Может ли один шлюз NAT охватывать несколько зон доступности?

Question

Может ли один шлюз NAT охватывать несколько зон доступности?

Когда я настраиваю шлюз NAT, мне нужно будет выбрать подсеть, следовательно, насколько я понимаю, один шлюз NAT для одной подсети, которая попадает в одну зону доступности.

Затем я увидел следующее заявление

Если у вас есть ресурсы в нескольких зонах доступности и они используют один шлюз NAT, в случае, если зона доступности шлюза NAT не работает, ресурсы в других зонах доступности теряют доступ в Интернет. Чтобы создать независимую от зоны доступности архитектуру, создайте шлюз NAT. в каждой зоне доступности и настройте маршрутизацию, чтобы ресурсы использовали шлюз NAT в той же зоне доступности.

Если у меня несколько EC2 в разных подсетях, как они используют один шлюз NAT? Я неправильно понял? Ниже приведен снимок экрана, который я вижу, когда пытаюсь создать шлюз NAT.

19

amazon-web-services amazon-vpc nat aws-nat-gateway

Источник

user9816472 30 дек '19 в 07:00

1 ответ

Решение

Другие вопросы по тегам amazon-web-services amazon-vpc nat aws-nat-gateway

user174777 30 дек '19 в 07:29 2019-12-30 07:29 · Accepted Answer · 2019-12-30 07:29

Шлюз NAT подключается к определенной подсети, а подсеть находится в определенной зоне доступности.

Инстансы Amazon EC2 в частных подсетях могут использовать шлюз NAT следующим образом:

Шлюз NAT запускается в публичной подсети в том же VPC.
Таблица маршрута для частной подсети (s) требуется дополнительный элемент, который направляет весь интернет-трафик (оценка0.0.0.0/0) к шлюзу NAT

В зависимости от вашего аппетита к риску вы можете настроить вещи по-другому...

Случай 1. Одна общедоступная подсеть, одна частная подсеть в одной зоне доступности.

Шлюз NAT переходит в публичную подсеть
Экземпляры EC2 переходят в частную подсеть
Таблица маршрутов для частной подсети указывает на шлюз NAT в общедоступной подсети.

Случай 2: две общедоступные подсети, две частные подсети, один шлюз NAT

Шлюз NAT входит в одну публичную подсеть (Public-Subnet-A)
Инстансы EC2 запускаются в частных подсетях в двух зонах доступности (Private-Subnet-A, Private-Subnet-B)
Таблица маршрутов для обеих частных подсетей указывает на шлюз NAT.

Однако в случае сбоя в зоне доступности A (редко, но может случиться) шлюз NAT недоступен из Private-Subnet-B. Таким образом, система может быть затронута, даже если она работает в двух зонах доступности.

Случай 3: две общедоступные подсети, две частные подсети, два шлюза NAT

Шлюз NAT входит в обе общедоступные подсети (Public-Subnet-A, Public-Subnet-B)
Инстансы EC2 запускаются в частных подсетях в двух зонах доступности (Private-Subnet-A, Private-Subnet-B)
Таблица маршрутов Private-Subnet-A указывает на шлюз NAT в Public-Subnet-A
Таблица маршрутов Private-Subnet-B указывает на шлюз NAT в Public-Subnet-B

Если одна из зон доступности выйдет из строя, то экземпляры EC2 в оставшейся частной подсети по-прежнему смогут связываться с Интернетом, поскольку у них есть собственный шлюз NAT в той же зоне доступности.