インターネットゲートウェイ
インターネットゲートウェイは、Amazon VPCとインターネット間の論理接続です。物理デバイスではありません。各VPCに関連付けることができるのは1つだけです。インターネット接続の帯域幅を制限しません。(帯域幅の唯一の制限は、Amazon EC2インスタンスのサイズであり、それはすべてのトラフィックに適用されます-VPCの内部およびインターネットへの送信)。
VPCにインターネットゲートウェイがない場合、VPC 内のリソースにインターネットからアクセスできません(企業ネットワークとVPN / Direct Connectを介してトラフィックが流れる場合を除く)。
トラフィックをインターネットゲートウェイに転送するルートテーブルがある場合、サブネットはパブリックサブネットと見なされます。
NATインスタンス
NATインスタンスは、トラフィックをインターネットに転送するように構成されたAmazon EC2インスタンスです。既存のAMIから起動するか、次のようなユーザーデータを使用して設定できます。
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE
/sbin/iptables-save > /etc/sysconfig/iptables
mkdir -p /etc/sysctl.d/
cat <<EOF > /etc/sysctl.d/nat.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0
EOF
インターネットにアクセスするプライベートサブネット内のインスタンスは、ルートテーブル構成を介して、インターネットに向かうトラフィックをNATインスタンスに転送できます。次に、NATインスタンスはインターネットに要求を出し(パブリックサブネットにあるため)、応答はプライベートインスタンスに転送されます。
NATインスタンスに送信されるトラフィックは、通常、NATインスタンス自体に関連付けられていないIPアドレスに送信されます(インターネット上のサーバーに送信されます)。したがって、NATインスタンスの送信元/送信先チェックオプションをオフにすることが重要です。オフにしないと、トラフィックがブロックされます。
NATゲートウェイ
AWS は、NATインスタンスの代わりになることができるNATゲートウェイサービスを導入しました。NATゲートウェイサービスを使用する利点は次のとおりです。
- これは完全に管理されたサービスです-作成するだけで、フェイルオーバーを含めて自動的に機能します
- 最大10 Gbpsでバーストできます(NATインスタンスはEC2インスタンスタイプに関連付けられた帯域幅に制限されます)
しかしながら:
- セキュリティグループを NATゲートウェイに関連付けることはできません
- それらは単一のAZでのみ動作するため、各AZに1つ必要です。