Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Jalan keluar terpusat ke internet
Saat Anda menyebarkan aplikasi di lingkungan multi-akun Anda, banyak aplikasi akan memerlukan akses internet outbound saja (misalnya, mengunduh pustaka, tambalan, atau pembaruan OS). Ini dapat dicapai untuk lalu lintas IPv4 dan IPv6. Untuk IPv4, ini dapat dicapai melalui terjemahan alamat jaringan (NAT) dalam bentuk gateway NAT (disarankan), atau sebagai alternatif, instans NAT yang dikelola sendiri yang berjalan pada instans Amazon EC2, sebagai sarana untuk semua akses internet jalan keluar. Aplikasi internal berada di subnet pribadi, sementara NAT Gateways dan instans Amazon EC2 NAT berada di subnet publik.
AWS menyarankan agar Anda menggunakan gateway NAT karena gateway tersebut menyediakan ketersediaan dan bandwidth yang lebih baik dan memerlukan lebih sedikit pengarahan dari pihak Anda untuk mengelola. Untuk informasi lebih lanjut, lihat [Bandingkan gateway NAT dan instance NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-comparison.html).
Untuk IPv6 lalu lintas, lalu lintas keluar dapat dikonfigurasi untuk meninggalkan setiap VPC melalui gateway internet keluar saja dengan cara yang terdesentralisasi atau dapat dikonfigurasi untuk dikirim ke VPC terpusat menggunakan instance NAT atau instance proxy. IPv6 Pola-pola tersebut dibahas dalam[Jalan keluar terpusat untuk IPv6](centralized-egress-for-ipv6.md).
**Topics**
+ [Menggunakan gateway NAT untuk jalan keluar terpusat IPv4](using-nat-gateway-for-centralized-egress.md)
+ [Menggunakan gateway NAT dengan jalan keluar AWS Network Firewall terpusat IPv4](using-nat-gateway-with-firewall.md)
+ [Menggunakan gateway NAT dan Load Balancer Gateway dengan instans Amazon EC2 untuk jalan keluar terpusat IPv4](using-nat-gateway-and-gwlb-with-ec2.md)
+ [Jalan keluar terpusat untuk IPv6](centralized-egress-for-ipv6.md)
# Menggunakan gateway NAT untuk jalan keluar terpusat IPv4
Gateway NAT adalah layanan terjemahan alamat jaringan terkelola. [Menyebarkan gateway NAT di setiap VPC spoke dapat menjadi penghalang biaya karena Anda membayar biaya per jam untuk setiap gateway NAT yang Anda terapkan (lihat harga Amazon VPC).](https://aws.amazon.com/vpc/pricing/) Memusatkan gateway NAT dapat menjadi pilihan yang layak untuk mengurangi biaya. Untuk memusatkan, Anda membuat VPC jalan keluar terpisah di akun layanan jaringan, menyebarkan gateway NAT di VPC jalan keluar, dan merutekan semua lalu lintas keluar dari spoke VPCs ke gateway NAT yang berada di VPC jalan keluar menggunakan Transit Gateway atau CloudWAN, seperti yang ditunjukkan pada gambar berikut.
**catatan**
Saat Anda memusatkan gateway NAT menggunakan Transit Gateway, Anda membayar biaya pemrosesan data Gateway Transit tambahan — dibandingkan dengan pendekatan terdesentralisasi dalam menjalankan gateway NAT di setiap VPC. Dalam beberapa kasus tepi ketika Anda mengirim sejumlah besar data melalui gateway NAT dari VPC, menjaga NAT lokal di VPC untuk menghindari biaya pemrosesan data Transit Gateway mungkin merupakan opsi yang lebih hemat biaya.
![\[Diagram yang menggambarkan arsitektur gateway NAT ketersediaan tinggi yang terdesentralisasi\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/decentralized-ha-nat-gateway.png)
![\[Diagram yang menggambarkan gateway NAT terpusat menggunakan Transit Gateway (ikhtisar)\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-nat-gateway-tg.png)
![\[Diagram yang menggambarkan gateway NAT terpusat menggunakan Transit Gateway (desain tabel rute)\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/nat-gateway-tg-rt.png)
Dalam pengaturan ini, lampiran VPC spoke dikaitkan dengan Route Tabel 1 (RT1) dan disebarkan ke Route Tabel 2 (). RT2 Ada rute [Blackhole](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) untuk VPCs melarang keduanya berkomunikasi satu sama lain. Jika Anda ingin mengizinkan komunikasi antar-VPC, Anda dapat menghapus entri `10.0.0.0/8 -> Blackhole` rute dari. RT1 Hal ini memungkinkan mereka untuk berkomunikasi melalui gateway transit. Anda juga dapat menyebarkan lampiran VPC spoke RT1 ke (atau sebagai alternatif, Anda dapat menggunakan satu tabel rute associate/propagate dan semuanya untuk itu), memungkinkan arus lalu lintas langsung antara menggunakan Transit Gateway. VPCs
Anda menambahkan rute statis dalam RT1 mengarahkan semua lalu lintas ke VPC keluar. Karena rute statis ini, Transit Gateway mengirimkan semua lalu lintas internet melalui VPC ENIs di jalan keluar. Setelah berada di VPC jalan keluar, lalu lintas mengikuti rute yang ditentukan dalam tabel rute subnet tempat Gateway Transit ini berada. ENIs Anda menambahkan rute dalam tabel rute subnet yang mengarahkan semua lalu lintas menuju gateway NAT masing-masing di Availability Zone yang sama untuk meminimalkan lalu lintas Cross-availability Zone (AZ). Tabel rute subnet gateway NAT memiliki gateway internet (IGW) sebagai lompatan berikutnya. Agar lalu lintas kembali mengalir kembali, Anda harus menambahkan entri tabel rute statis di tabel rute subnet gateway NAT yang menunjuk semua lalu lintas terikat VPC spoke ke Transit Gateway sebagai lompatan berikutnya.
## Ketersediaan tinggi
Untuk ketersediaan tinggi, Anda harus menggunakan lebih dari satu gateway NAT (satu di setiap Availability Zone). Jika gateway NAT tidak tersedia, lalu lintas mungkin dijatuhkan di Availability Zone yang melintasi gateway NAT yang terpengaruh. Jika satu Availability Zone tidak tersedia, titik akhir Transit Gateway bersama dengan gateway NAT di Availability Zone tersebut akan gagal, dan semua lalu lintas akan mengalir melalui Gateway Transit dan titik akhir gateway NAT di Availability Zone lainnya.
## Keamanan
Anda dapat mengandalkan grup keamanan pada instance sumber, rute blackhole di tabel rute Transit Gateway, dan ACL jaringan subnet tempat gateway NAT berada. Misalnya, pelanggan dapat menggunakan ACLs subnet publik NAT Gateway untuk mengizinkan atau memblokir alamat IP sumber atau tujuan. Atau, Anda dapat menggunakan NAT Gateway dengan AWS Network Firewall jalan keluar terpusat yang dijelaskan di bagian berikutnya untuk memenuhi persyaratan ini.
## Skalabilitas
Gateway NAT tunggal dapat mendukung hingga 55.000 koneksi simultan per alamat IP yang ditetapkan ke setiap tujuan unik. Anda dapat meminta penyesuaian kuota untuk memungkinkan hingga delapan alamat IP yang ditetapkan, memungkinkan 440.000 koneksi simultan ke IP dan port tujuan tunggal. Gateway NAT menyediakan bandwidth 5 Gbps dan secara otomatis menskalakan hingga 100 Gbps. Transit Gateway umumnya tidak bertindak sebagai penyeimbang beban dan tidak akan mendistribusikan lalu lintas Anda secara merata di seluruh gateway NAT di beberapa Availability Zone. Lalu lintas melintasi Transit Gateway akan tetap berada dalam Availability Zone, jika memungkinkan. Jika instans Amazon EC2 yang memulai lalu lintas berada di Availability Zone 1, lalu lintas akan keluar dari Transit Gateway elastic network interface di Availability Zone 1 yang sama di VPC egress dan akan mengalir ke lompatan berikutnya berdasarkan tabel rute subnet tempat elastic network interface berada. Untuk daftar lengkap aturan, lihat [gateway NAT di dokumentasi](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) Amazon Virtual Private Cloud.
Untuk informasi selengkapnya, lihat [Membuat titik keluar internet tunggal dari beberapa posting blog VPCs Menggunakan AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/).
# Menggunakan gateway NAT dengan jalan keluar AWS Network Firewall terpusat IPv4
Jika Anda ingin memeriksa dan memfilter lalu lintas keluar Anda, Anda dapat menggabungkan AWS Network Firewall dengan gateway NAT dalam arsitektur jalan keluar terpusat Anda. AWS Network Firewall adalah layanan terkelola yang memudahkan untuk menerapkan perlindungan jaringan penting untuk semua Anda. VPCs Ini memberikan kontrol dan visibilitas ke lalu lintas jaringan Layer 3-7 untuk seluruh VPC Anda. Anda dapat melakukan pemfilteran lalu lintas keluar berbasis URL/domain nama, alamat IP, dan konten untuk menghentikan kemungkinan kehilangan data, membantu memenuhi persyaratan kepatuhan, dan memblokir komunikasi malware yang diketahui. AWS Network Firewall mendukung ribuan aturan yang dapat menyaring lalu lintas jaringan yang ditujukan untuk alamat IP buruk yang diketahui atau nama domain yang buruk. Anda juga dapat menggunakan aturan Suricata IPS sebagai bagian dari AWS Network Firewall layanan dengan mengimpor aturan sumber terbuka atau membuat aturan Intrusion Prevention System (IPS) Anda sendiri menggunakan sintaks aturan Suricata. AWS Network Firewall juga memungkinkan Anda untuk mengimpor aturan kompatibel yang bersumber dari mitra AWS.
Dalam arsitektur jalan keluar terpusat dengan inspeksi, AWS Network Firewall titik akhir adalah target tabel rute default dalam tabel rute subnet lampiran gateway transit untuk VPC jalan keluar. Lalu lintas antara spoke VPCs dan internet diperiksa menggunakan AWS Network Firewall seperti yang ditunjukkan pada diagram berikut.
![\[Diagram yang menggambarkan jalan keluar terpusat dengan AWS Network Firewall dan gateway NAT (desain tabel rute)\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-egress-rt.png)
Untuk model penerapan terpusat dengan Transit Gateway, AWS merekomendasikan penerapan AWS Network Firewall titik akhir di beberapa Availability Zone. Harus ada satu titik akhir firewall di setiap Availability Zone tempat pelanggan menjalankan beban kerja, seperti yang ditunjukkan pada diagram sebelumnya. Sebagai praktik terbaik, subnet firewall tidak boleh berisi lalu lintas lain karena AWS Network Firewall tidak dapat memeriksa lalu lintas dari sumber atau tujuan dalam subnet firewall.
Mirip dengan pengaturan sebelumnya, lampiran VPC spoke dikaitkan dengan Route Table 1 (RT1) dan disebarkan ke Route Table 2 (). RT2 Rute Blackhole ditambahkan secara eksplisit untuk VPCs melarang keduanya berkomunikasi satu sama lain.
Terus gunakan rute default dalam RT1 mengarahkan semua lalu lintas ke VPC keluar. Transit Gateway akan meneruskan semua arus lalu lintas ke salah satu dari dua zona ketersediaan di VPC jalan keluar. Setelah lalu lintas mencapai salah satu Transit Gateway ENIs di VPC jalan keluar, Anda mencapai rute default yang akan meneruskan lalu lintas ke salah satu AWS Network Firewall titik akhir di zona ketersediaan masing-masing. AWS Network Firewall kemudian akan memeriksa lalu lintas berdasarkan aturan yang Anda tetapkan sebelum meneruskan lalu lintas ke gateway NAT menggunakan rute default.
Kasus ini tidak memerlukan mode alat Transit Gateway, karena Anda tidak mengirim lalu lintas antar lampiran.
**catatan**
AWS Network Firewall tidak melakukan terjemahan alamat jaringan untuk Anda, fungsi ini akan ditangani oleh gateway NAT setelah inspeksi lalu lintas melalui. AWS Network Firewall Ingress routing tidak diperlukan dalam hal ini karena lalu lintas kembali akan diteruskan ke NATGW secara default. IPs
Karena Anda menggunakan Transit Gateway, di sini kita dapat menempatkan firewall sebelum gateway NAT. Dalam model ini, firewall dapat melihat IP sumber di belakang Transit Gateway.
Jika Anda melakukan ini dalam satu VPC, kami dapat menggunakan peningkatan perutean VPC yang memungkinkan Anda memeriksa lalu lintas antar subnet di VPC yang sama. Untuk detailnya, lihat [model Deployment untuk postingan blog AWS Network Firewall penyempurnaan perutean VPC](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/).
## Skalabilitas
AWS Network Firewall dapat secara otomatis meningkatkan atau menurunkan kapasitas firewall berdasarkan beban lalu lintas untuk mempertahankan kinerja yang stabil dan dapat diprediksi untuk meminimalkan biaya. AWS Network Firewall dirancang untuk mendukung puluhan ribu aturan firewall dan dapat meningkatkan throughput hingga 100 Gbps per Availability Zone.
## Pertimbangan utama
+ [Setiap titik akhir firewall dapat menangani sekitar 100 Gbps lalu lintas, jika Anda memerlukan burst yang lebih tinggi atau throughput berkelanjutan, hubungi dukungan AWS.](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)
+ Jika Anda memilih untuk membuat gateway NAT di akun AWS Anda bersama dengan Network Firewall, pemrosesan gateway NAT standar dan [biaya](https://aws.amazon.com/network-firewall/pricing/) penggunaan per jam akan dibebaskan one-to-one berdasarkan pemrosesan per GB dan jam penggunaan yang dibebankan untuk firewall Anda.
+ Anda juga dapat mempertimbangkan titik akhir firewall terdistribusi melalui AWS Firewall Manager tanpa Transit Gateway.
+ Uji aturan firewall sebelum memindahkannya ke produksi, mirip dengan daftar kontrol akses jaringan, karena urutannya penting.
+ Aturan Suricata tingkat lanjut diperlukan untuk pemeriksaan lebih dalam. Firewall jaringan mendukung inspeksi lalu lintas terenkripsi untuk masuknya serta lalu lintas keluar.
+ Variabel grup `HOME_NET` aturan mendefinisikan rentang IP sumber yang memenuhi syarat untuk diproses di mesin Stateful. Menggunakan pendekatan terpusat, Anda harus menambahkan semua CIDRs VPC tambahan yang dilampirkan ke Gateway Transit agar memenuhi syarat untuk diproses. Lihat [dokumentasi Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-domain-names.html) untuk detail selengkapnya tentang variabel grup `HOME_NET` aturan.
+ Pertimbangkan untuk menggunakan Transit Gateway dan keluar VPC di akun Layanan Jaringan terpisah untuk memisahkan akses berdasarkan pendelegasian tugas; misalnya, hanya administrator jaringan yang dapat mengakses akun Layanan Jaringan.
+ Untuk menyederhanakan penyebaran dan manajemen AWS Network Firewall dalam model ini, AWS Firewall Manager dapat digunakan. Firewall Manager memungkinkan Anda mengelola firewall yang berbeda secara terpusat dengan secara otomatis menerapkan perlindungan yang Anda buat di lokasi terpusat ke beberapa akun. Firewall Manager mendukung model penyebaran terdistribusi dan terpusat untuk Network Firewall. Untuk mempelajari lebih lanjut, lihat posting blog [Cara menyebarkan AWS Network Firewall dengan menggunakan AWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/).
# Menggunakan gateway NAT dan Load Balancer Gateway dengan instans Amazon EC2 untuk jalan keluar terpusat IPv4
Menggunakan alat virtual berbasis perangkat lunak (di Amazon EC2) dari AWS Marketplace dan AWS Partner Network sebagai titik keluar mirip dengan pengaturan gateway NAT. Opsi ini dapat digunakan jika Anda ingin menggunakan lapisan 7 tingkat lanjutrewall/Intrusion Prevention/Detection System (IPS/IDS) dan kemampuan inspeksi paket mendalam dari berbagai penawaran vendor.
Pada gambar berikut, selain gateway NAT, Anda menerapkan peralatan virtual menggunakan instans EC2 di belakang Gateway Load Balancer (GWLB). Dalam pengaturan ini, GWLB, Gateway Load Balancer Endpoint (GWLBE), peralatan virtual dan gateway NAT digunakan dalam VPC terpusat yang terhubung ke Transit Gateway menggunakan lampiran VPC. Spoke juga VPCs terhubung ke Transit Gateway menggunakan Lampiran VPC. Karena GWLBEs merupakan target yang dapat dirutekan, Anda dapat merutekan lalu lintas yang bergerak ke dan dari Transit Gateway ke armada peralatan virtual yang dikonfigurasi sebagai target di belakang GWLB. GWLB bertindak sebagai bump-in-the-wire dan secara transparan melewati semua lalu lintas Layer 3 melalui peralatan virtual pihak ketiga, dan dengan demikian tidak terlihat oleh sumber dan tujuan lalu lintas. Oleh karena itu, arsitektur ini memungkinkan Anda untuk secara terpusat memeriksa semua lalu lintas jalan keluar Anda yang melintasi Transit Gateway.
Untuk informasi selengkapnya tentang bagaimana arus lalu lintas dari aplikasi di internet dan kembali melalui pengaturan ini, lihat [Arsitektur inspeksi terpusat dengan AWS Gateway Load AWS Transit Gateway Balancer](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) dan. VPCs
Anda dapat mengaktifkan mode alat di Transit Gateway untuk menjaga simetri aliran melalui peralatan virtual. Ini berarti lalu lintas dua arah diarahkan melalui alat yang sama dan Availability Zone untuk masa pakai aliran. Pengaturan ini sangat penting untuk firewall stateful yang melakukan inspeksi paket mendalam. Mengaktifkan mode alat menghilangkan kebutuhan akan solusi yang kompleks, seperti terjemahan alamat jaringan sumber (SNAT), untuk memaksa lalu lintas kembali ke alat yang benar untuk mempertahankan simetri. Lihat [Praktik terbaik untuk menerapkan Load Balancer Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/) untuk detailnya.
Dimungkinkan juga untuk menerapkan titik akhir GWLB secara terdistribusi tanpa Transit Gateway untuk mengaktifkan inspeksi jalan keluar. Pelajari lebih lanjut tentang pola arsitektur ini di [Introducing AWS Gateway Load Balancer: Postingan blog pola arsitektur yang didukung](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/).
![\[Diagram yang menggambarkan jalan keluar terpusat dengan Gateway Load Balancer dan instans EC2 (desain tabel rute)\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-egress-gwlb-and-ec2.png)
## Ketersediaan tinggi
AWS merekomendasikan penerapan Gateway Load Balancer dan peralatan virtual di beberapa Availability Zone untuk ketersediaan yang lebih tinggi.
Gateway Load Balancer dapat melakukan pemeriksaan kesehatan untuk mendeteksi kegagalan alat virtual. Dalam hal alat yang tidak sehat, GWLB mengalihkan aliran baru ke peralatan sehat. Arus yang ada selalu menuju ke target yang sama terlepas dari status kesehatan target. Hal ini memungkinkan koneksi menguras dan mengakomodasi kegagalan pemeriksaan kesehatan karena lonjakan CPU pada peralatan. Untuk detail selengkapnya, lihat bagian 4: Memahami skenario kegagalan peralatan dan Availability Zone di posting blog [Praktik terbaik untuk menerapkan Load Balancer Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/). Load Balancer Gateway dapat menggunakan grup penskalaan otomatis sebagai target. Manfaat ini menghilangkan beban berat dalam mengelola ketersediaan dan skalabilitas armada alat.
## Keuntungan
Gateway Load Balancer dan titik akhir Load Balancer Gateway didukung AWS PrivateLink oleh, yang memungkinkan pertukaran lalu lintas melintasi batas VPC dengan aman tanpa perlu melintasi internet publik.
Gateway Load Balancer adalah layanan terkelola yang menghilangkan beban berat yang tidak terdiferensiasi dalam mengelola, menerapkan, menskalakan peralatan keamanan virtual sehingga Anda dapat fokus pada hal-hal yang penting. Load Balancer Gateway dapat mengekspos tumpukan firewall sebagai layanan endpoint bagi pelanggan untuk berlangganan menggunakan. [AWS Marketplace](https://aws.amazon.com/marketplace) Ini disebut Firewall as a Service (FWaaS); ini memperkenalkan penyebaran yang disederhanakan dan menghilangkan kebutuhan untuk mengandalkan BGP dan ECMP untuk mendistribusikan lalu lintas di beberapa instans Amazon EC2.
## Pertimbangan utama
+ Peralatan perlu mendukung protokol enkapsulasi [Geneve](https://datatracker.ietf.org/doc/html/rfc8926) untuk berintegrasi dengan GWLB.
+ Beberapa peralatan pihak ketiga dapat mendukung SNAT dan overlay routing ([mode dua lengan](https://networkgeekstuff.com/networking/basic-load-balancer-scenarios-explained/)) sehingga menghilangkan kebutuhan untuk membuat gateway NAT untuk menghemat biaya. Namun, konsultasikan dengan mitra AWS pilihan Anda sebelum menggunakan mode ini karena ini bergantung pada dukungan dan implementasi vendor.
+ Catat batas waktu idle [GWLB](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#idle-timeout). Hal ini dapat mengakibatkan batas waktu koneksi pada klien. Anda dapat menyetel batas waktu Anda di level klien, server, firewall, dan OS untuk menghindari hal ini. Lihat *Bagian 1: Sesuaikan nilai keep-alive atau batas waktu TCP untuk mendukung aliran TCP yang berumur panjang dalam Praktik terbaik untuk menerapkan postingan blog Gateway Load* [Balancer untuk informasi](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/) selengkapnya.
+ GWLBE didukung oleh AWS PrivateLink, jadi AWS PrivateLink biaya akan berlaku. Anda dapat mempelajari lebih lanjut di [halaman AWS PrivateLink harga](https://aws.amazon.com/privatelink/pricing/). Jika Anda menggunakan model terpusat dengan Transit Gateway, biaya pemrosesan data TGW akan berlaku.
+ Pertimbangkan untuk menggunakan Transit Gateway dan keluar VPC di akun Layanan Jaringan terpisah untuk memisahkan akses berdasarkan pendelegasian tugas, seperti hanya administrator jaringan yang dapat mengakses Akun Layanan Jaringan.
# Jalan keluar terpusat untuk IPv6
Untuk mendukung jalan IPv6 keluar dalam penerapan tumpukan ganda yang memiliki jalan keluar terpusat, salah satu IPv4 dari dua pola harus dipilih:
+ Jalan IPv4 keluar terpusat dengan jalan keluar yang terdesentralisasi IPv6
+ Jalan IPv4 keluar terpusat dan jalan keluar terpusat IPv6
Pada pola pertama, yang ditunjukkan pada diagram berikut, gateway internet khusus egres digunakan di setiap VPC spoke. Gateway internet khusus Egress adalah gateway yang diskalakan secara horizontal, redundan, dan sangat tersedia yang memungkinkan komunikasi keluar dari instance di dalam VPC Anda. IPv6 Mereka mencegah internet memulai IPv6 koneksi dengan instans Anda. Gateway internet khusus Egress tidak dikenakan biaya. Dalam model penyebaran ini, IPv6 lalu lintas mengalir keluar dari gateway internet khusus egres di setiap VPC IPv4 dan arus lalu lintas melalui Gateway NAT terpusat yang digunakan.
![\[Diagram yang menggambarkan jalan IPV4 keluar terpusat dan jalan keluar yang terdesentralisasi saja. IPv6\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-ipv4-egress-and-decentralized-outbound-ipv6.png)
Pada pola kedua, yang ditunjukkan pada diagram berikut, IPv6 lalu lintas keluar dari instance Anda dikirim ke VPC terpusat. Hal ini dapat dicapai dengan menggunakan IPv6 -to- IPv6 Network Prefix Translation (NPTv6) dengan NAT66 instance dan NAT Gateways atau dengan menggunakan Instans Proxy dan Network Load Balancer. Pola ini berlaku jika inspeksi lalu lintas terpusat untuk lalu lintas keluar diperlukan dan tidak dapat dilakukan di setiap VPC spoke.
![\[Diagram yang menggambarkan jalan keluar terpusat menggunakan IPv6 gateway dan instance NAT. NAT66\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-ipv6-egress-using-nat-gateways.png)
![\[Diagram yang menggambarkan terpusat IPv4 dan jalan IPv6 keluar menggunakan instance proxy dan Network Load Balancer.\]](http://docs.aws.amazon.com/id_id/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-ipv4-and-ipv6-egress.png)
[Whitepaper IPv6 on AWS menjelaskan pola](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/advanced-dual-stack-and-ipv6-only-network-designs.html) jalan keluar terpusat IPv6 . Pola jalan IPv6 keluar dibahas secara lebih rinci di blog [Lalu lintas internet keluar terpusat untuk tumpukan ganda IPv4 dan IPv6 VPCs](https://aws.amazon.com/blogs/networking-and-content-delivery/centralizing-outbound-internet-traffic-for-dual-stack-ipv4-and-ipv6-vpcs/), bersama dengan pertimbangan khusus, solusi sampel, dan diagram.