse entre sí. Pero con los gateway de NAT privados, puede configurar reglas SNAT y DNAT para traducir las direcciones IP privadas en las VPC para transitar direcciones IP y establecer comunicaciones entre VPC.
- Usar una dirección IP específica para acceder a una red privada remota
Un gateway de NAT privado le permite usar una dirección IP específica para acceder a un centro de datos local o a una VPC en una red privada remota. El centro de datos local se conecta a la VPC de tránsito a través de Direct Connect o VPN. La VPC está conectada a la VPC de tránsito a través de una conexión de emparejamiento de VPC. En la figura, la VPC 1 utiliza un gateway de NAT privado para acceder a la red privada remota. Para hacer esto, las reglas SNAT deben configurarse para traducir la dirección IP privada en la VPC 1 en direcciones IP específicas que pueden comunicarse con la red privada, a la izquierda.
- Los gateway de NAT privados son gratis por tiempo limitado en las siguientes regiones: CN East-Shanghai2, CN Southwest-Guiyang1, CN-Hong Kong, LA-Sao Paulo1, AF-Johannesburg, and LA-Mexico City2.
- Los gateway de NAT privados se facturan en las siguientes regiones: CN South-Guangzhou, CN East-Shanghai1, CN North-Beijing4, AP-Bangkok y AP-Singapore.
Ventajas
- Planificación de red más fácil
Después de migrar algunas de sus cargas de trabajo desde los centros de datos locales a la nube, una empresa puede querer conservar sus comunicaciones de red internas sin cambios. Los gateway de NAT privados pueden traducir las direcciones IP de sus servidores en la nube a direcciones IP de tránsito en la VPC de tránsito. De esta manera, los servidores pueden comunicarse con centros de datos locales u otras VPC. La empresa no tiene que reconstruir ninguno de sus servicios y la planificación de la red es mucho más simple.
- Cero conflictos de IP
Dos gateway de NAT privados pueden traducir direcciones IP de dos VPC con un bloque CIDR superpuesto a dos direcciones IP de tránsito, de modo que los servidores en las dos VPC pueden usar las direcciones IP de tránsito para comunicarse entre sí.
- Seguridad fuerte
Un gateway de NAT privado puede asignar direcciones IP privadas a direcciones IP especificadas por los requisitos de seguridad de la empresa. De esta manera, las empresas pueden elegir qué direcciones IP se utilizan para acceder a diferentes agencias, lo que puede mejorar la seguridad.
Escenarios
- Conexión de VPC con bloques CIDR superpuestos
Puede configurar dos gateway de NAT privados para dos VPC con bloques CIDR superpuestos y, a continuación, agregar reglas SNAT y DNAT en los dos gateway de NAT privados para permitir que los servidores en las dos VPC usen las direcciones IP de tránsito para comunicarse entre sí.
En la siguiente figura, hay dos VPCs de tránsito y dos gateway de NAT privados. La dirección 192.168.0.1 en la VPC A se traduce a 10.0.0.11, y la dirección IP 192.168.0.1 en la VPC B se traduce a 10.0.0.22. Entonces se puede establecer un interconexión de VPC entre las dos VPC de tránsito para permitir la comunicación entre ellas.
Figura 2 Conexión de VPC con bloques CIDR superpuestos
- Migrar cargas de trabajo a la nube sin cambiar la topología de la red ni acceder a las agencias reguladoras desde direcciones IP específicas
Es posible que las organizaciones quieran migrar sus cargas de trabajo a la nube sin realizar ningún cambio en su topología de red existente. También pueden tener que acceder a las agencias reguladoras desde direcciones IP específicas según lo requieran estas agencias. Un gateway de NAT privado es una buena opción.
La siguiente figura representa una red de empresa donde las subredes de diferentes departamentos se superponen. Un gateway de NAT privado permite a la empresa mantener la topología de red existente sin cambios mientras migra sus cargas de trabajo a la nube. En este ejemplo, el gateway de NAT privado asigna la dirección IP de cada departamento a 10.0.0.33 para que cada departamento pueda usar 10.0.0.33 para acceder de forma segura a la delegación reguladora.
Figura 3 Migrar cargas de trabajo a la nube sin cambiar la topología de la red ni acceder a las agencias reguladoras desde direcciones IP específicas
Diferencias entre los gateway de NAT públicos y privados
Los gateway de NAT públicos usan reglas de SNAT para asignar direcciones IP privadas a EIP, de modo que los servidores de una VPC puedan compartir una EIP para acceder a Internet. Las reglas de la DNAT permiten a los servidores compartir una EIP para proporcionar servicios accesibles desde Internet.
Los gateway de NAT privados usan reglas SNAT para asignar direcciones IP privadas a direcciones IP de tránsito, de modo que los servidores de una VPC puedan acceder a centros de datos locales u otras VPC. Las reglas de DNAT permiten a los servidores compartir la dirección IP de tránsito para proporcionar servicios accesibles desde la red privada.
Tabla 1 describe las diferencias entre los gateway de NAT públicos y privados.
Concepto |
Gateway de NAT público |
Gateway de NAT privado |
---|---|---|
Function |
Conecta una red privada a Internet |
Conecta la red privada entre sí |
SNAT |
Permite el acceso a Internet |
Permite el acceso a centros de datos locales u otras VPCs |
DNAT |
Permite que los servidores proporcionen servicios accesibles desde Internet |
Permite que los servidores proporcionen servicios accesibles desde centros de datos locales u otras VPCs en las redes privadas |
Communications media |
EIP |
Dirección IP de tránsito |