本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 私有 NAT 网关 团队通常独立工作,他们可能会为项目创建一个新的 VPC,该项目可能有重叠的无类域间路由 (CIDR) 块。为了实现集成,他们可能希望启用重叠网络之间的通信 CIDRs,而通过 VPC 对等互连和 Transit Gateway 等功能是无法实现的。私有 NAT 网关可以帮助解决这个用例。私有 NAT 网关使用唯一的私有 IP 地址为重叠的源 IP 地址执行源 NAT,而 ELB 对重叠的目标 IP 地址执行目标 NAT。您可以使用 Transit Gateway VPCs 或虚拟私有网关将流量从私有 NAT 网关路由到其他网络或本地网络。 ![\[描绘私有 NAT 网关示例设置的示意图\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/example-setup-private-nat-gateway.png) 上图显示了 VPC A 和 B 中的两个不可路由(重叠 CIDRs)`100.64.0.0/16`子网。要在它们之间建立连接,您可以分别向 VPC A 和 B 添加辅助不可重叠/可路由 CIDRs (可路由子网和)。`10.0.1.0/24` `10.0.2.0/24`路由器 CIDRs 应由负责 IP 分配的网络管理团队分配。私有 NAT 网关已添加到 VPC A 中的可路由子网中,IP 地址为。`10.0.1.125`私有 NAT 网关对来自 VPC A (`100.64.0.10`) 不可路由子网中的实例的请求执行源网络地址转换`10.0.1.125`,就像私有 NAT 网关的 ENI 一样。现在,流量可以指向分配给 VPC B () 中的 Application Load Balancer (ALB) 的可路由 IP 地址,该地址的目标为。`10.0.2.10` `100.64.0.10`流量通过 Transit Gateway 路由。返回流量由私有 NAT 网关处理返回到请求连接的原始 Amazon EC2 实例。 当您的本地网络将访问权限限制为已批准 IPs时,也可以使用私有 NAT 网关。合规要求少数客户的本地网络只能通过客户 IPs 拥有的有限连续经批准的区块与私有网络(没有 IGW)通信。您可以使用私有 NAT 网关在每个允许列表的 IP AWS VPCs 后面运行大型工作负载,而不必为每个实例分配一个与区块分开的 IP。有关详细信息,请参阅[如何使用私有 NAT 解决方案解决私有 IP 耗尽问题](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-solve-private-ip-exhaustion-with-private-nat-solution/)博客文章。 ![\[描述如何使用私有 NAT 网关为本地网络提供经批准 IPs 的图表\]](http://docs.aws.amazon.com/zh_cn/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/how-to-use-nat.png)