多AZ/子网弹性豆杆环境中NAT / Internet网关的HA

Question

我有一个关于NAT网关和与弹性豆杆相关的互联网网关的问题。我的配置如下：

• 不同AZ中的3个公共子网
• 一个带有3个公共子网和一个因特网网关的路由表
• 不同AZ中的3个私有子网
• 一个带有3个私有子网的路由表(尚未)
• 在每个AZ中配置了3个子网，为每个AZ配置了3个私有子网

现在，如果我为这3个私有子网创建一个NAT网关，这意味着我需要在不同的AZ和3个不同的弹性IP中为每个子网创建一个？我想我错过了一些东西，但我看不到它，除非这种配置是合理的。

Answer 1

TL；博士

这是你的选择。从技术上讲，一个NAT实例可以为一个VPC中的所有私有子网服务。

稍长一点的：

首先，我们区分NAT实例(配置为NAT GW的EC2实例，由最终用户管理)和NAT网关(由AWS管理的NAT实例)。

如果是NAT实例，那么实现它的人需要更多地了解如何实现NAT。对这个Q的回答是不够的。

如果是NAT GW，那么AWS说“每个NAT网关都是在一个特定的可用性区域中创建的，并在该区域中使用冗余实现”。我将其解释为:只要整个AZ不关闭，AWS就保证NATGW的HA (可能是服务中断或降级)。

从技术上讲，只要所有3个私有子网的rout表都提供到NATGW的路由(我猜这是隐式的，但安全组/acl被配置为允许使用该路由)，那么在任何一个公共子网中，您都应该很好地使用单个NAT GW。当然，由于这个配置，您需要支付AZs之间的带宽使用。

但很明显，如果AZ崩溃，这是不能容忍的。

如果您不希望您的所有私有子网在NAT GW下降时失去Internet连接，那么您需要更多的NAT GWs。决定是否有一个以上，如果是，那么多少是个案，我猜。

如果您有2个NAT GWs，那么要发生故障转移，您需要设置监视和故障转移，以确保如果AZ崩溃，所有私有子网(由NAT GW在该AZ中服务)开始向其他NAT GW发送通信量。很好的解释。这是一个有点工作AFAIK。

最后，EIP与NAT GW的关系是一对一的.所以是的，您必须为您创建的每个NAT GW创建一个EIP。