[新产品/新功能] 推出 Amazon VPC 区域级 NAT 网关

**发布时间:** 2025-11-20 **厂商:** AWS **类型:** BLOG **原始链接:** https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-amazon-vpc-regional-nat-gateway/ ---  [新产品/新功能] 推出 Amazon VPC 区域级 NAT 网关   # 产品功能分析 ## 新功能/新产品概述 Amazon VPC Regional NAT Gateway (RNAT) 是 **AWS NAT Gateway** 服务的一种全新区域性可用模式。其核心目标是简化多可用区（AZ）架构下的网络出口管理，通过在 **VPC** 级别部署单一网关资源，替代传统上需要在每个AZ单独部署NAT网关的模式，从而显著降低运维复杂性并提升安全态势。它的工作原理是：用户在VPC内创建一个RNAT实例，该实例会自动监测各AZ中是否存在需要外网访问的工作负载（通过 **弹性网络接口ENI** 的存在来判断）。一旦检测到，RNAT会自动在该AZ内部署一个实例并分配IP地址，确保流量优先通过同一AZ的网关出口，这种机制被称为 **zonal affinity**（区域亲和性），旨在最小化跨AZ流量带来的延迟和成本。由于RNAT的部署不依赖于用户创建的公共子网，它从架构上隔离了私有资源与公网的直接接触。该产品主要面向在AWS上构建高可用、多AZ应用的客户，特别是那些对网络安全有严格要求（希望消除公共子网）以及寻求简化网络架构、降低运维成本的企业。 ## 关键客户价值 - **简化架构与运维** - 业务价值：用户无需再为每个可用区（AZ）单独创建和管理 **NAT Gateway**、公共子网以及相应的路由表。一个区域性NAT网关（RNAT）即可服务整个 **VPC**，极大地降低了配置复杂性和日常管理负担。 - 差异化优势：相较于传统模式下每次扩展到新AZ都需要重复创建一套网络资源的繁琐操作，RNAT通过自动化扩展，将此过程变为隐式后台操作，显著提升了架构的弹性和部署敏捷性。 - **提升安全态势** - 业务价值：由于RNAT不要求在VPC中配置公共子网，它从根本上消除了因配置失误而将敏感工作负载意外部署到公网的风险。 - 实现机制：RNAT直接与 **VPC** 关联，并通过AWS管理的内部路由机制与 **Internet Gateway (IGW)** 通信，其部署过程完全脱离了用户可见的子网层面，增强了私有环境的隔离性。 - **内置高可用性与弹性** - 业务价值：自动防范 **端口耗尽** 风险。当单个AZ中的并发连接数接近阈值时，RNAT会自动分配新的 **弹性IP (EIP)** 地址，整个过程无需人工干预，保障了业务连续性。 - 实现机制：每个分配的EIP支持高达 *55,000* 个到唯一目标的并发连接。RNAT可在每个AZ中最多扩展至 *32* 个IP地址，为高流量工作负载提供了强大的连接扩展能力。 - **可预测的IP地址治理** - 业务价值：通过与 **VPC IP地址管理器 (IPAM)** 的集成，RNAT可以从企业预先规划和审批的IP地址池中自动获取公网IP。 - 实现机制：利用 **IPAM** 策略，企业可以对出口IP进行统一的分配、跟踪和审计，确保IP地址的使用符合内部安全与合规策略，特别适用于需要将IP地址加入合作伙伴防火墙白名单的场景。 ## 关键技术洞察 - **VPC级关联与动态扩展机制** - 技术独特性：RNAT的服务范围从子网级别提升至 **VPC** 级别。它通过持续监控各AZ中 **弹性网络接口 (ENI)** 的存在来触发自身的动态、按需扩展。 - 工作原理：当在一个新的AZ中检测到工作负载（ENI）时，服务会自动在该AZ内部署一个本地的RNAT实例并分配IP。这一设计确保了区域内流量亲和性，但也存在一个 *15至60分钟* 的扩展延迟。在此延迟窗口期内，新AZ的流量会被随机路由到其他已激活的AZ，可能产生额外的跨AZ数据传输费用。 - **内置智能扩缩容算法** - 技术独特性：为应对端口压力，RNAT采用了一种 _激进扩展、保守收缩_ 的IP地址管理策略。 - 工作原理：当到同一目标的并发连接数超过约 *40,000* 时，RNAT会启动IP地址扩展流程（约需5分钟完成）；而只有当连接数持续约1小时低于 *20,000* 时，服务才会触发IP地址的缩容回收。这种非对称的算法设计优先保障了业务在高并发冲击下的可用性和性能。 - **解耦的路由表设计** - 技术独特性：每个RNAT实例都拥有一个独立的、可由用户进行有限编辑的AWS管理路由表。 - 工作原理：该路由表默认包含一条指向 **IGW** 的路由。其关键创新点在于，用户可以在此路由表中插入自定义路由，将流量引导至 **AWS Network Firewall** 端点或 **Gateway Load Balancer** 端点等中间设备，从而实现对所有出向流量的集中式安全检测和过滤。 - 影响：此架构为实现VPC内或跨VPC的集中式出口安全检测提供了原生的、更高效的集成方案，避免了传统中转VPC（Inspection VPC）模式所带来的复杂路由配置和性能瓶颈。 ## 其他信息 - **部署模式** - 支持 **自动模式 (Automatic)** 和 **手动模式 (Manual)**。自动模式下，RNAT自动管理AZ扩展和IP分配；手动模式下，用户需明确指定RNAT运行的AZ并手动关联EIP，为高级用户提供了更精细的控制粒度。 - **性能与限制** - 带宽：每个AZ支持 *5 Gbps* 的基准带宽，并可根据流量自动扩展至 *100 Gbps*。 - 数量：每个VPC最多可创建5个RNAT实例，以满足不同工作负载需要不同出口IP白名单的场景。 - 连接类型：发布初期不支持 **私有连接类型 (Private connectivity)**，即无法用于VPC之间或VPC与本地网络间的私有NAT，这些场景仍需使用传统的Zonal NAT Gateway。 - **监控与日志** - 监控：与Zonal NAT Gateway兼容，可通过 **Amazon CloudWatch** 查看每个AZ的详细性能指标。 - 日志：**VPC Flow Logs** 中为RNAT流量新增了 `az-id` 字段，使用户能够清晰地识别和审计流量具体流经了哪个可用区的RNAT实例，增强了网络流量的可观测性。   # 隆重推出 Amazon VPC 区域 NAT Gateway **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-amazon-vpc-regional-nat-gateway/](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-amazon-vpc-regional-nat-gateway/) **发布时间:** 2025-11-20 **厂商:** AWS **类型:** BLOG --- ## 概述 AWS NAT Gateway 是一项完全托管、高可用且可水平扩展的网络地址转换 (Network Address Translation / NAT) 服务，它允许私有子网中的资源使用 NAT Gateway 的 IP 地址发起对子网外部目标的出站连接。这些目标可以包括同一 VPC、不同 VPC、互联网或您的本地网络中的资源。通过使用 NAT Gateway，您可以为工作负载启用仅出口连接 (egress-only connectivity)，同时只需将 NAT Gateway 的 IP 地址加入白名单。有关 NAT Gateway 的更多使用场景，请参阅 [AWS 文档](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) 。今天，AWS 宣布为 NAT Gateway 推出区域可用性模式。通过此次发布，您可以创建一个单一的 NAT Gateway，它会根据您的工作负载分布，在您的虚拟私有云 (Virtual Private Cloud / VPC) 内的多个可用区 (Availability Zones / AZs) 之间自动扩展和收缩，以保持高可用性。您只需为 VPC 创建一个区域 NAT Gateway (Regional NAT Gateway / RNAT)，而无需在每个可用区中都创建公有子网来托管您的 RNAT。在本文中，我们将详细介绍如何利用 NAT Gateway 的这一新可用性模式。 #### 工作原理及其重要性传统上，NAT Gateway 在单个可用区内构建时具有高弹性。为了保持高可用性，您必须为不同可用区中的工作负载创建独立的 NAT Gateway，并且仅将来自工作负载的流量路由到本地 (位于同一可用区) 的 NAT Gateway。每当您在一个新的可用区中实例化需要出站互联网访问的私有工作负载时，您首先需要在此可用区中创建一个带有指向互联网网关的默认路由的公有子网，然后在此公有子网内创建一个 NAT Gateway，接着为托管私有工作负载的子网创建一条路由条目，将流量路由到该 NAT Gateway。每次在新的可用区中创建工作负载时，您都需要重复此步骤。区域 NAT Gateway (RNAT) 通过消除按可用区部署的需求并减少您需要管理的组件数量，简化了这一设置。您的 RNAT 在 VPC 级别运行，您无需创建公有子网来托管它。当扩展到新的可用区时，您可以重用相同的路由表和相同的区域 NAT Gateway ID。区域 NAT Gateway 会自动扩展并保持可用区亲和性 (zonal affinity)，以实现高可用性。 ## 优势 #### 提升安全状况传统上，NAT Gateway 需要公有子网才能访问互联网。注重安全的客户会不遗余力地确保其私有资源仅具有出口连接，并且不允许任何人在旨在托管 NAT Gateway 的公有子网内实例化资源。有了区域 NAT Gateway，这些客户不再需要在托管私有和敏感工作负载的 VPC 中设置公有子网。这消除了意外实例化敏感工作负载并将其暴露于来自互联网的未经请求的流量的任何风险。 #### 内置端口耗尽防护您的区域 NAT Gateway 会在任何需要额外端口时自动关联一个 IP 地址。分配给 RNAT 的每个 IP 地址最多可支持 55,000 个到唯一目标 (由目标 IP、目标端口和协议的唯一组合标识) 的并发连接。如果某个可用区中的连接数接近此阈值，RNAT 会自动： - 在该可用区中添加额外的 IP 地址 - 每个可用区最多可扩展至 32 个 IP 地址这确保了高可用性，并保护工作负载免受端口耗尽 (port exhaustion) 的影响，无需手动干预。 #### 与 VPC IPAM 集成以提供用于转换的 IP 选择如果您的组织使用 [VPC IP 地址管理器 (VPC IP Address Manager / IPAM)](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) ，RNAT 的功能将变得更加强大。您可以配置 RNAT 在以下情况下自动从您的 IPAM 池中获取 IP 地址： - 扩展到新的可用区时 - 因连接量增加而扩展时 IPAM 策略规定了 RNAT 可以使用哪些地址，从而为您提供跨环境的可预测、受治理的 IP 分配。 IP 的扩展大约需要 5 分钟完成，并在到同一目标的并发连接数超过约 40,000 时开始。当该可用区中到同一目标的并发连接数减少到 <20,000 并持续约 1 小时后，服务会进行缩减。它在扩展方面非常积极，而在缩减方面则较为保守。 #### 对扩展和可用区选择保持完全控制如果您希望对 RNAT 使用哪个 IP 以及它在哪个可用区中运行有更多控制，您可以手动配置它们。一旦您这样做，就启用了**手动模式 (manual method)**。在此模式下，您负责为 RNAT 配置可用区，管理弹性 IP (Elastic IP / EIP) 的分配和关联，以及跨可用区进行扩展或收缩以维持高可用性。当 RNAT 在您有工作负载的特定可用区中未启用时，来自这些资源的任何互联网流量将被随机路由到一个已启用 RNAT 的可用区。请注意此行为，并考虑在所有有工作负载的可用区中启用 RNAT，以避免跨可用区数据传输 (cross-AZ data transfer) 费用。 #### 路由在路由配置方面，您的 RNAT 配备了一个路由表，其中包含一条指向 VPC 互联网网关的显式路由。您可以使用此路由表在私有子网和 NAT Gateway 之间的网络路径中插入 Network Firewall 或其他中间设备 (middle-boxes)。我们在下面的“入门”部分提供了此过程的详细演练。 #### 监控在监控方面，您可以使用 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 指标，因为 RNAT 为每个可用区发出与可用区 NAT 相同的指标。对于日志，可以使用以下 [Amazon CloudWatch 日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) ： - `resource-id` (替代 ENI ID)。 - `az-id`: 可用区的 ID。 - `pkt-srcaddr`: 流量的源 IP 地址。 - `pkt-dstaddr`: 流量的目标 IP 地址。 - `srcport`: 流量的源端口。 - `dstport`: 流量的目标端口。 - `protocol`: 流量的 IANA 协议号。 ## 使用场景组织应根据其具体要求和运营偏好选择部署模型。以下是一些最常见的实施模式： - VPC 互联网出口 – 最简单 - 带流量检测的 VPC 互联网出口 - 带流量检测的集中式互联网出口让我们详细探讨每种模式以了解其实现方式。 #### VPC 互联网出口 ![图 1: 使用区域 NAT Gateway 的 VPC 互联网出口](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture1-17.png) 图 1: 使用区域 NAT Gateway 的 VPC 互联网出口 1. 需要互联网访问的应用程序工作负载会查询其关联的路由表，在本例中，两个子网共享同一个路由表，并且只有一条默认路由 (0.0.0.0/0)，指向区域 NAT Gateway ID。 2. RNAT 接收流量，将资源的私有 IP 转换为其自身的弹性 IP，然后查询其由 AWS 管理的路由表，该路由表包含一条直接指向 VPC 互联网网关 (IGW) 的默认路由，从而实现出站互联网访问。 3. 响应流量的目标是区域 NAT Gateway，它会将流量上的目标 IP 地址转换为应用程序的 IP 地址。 #### 带流量检测的 VPC 互联网出口 ![图 2: 使用区域 NAT Gateway 的带流量检测的 VPC 互联网出口](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture2-10.png) 图 2: 使用区域 NAT Gateway 的带流量检测的 VPC 互联网出口 1. 需要互联网访问的应用程序工作负载会查询其关联的路由表，在本例中，每个 App 子网都有自己的路由表，并且每个路由表都将流量转发到相应的 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) (NFW) 终端节点或 [AWS Gateway Load Balancer](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/) 终端节点 (用于第三方检测设备)。 2. 防火墙根据定义的安全策略检查流量。如果允许，数据包将遵循 NFW 终端节点子网路由表中定义的路由，该路由将互联网流量转发到 RNAT。 3. RNAT 接收流量，将资源的私有 IP 转换为其自身的弹性 IP，然后查询其由 AWS 管理的路由表，该路由表包含一条直接指向 VPC 互联网网关 (IGW) 的默认路由，从而实现出站互联网访问。 4. 当响应数据包从互联网到达时，它首先通过 IGW 到达 RNAT，RNAT 将其分配的 EIP 转换为资源的私有 IP。然后评估 RNAT 的路由表规则，如图 2 所示，资源子网的 CIDR 范围指向位于防火墙子网 1 或防火墙子网 2 中的相应 AWS Network Firewall 终端节点作为下一跳 (next hop)。 #### 集中式互联网出口与检测 ![图 3: 使用区域 NAT Gateway 实现集中式出口流量和检测](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture4-11.png) 图 3: 使用区域 NAT Gateway 实现集中式出口流量和检测 1. 需要互联网访问的应用程序工作负载会查询其关联的路由表。与两个应用程序子网关联的 App 子网路由表包含一条默认路由，该路由将所有互联网流量转发到 AWS Transit Gateway (TGW) 连接。 2. TGW 接收此流量并将其转发到附加的出口 VPC。数据包到达后，它将遵循 TGW 连接子网的路由表，该路由表将流量引导至相应的 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) (NFW) 终端节点或 [AWS Gateway Load Balancer](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/) 终端节点 (用于第三方检测设备)。在此示例中，我们关注 TGW 子网 1 的路由表，它将流量路由到防火墙子网 1 中的 NFW 终端节点。同样，TGW 子网 2 的路由表将遵循相同的配置，但指向防火墙子网 2 中的 NFW 终端节点。 3. 防火墙根据定义的安全策略检查流量。如果允许，数据包将遵循 NFW 终端节点子网路由表中定义的路由，该路由将互联网流量转发到 RNAT。 4. RNAT 处理流量并查询其由 AWS 管理的路由表，该路由表包含一条直接指向 VPC 的 IGW 的默认路由，从而实现出站互联网访问。让我们检查一下返回流量路径： ![图 4: 集中式出口流量和检测的返回流量路径](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture5-8.png) 图 4: 集中式出口流量和检测的返回流量路径 1. 由于最初的互联网请求源自 App 子网 1 中的资源，当响应数据包从互联网到达时，它首先通过 IGW 到达 RNAT，RNAT 将其分配的 EIP 转换为位于 App VPC 中的资源的私有 IP。然后评估 RNAT 的路由表规则，如图 4 所示，资源子网的 CIDR 范围指向位于防火墙子网 1 中的 AWS Network Firewall 终端节点作为下一跳。 2. 如果流量被防火墙的策略和规则允许，它将遵循该子网路由表中定义的路由，其中 App 子网 1 的 CIDR 范围被转发到 TGW 连接。 3. 经过 TGW 处理后，数据包到达 App VPC 并通过本地路由被路由到适当的资源。 ## 入门让我们通过 [AWS 管理控制台](https://console.aws.amazon.com/) 来完成创建区域 NAT Gateway 的步骤。在您希望的区域打开 [Amazon VPC 控制台](https://us-east-1.console.aws.amazon.com/vpcconsole/home?region=us-east-1#Home:) ，然后在左侧选择 **NAT gateways**： ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture6-6.png) 然后点击 **create NAT gateway**： ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture7-5.png) 现在您会看到两种可用性模式：Regional (区域) 和 Zonal (可用区)。让我们选择区域模式。然后您需要选择要在其中创建区域 NAT Gateway 的 VPC，并选择所需的方法：Automatic (自动) 或 Manual (手动)。在此示例中，我们选择手动： ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture8-5.png) 选择手动选项后，会出现一个 EIP 关联下拉菜单，您需要为希望 RNAT 运行的每个可用区选择一个或多个 EIP 地址，然后点击 Create NAT gateway： ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture9-3.png) 创建后，您可以查看各种详细信息，包括 NAT Gateway ID、ARN、可用性模式、IP 分配方法、路由表 ID 和关联的 IP 地址： ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture10-3.png) 让我们点击 **Route table ID** 以更详细地查看 RNAT 路由表： ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Picture11-1.png) 您可以看到指向 IGW 的默认路由 (0.0.0.0/0)，这是由 AWS 自动添加的。您可以添加和编辑指向特定目标 (如互联网网关、Gateway Load Balancer/Network Firewall 终端节点或网络接口) 的其他路由。您还可以使用 [AWS 命令行界面 (AWS Command Line Interface / AWS CLI)](https://aws.amazon.com/cli/) 创建和管理您的区域 NAT Gateway。让我们看几个命令。以区域模式和自动方法创建： ``` $ aws ec2 create-nat-gateway \ --vpc-id vpc-123\ --availability-mode regional \ ``` 移除一个弹性 IP 或可用区支持： ``` $ aws ec2 disassociate-nat-gateway-address \ --nat-gateway-id nat-123 \ --association-ids eipassoc-1 eipassoc-2 \ ``` 要了解更多可用的 CLI 命令和 API，请查看我们的[官方文档](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html) 。 ## 注意事项使用区域 NAT Gateway 时请考虑以下几点： - RNAT 不绑定到特定的子网；相反，它与您的整个 VPC 相关联。因此，子网级别的配置不适用于它。 - 如果您在某个特定可用区中有工作负载，RNAT 的自动方法将为该可用区提供支持。在检测到该可用区中的 ENI 后，RNAT 平均需要 15-20 分钟，最多可能需要 60 分钟才能扩展到新的可用区。如果您的工作负载启动速度更快，它们的互联网流量将暂时随机路由到 RNAT 的某个可用区，直到扩展完成。 - 您只能在手动模式下执行 EIP 的关联。 - 启用自动方法后，当您在额外的可用区中部署工作负载时，您的 RNAT 将水平扩展到该可用区，并自动处理在新可用区中为 RNAT 分配和关联 EIP。 - 您可以在您的 VPC 中拥有最多 5 个 RNAT。客户通常使用多个 RNAT，如果其 VPC 中的工作负载需要不同组的白名单 IP 地址来与不同的合作伙伴网络通信。 - RNAT 为每个可用区支持 5 Gbps 的带宽，并可自动扩展至 100 Gbps，支持 TCP、UDP 和 ICMP 协议。 - RNAT 路由表不能链接到其他子网或其他 RNAT。 - RNAT 在发布时不支持私有连接类型。对于需要私有连接的工作负载，我们建议继续使用可用区 NAT Gateway 的实现方式。 - 有关详细的定价信息和示例，请参阅 NAT Gateway [定价页面](https://aws.amazon.com/vpc/pricing/) 。 ## 结论 NAT Gateway 现在提供了一种区域可用性模式，通过在 VPC 级别而非按可用区运行，简化了互联网出口架构。这种新的区域 NAT Gateway (RNAT) 可用性模式会根据工作负载的分布自动跨可用区扩展，消除了对公有子网的需求，并减少了运营开销。它通过自动管理 IP 地址提供了内置的端口耗尽防护，并与 VPC IPAM 集成以实现受治理的 IP 分配。这一增强功能尤其有益于希望在简化网络架构的同时提升安全状况的组织。在这篇博客中，我们介绍了使用区域 NAT Gateway 的好处、其启动方法、一些使用场景以及最后的设置方法。要了解有关此服务的更多信息，请访问 NAT Gateway 文档，如果您有任何问题，请随时通过 AWS Support 或您的 AWS 客户团队联系我们。 ## 关于作者 ![Daniel Neri](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/nerida.jpg) ### Daniel Neri Daniel 是一名电信工程师，目前在 AWS 担任高级网络解决方案架构师。他专注于帮助客户使用 AWS 技术设计安全、可扩展且经济高效的云架构。在不设计解决方案的时候，他喜欢享受他最喜爱的运动或探索保持活力的新方式。 ![Priyanka Khandelwal](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/priyanka-1.jpg) ### Priyanka Khandelwal Priyanka 是 Amazon Web Services 网络与安全服务团队的高级产品经理。她致力于为数百万在 AWS 上运行工作负载的客户提供更直观、更安全的虚拟私有云。在业余时间，她喜欢踢足球、尝试新食谱和驾驶。