🥇 Network Address Translation (NAT) vs Instance NAT Gateways.

Por default, cualquier instancia que se monte sobre una red privada de VPC no puede comunicarse con el internet a través del IGW. Esto es un problema si las instancias dentro de la red privada necesita acceso a internet dede la VPC cuando requiere por ejemplo aplicar parches de seguridad, descargar software o actualizar una aplicación.

AWS ofrece la posibilidad de utilizar una NAT instancia o un NAT Gateway que permitan a las instancias dentro de una red privada, tener acceso a internet. El Nat Gateway provee mejor disponibilidad y mas alto ancho de banda, y requiere menos esfuerzo en la administración que una NAT instance.

🍿 NAT Instance.

Es una imagen (AMI) de una distribución de linux, que esta diseñada para aceptar tráfico desde instancias dentro de una subred privada, traducir y traducir la fuente de la IP en la red privada a la dirección IP de la instancia NAT en una red publica, redirigiendo el trafico proveniente del IGW. Además mantiene el estado del trafico redireccionado con el objetivo de responder al tráfico desde el internet a la instancia adecuada en la subred privada. Para localizar una AMI con estas características basta buscarlas con el string amzn-ami-vpc-nat como parte de su nombre dentro de la consola.

Para permitir a las instancias dentro de una red privada el poder accesar a los recursos de internet mediante el IGW via una Nat instance es necesario:

  1. Crear un grupo de seguridad para la NAT instance con reglas de salida que especifiquen los puertos de los recurso necesarios de internet y las direcciones IP.

  2. Iniciar una Amazon Linux NAT AMI como instancia en una subred pública y asociarla con el grupo de seguridad NAT.

  3. Deshabilitar el atributo Source/Destination del NAT.

  4. Configurar la table route asociada con la subred privada para dirigir el trafico de internet a una NAT instance.

  5. Asociar una dirección IP elastica con la NAT instance.

Esta configuración permite a las instancias privadas enviar trafico de internet saliente, y evitar trafico entrante solicitado por alguien en el internet.

🍿 NAT Gateway.

Una Nat Gateway es un recurso administrado que permite diseñar y operar de igual manera que una nat instance, pero es mas sencillo de manejar y de muy alta diponibilidad dentro de un AZ.

Para permitir a las instancas de una subred accesar los recursos de un IGW via NAT Gateway, es necesario:

  1. Configurar el route table asociato con la subred privada para dirigir el trafico de entrada de internet a la NAT Gateway (pe nat1a3b3c4d).

  2. Asignar una EIP y asociarla al NAT Gateway.

Asi como las NAT Instances, este servicio manejado permite comunicación de internet saliente y previene a las instancias de recivir el entrante.

Network Access Control Lists (ACLs). Virtual Private Gateways (VPG's), Customer Gateways (CG's) y Virtual Private Networks (VPN's).
comments powered by Disqus