Giới thiệu NAT trong AWS

Network Address Translation (NAT) trong AWS

Như ở phần trước chúng ta tìm hiểu các sử dùng Bastion hosts để truy cập vào EC2 instances nằm trong private subnet. Ở bài học này chúng ta sẽ tìm hiểu làm thế nào để EC2 instances trong private subnet connect ra ngoài internet.

NAT la gi

Khi các resources trong private subnet muốn request ra bên ngoài internet(VD: npm install package), NAT sẽ thay đổi IP private của tài nguyên thành IP của mình và request ra ngoài internet. Khi có response NAT sẽ gửi lại response cho private IP của resource tương ứng. Đó là cách để resources trong private subnet có thể giao tiếp ra bên ngoài internet

NAT instance là gì

NAT instance giống như một nhà vận chuyển request giữa Internet và EC2 instances trong private subnet.

NAT instance

  • Là EC2 instance được launch trong public subnet
  • Phải được attached Elastic IP
  • Route table phải được config để route traffic từ private subnet đến NAT instance
  • AWS cung cấp AMI cho NAT instances, chúng ta có thể sự dụng nó khi launch instance mới
  • NAT instances hiện nay không được sử dụng nhiều nhưng trong exam vẫn xuất hiện các câu hỏi về nó

NAT gateway là gì

NAT gateway dùng để instances trong private subnet có thể connect với services bên ngoài VPC, nhưng ko tạo kết nối giữa instances và services đó Khi tạo mới NAT getway có 2 loại kết nối:

  • Public(default):
    • Có thể connect ra bên ngoài internet
    • Phải allocated Elastic IP
    • Tính tiền theo giờ và bandwidth
    • Cần IGW để ra ngoài internet (Private subnet => NAT GW => IGW)
  • Private:
    • Có thể connect với VPC khác, không thể connect internet. Nếu IGW attach vào private NAT thì connection đó cũng sẽ bị drop
    • Không cần allocated Elastic IP

So sánh NAT instance and NAT getway

  • NAT getway được managed bởi AWS, vì vậy được recommended sử dụng hơn là NAT instance (managed bởi bạn).
  • NAT getway better avaiability và bandwidth cao hơn NAT instance (vì NAT instance còn dựa vào EC2 type)
  • NAT GW trả tiền theo giờ và số lượng data tranfer, còn NAT instance thì trả tiền giống EC2 tùy thuộc vào kiểu máy, network
Bài trước
left Bài trước
left Giới thiệu về Bastion hosts
Bài tiếp theo
Bảo mật trong VPC right
Bài tiếp theo right
Avatar Phan Văn Đức
VIẾT BỞI

Phan Văn Đức