# Noções básicas de gateway NAT Todo gateway NAT é criado em uma Zona de disponibilidade específica e implementado com redundância nessa zona. Há uma cota de gateways NAT que podem ser criados em cada zona de disponibilidade. Para obter mais informações, consulte [Gateways](amazon-vpc-limits.md#vpc-limits-gateways). Se você tiver recursos em várias zonas de disponibilidade e eles compartilharem um gateway NAT, caso a zona de disponibilidade do gateway NAT fique inativa, os recursos em outras zonas de disponibilidade perderão o acesso à Internet. Para melhorar a resiliência, crie um gateway NAT em cada zona de disponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT na mesma zona de disponibilidade. As seguintes características e regras se aplicam aos gateways NAT: + Um gateway NAT é compatível com os seguintes protocolos: TCP, UDP e ICMP. + Os gateways NAT são compatíveis com tráfego IPv4 ou IPv6. Para tráfego IPv6, o gateway NAT executa NAT64. Usando isso em conjunto com o DNS64 (disponível no Route 53 Resolver), suas workloads IPv6 em uma sub-rede na Amazon VPC podem se comunicar com recursos IPv4. Esses serviços IPv4 podem estar presentes na mesma VPC (em uma sub-rede separada) ou em uma VPC diferente, no seu ambiente on-premises ou pela Internet. + Um gateway NAT comporta 5 Gbps de largura de banda e escala automaticamente até 100 Gbps. Se você precisar de mais largura de banda, poderá dividir seus recursos em várias sub-redes e criar um gateway NAT em cada sub-rede. + Um gateway NAT pode processar um milhão de pacotes por segundo e aumentar a capacidade automaticamente para até dez milhões de pacotes por segundo. Além desse limite, um gateway NAT começará a descartar pacotes. Para evitar a perda de pacotes, divida seus recursos em várias sub-redes e crie um gateway NAT separado para cada sub-rede. + Cada endereço IPv4 comporta até 55.000 conexões simultâneas para cada destino exclusivo. Um destino exclusivo é identificado por uma combinação exclusiva de endereço IP de destino, a porta de destino e o protocolo (TCP/UDP/ICMP). Você pode aumentar esse limite associando até 8 endereços IPv4 aos seus gateways NAT (1 endereço IPv4 primário e 7 endereços IPv4 secundários). Por padrão, há um limite de associação de 2 endereços IP elásticos ao seu gateway NAT público. É possível aumentar esse limite solicitando um ajuste de cota. Para obter mais informações, consulte [Endereços IP elásticos](amazon-vpc-limits.md#vpc-limits-eips). + Ao criar um gateway NAT, você pode selecionar o endereço IPv4 privado primário a ser atribuído ao gateway NAT. Caso contrário, selecionamos um em seu nome a partir do intervalo de endereços IPv4 da sub-rede. Não é possível alterar ou remover o endereço IPv4 privado principal. Você pode adicionar endereços IPv4 privados secundários conforme necessário. + Não é possível associar um grupo de segurança a um gateway NAT. Você pode associar grupos de segurança às suas instâncias para controlar o tráfego de entrada e saída. + Criamos uma interface de rede gerenciada pelo solicitante para o seu gateway NAT. Você pode visualizar essa interface de rede usando o console do Amazon EC2. Procure o ID do gateway NAT na descrição. Você pode adicionar etiquetas à interface de rede, mas não pode modificar outras propriedades dessa interface de rede. + Você também pode usar uma ACL de rede para controlar o tráfego que entra e sai da sub-rede para seu gateway NAT. Os gateways NAT usam as portas 1024 a 65535. Para obter mais informações, consulte [Network ACLs](vpc-network-acls.md). + Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de emparelhamento da VPC. Entretanto, o tráfego proveniente de um gateway NAT através do emparelhamento VPC para destinos em VPCs emparelhados suporta o comportamento “Retornar ao remetente”. O tráfego de retorno é automaticamente roteado de volta para o gateway NAT de origem, mesmo sem rotas de retorno configuradas no VPC de destino. Esse comportamento é específico dos gateways NAT e não se aplica a instâncias do EC2 padrão. A fim de evitar isso, utilize NACLs para bloquear o tráfego de retorno. Não compatível: ``` Client → Peering → NAT → Internet ``` Compatível: ``` Client → NAT → Peering → Destination ``` + Não é possível rotear o tráfego para um gateway NAT do Site-to-Site VPN ou do Direct Connect usando um gateway privado virtual. É possível rotear o tráfego para um gateway NAT do Site-to-Site VPN ou do Direct Connect se você usar um gateway de trânsito em vez de um gateway privado virtual. + Os gateways NAT oferecem suporte a tráfego com uma unidade de transmissão máxima (MTU) de 8500, mas é importante observar o seguinte: + A MTU de uma conexão de rede é o tamanho, em bytes, do maior pacote permissível que pode ser passado pela conexão. Quanto maior a MTU de uma conexão, mais dados podem ser passados em um único pacote. + Pacotes com mais de 8.500 bytes que chegam ao gateway NAT são descartados (ou fragmentados, se aplicável). + Para evitar possíveis perdas de pacotes ao se comunicar com recursos pela Internet usando um gateway NAT público, a configuração de MTU para suas instâncias do EC2 não deve exceder 1500 bytes. Para obter mais informações sobre como verificar e definir a MTU em uma instância, consulte [MTU de rede para sua instância do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#set_mtu) no *Guia do usuário do Amazon EC2*. + Os gateways NAT oferecem suporte ao Path MTU Discovery (PMTUD) por meio de pacotes FRAG\_NEEDED ICMPv4 e pacotes Packet Too Big (PTB) ICMPv6. + O gateway NAT impõe o limite de Maximum Segment Size (MSS) para todos os pacotes. Para obter mais informações, consulte [RFC879](https://datatracker.ietf.org/doc/html/rfc879).