Cenários

Se os servidores de uma VPC precisarem acessar a Internet, você poderá configurar regras de SNAT para permitir que esses servidores usem um ou mais EIPs para acessar a Internet sem expor seus endereços IP privados. Você pode configurar apenas uma regra de SNAT para cada sub-rede em uma VPC e selecionar um ou mais EIPs para cada regra de SNAT. O NAT Gateway público fornece diferentes números de conexões e você pode criar várias regras de SNAT para atender aos requisitos de serviço.

Figura 1 mostra como os servidores em uma VPC acessam a Internet usando o SNAT.

Figura 1 Usar o SNAT para permitir que os servidores em uma VPC acessem a Internet

As regras do DNAT permitem que os servidores em uma VPC forneçam serviços acessíveis pela Internet.

Depois de receber solicitações de uma porta específica sobre um protocolo específico, o gateway NAT público pode encaminhar as solicitações para uma porta específica de um servidor através do mapeamento de portas. O gateway NAT público também pode encaminhar todas as solicitações destinadas a um EIP para um servidor específico por meio do mapeamento de endereços IP.

Uma regra de DNAT pode ser configurada para cada servidor. Se houver vários servidores, você poderá criar várias regras de DNAT para mapear um ou mais EIPs para os endereços IP privados desses servidores.

Figura 2 mostra como os servidores (ECSs ou BMSs) em uma VPC fornecem serviços acessíveis da Internet usando o DNAT.

Figura 2 Usar o DNAT para permitir que os servidores em uma VPC forneçam serviços acessíveis pela Internet

Em certos cenários de Internet, jogos, comércio eletrônico e financeiros, um grande número de servidores em uma nuvem privada está conectado a uma VPC por meio do Direct Connect ou VPN. Se esses servidores precisarem de acesso seguro e de alta velocidade à Internet ou precisarem fornecer serviços acessíveis pela Internet, você poderá implantar um gateway NAT e configurar regras de SNAT e de DNAT para atender aos requisitos deles.

Figura 3 mostra como usar SNAT e DNAT para fornecer acesso à Internet de alta velocidade ou fornecer serviços acessíveis a partir da Internet.

Figura 3 Usar SNAT e DNAT para permitir a comunicação de alta velocidade com a Internet

EIPs podem ser atacados. Para melhorar a confiabilidade do sistema, você pode vincular vários EIPs a uma regra de SNAT para que, se um EIP for atacado, outro EIP possa ser usado para garantir a continuidade do serviço.

Cada regra de SNAT pode ter até 20 EIPs. Se uma regra de SNAT tiver vários EIPs, o sistema selecionará aleatoriamente um EIP para os servidores usarem para acessar a Internet.

Se algum EIP for bloqueado ou atacado, remova-o manualmente do pool de EIP.

Figura 4 mostra um sistema altamente disponível usando uma regra de SNAT de um gateway NAT público.

Figura 4 Usar a regra de SNAT de um gateway NAT público para criar um sistema altamente disponível

Se um único gateway NAT não puder atender aos requisitos de desempenho, por exemplo, se houver mais de um milhão de conexões de SNAT ou se a largura de banda máxima de 20 Gbit/s não puder atender aos requisitos de serviço, você poderá usar vários gateways NAT juntos.

Para usar vários gateways NAT juntos, é necessário associar as tabelas de rotas das sub-redes VPC a esses gateways NAT públicos.

Figura 5 mostra como vários gateways NAT públicos são usados para superar o gargalo de desempenho.

Figura 5 Usar vários gateways NAT públicos juntos

• O sistema não adiciona uma rota padrão para um gateway NAT público. Você precisa adicionar uma rota apontando para o gateway NAT público à tabela de rotas correspondente.
• Cada gateway NAT público tem uma tabela de rotas associada. O número de gateways NAT públicos que podem ser criados em uma VPC é determinado pelo número de tabelas de rotas para a VPC.

Você pode configurar dois gateways NAT privados para duas VPCs com blocos CIDR sobrepostos, e, em seguida, adicione regras de SNAT e de DNAT nos dois gateways NAT privados para permitir que os servidores nas duas VPCs usem os endereços IP de trânsito para se comunicarem entre si.

Na figura a seguir, há duas VPCs de trânsito e dois gateways NAT privados. O endereço 192.168.0.1 na VPC A é convertido para 10.0.0.11 e o endereço IP 192.168.0.1 na VPC B é convertido para 10.0.0.22. Uma conexão de emparelhamento de VPC pode ser estabelecida entre as duas VPCs de trânsito para permitir a comunicação entre elas.

Figura 6 Connecting VPCs with overlapping CIDR blocks

As organizações podem querer migrar suas cargas de trabalho para a nuvem sem fazer alterações na topologia de rede existente. Eles também podem ter que acessar agências reguladoras a partir de endereços IP específicos, conforme exigido por essas agências. Um gateway NAT privado é uma boa escolha.

A figura a seguir representa uma rede corporativa onde as sub-redes de diferentes departamentos se sobrepõem. Um gateway NAT privado permite que a empresa mantenha a topologia de rede existente inalterada enquanto migra suas cargas de trabalho para a nuvem. Neste exemplo, o gateway NAT privado mapeia o endereço IP de cada departamento para 10.0.0.33 para que cada departamento possa usar 10.0.0.33 para acessar com segurança a agência reguladora.

Figura 7 Migrating workloads to the cloud without changing the network topology or accessing regulatory agencies from specific IP addresses