本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 集中輸出至網際網路
當您在多帳戶環境中部署應用程式時,許多應用程式將需要傳出限定網際網路存取 (例如,下載程式庫、修補程式或作業系統更新)。這可以同時針對 IPv4 和 IPv6 流量達成。對於 IPv4,這可以透過 NAT 閘道 (建議) 形式的網路位址轉譯 (NAT) 實現,或者,在 Amazon EC2 執行個體上執行的自我管理 NAT 執行個體,作為所有輸出網際網路存取的方法。內部應用程式位於私有子網路中,而 NAT Gateway 和 Amazon EC2 NAT 執行個體則位於公有子網路中。
AWS 建議您使用 NAT 閘道,因為它們提供了更好的可用性和頻寬,並且需要您更輕鬆進行管理。如需詳細資訊,請參閱[比較 NAT 閘道和 NAT 執行個體](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-comparison.html)。
對於 IPv6 流量,輸出流量可以設定為以分散式方式透過僅輸出網際網路閘道離開每個 VPC,也可以設定為使用 NAT 執行個體或代理執行個體傳送至集中式 VPC。IPv6 模式會在 中討論[IPv6 的集中式輸出](centralized-egress-for-ipv6.md)。
**Topics**
+ [使用 NAT 閘道進行集中式 IPv4 輸出](using-nat-gateway-for-centralized-egress.md)
+ [使用 NAT 閘道搭配 AWS Network Firewall 進行集中式 IPv4 輸出](using-nat-gateway-with-firewall.md)
+ [將 NAT 閘道和 Gateway Load Balancer 與 Amazon EC2 執行個體搭配使用,以進行集中式 IPv4 輸出](using-nat-gateway-and-gwlb-with-ec2.md)
+ [IPv6 的集中式輸出](centralized-egress-for-ipv6.md)
# 使用 NAT 閘道進行集中式 IPv4 輸出
NAT 閘道是受管網路地址轉譯服務。在每個語音 VPC 中部署 NAT 閘道可能會成本過高,因為您要為部署的每個 NAT 閘道支付每小時費用 (請參閱 [Amazon VPC 定價](https://aws.amazon.com/vpc/pricing/))。集中 NAT 閘道是降低成本的可行選項。若要集中,您可以在網路服務帳戶中建立個別的輸出 VPC、在輸出 VPC 中部署 NAT 閘道,並使用 Transit Gateway 或 CloudWAN 將所有來自輻 VPCs輸出流量路由到位於輸出 VPC 中的 NAT 閘道,如下圖所示。
**注意**
當您使用 Transit Gateway 集中 NAT 閘道時,您需要支付額外的 Transit Gateway 資料處理費用,相較於在每個 VPC 中執行 NAT 閘道的分散式方法。在某些情況下,當您透過 NAT 閘道從 VPC 傳送大量資料時,將 NAT 本機保留在 VPC 中以避免傳輸閘道資料處理費用可能是更具成本效益的選項。
![\[描述分散式高可用性 NAT 閘道架構的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/decentralized-ha-nat-gateway.png)
![\[描述使用 Transit Gateway 集中式 NAT 閘道的圖表 (概觀)\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-nat-gateway-tg.png)
![\[描述使用 Transit Gateway 集中式 NAT 閘道的圖表 (路由表設計)\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/nat-gateway-tg-rt.png)
在此設定中,輻 VPC 連接與路由表 1 (RT1) 相關聯,並傳播至路由表 2 (RT2)。有一個 [Blackhole](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) 路由不允許兩個 VPCs彼此通訊。如果您想要允許 VPC 間通訊,您可以從 RT1 移除`10.0.0.0/8 -> Blackhole`路由項目。這可讓它們透過傳輸閘道進行通訊。您也可以將語音 VPC 連接傳播到 RT1 (或者,您可以使用一個路由表,並將一切關聯/傳播到其中),使用 Transit Gateway 在 VPCs之間啟用直接流量流程。
您可以在 RT1 中新增靜態路由,將所有流量指向輸出 VPC。由於此靜態路由,Transit Gateway 會透過輸出 VPC 中的 ENIs 傳送所有網際網路流量。在輸出 VPC 中,流量會遵循這些 Transit Gateway ENIs所在的子網路路由表中定義的路由。您可以在子網路路由表中新增路由,將所有流量指向相同可用區域中的個別 NAT 閘道,以將跨可用區域 (AZ) 流量降至最低。NAT 閘道子網路路由表具有網際網路閘道 (IGW) 作為下一個躍點。若要傳回流量回傳,您必須在 NAT 閘道子網路路由表中新增靜態路由表項目,將所有輻條 VPC 繫結流量指向 Transit Gateway 做為下一個躍點。
## 高可用性
為了獲得高可用性,您應該使用多個 NAT 閘道 (每個可用區域各一個)。如果 NAT 閘道無法使用,流量可能會捨棄在周遊受影響 NAT 閘道的可用區域中。如果某個可用區域無法使用,傳輸閘道端點和該可用區域中的 NAT 閘道將會失敗,而且所有流量都會流經另一個可用區域中的傳輸閘道和 NAT 閘道端點。
## 安全
您可以依賴來源執行個體上的安全群組、傳輸閘道路由表中的黑洞路由,以及 NAT 閘道所在子網路的網路 ACL。例如,客戶可以使用 NAT Gateway 公有子網路上的 ACLs (允許或封鎖來源或目的地 IP 地址)。或者,您可以使用 NAT Gateway 搭配 AWS Network Firewall 進行下一節所述的集中式輸出,以滿足此需求。
## 可擴展性
單一 NAT 閘道最多可支援每個指派 IP 地址與每個唯一目的地的 55,000 個同時連線。您可以請求配額調整,以允許最多八個指派的 IP 地址,允許 440,000 個同時連線到單一目的地 IP 和連接埠。NAT 閘道提供 5 Gbps 的頻寬,並自動擴展至 100 Gbps。Transit Gateway 通常不會充當負載平衡器,也不會將流量平均分配到多個可用區域中的 NAT 閘道。如果可能,跨 Transit Gateway 的流量將保持在可用區域內。如果啟動流量的 Amazon EC2 執行個體位於可用區域 1,流量會流出輸出 VPC 中相同可用區域 1 中的 Transit Gateway 彈性網路介面,並根據彈性網路介面所在的子網路路由表,流向下一個躍點。如需完整的規則清單,請參閱 Amazon Virtual Private Cloud 文件中的 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。
如需詳細資訊,請參閱[使用 AWS Transit Gateway 從多個 VPCs 建立單一網際網路結束點](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/)部落格文章。
# 使用 NAT 閘道搭配 AWS Network Firewall 進行集中式 IPv4 輸出
如果您想要檢查和篩選傳出流量,您可以將 AWS Network Firewall 與 NAT 閘道整合到集中式輸出架構中。 AWS Network Firewall 是一種受管服務,可讓您輕鬆為所有 VPCs 部署基本網路保護。它可為整個 VPC 提供 Layer 3-7 網路流量的控制和可見性。您可以執行 URL/網域名稱、IP 地址和內容型傳出流量篩選,以停止可能的資料遺失、協助符合合規要求,以及封鎖已知的惡意軟體通訊。 AWS Network Firewall 支援數千個規則,可篩選出目的地為已知不良 IP 地址或不良網域名稱的網路流量。您也可以匯入開放原始碼規則集或使用 Suricata 規則語法編寫自己的入侵預防系統 (IPS) 規則,以使用 Suricata IPS 規則做為 AWS Network Firewall 服務的一部分。 AWS Network Firewall 也可讓您匯入來自 AWS 合作夥伴的相容規則。
在具有檢查的集中式輸出架構中, AWS Network Firewall 端點是輸出 VPC 傳輸閘道連接子網路路由表中的預設路由表目標。使用 檢查輪輻 VPCs 和網際網路之間的流量 AWS Network Firewall ,如下圖所示。
![\[描述使用 AWS Network Firewall 和 NAT 閘道集中輸出的圖表 (路由表設計)\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-egress-rt.png)
對於使用 Transit Gateway 的集中式部署模型,AWS 建議在多個可用區域中部署 AWS Network Firewall 端點。在客戶執行工作負載的每個可用區域中,應該有一個防火牆端點,如上圖所示。根據最佳實務,防火牆子網路不應包含任何其他流量,因為 AWS Network Firewall 無法檢查來自防火牆子網路內來源或目的地的流量。
與先前的設定類似,語音 VPC 連接與路由表 1 (RT1) 相關聯,並傳播到路由表 2 (RT2)。系統會明確新增 Blackhole 路由,以禁止兩個 VPCs 彼此通訊。
繼續在 RT1 中使用預設路由,將所有流量指向輸出 VPC。Transit Gateway 會將所有流量轉送到輸出 VPC 中的兩個可用區域之一。一旦流量到達輸出 VPC 中的其中一個 Transit Gateway ENIs,您就會到達預設路由,該路由會將流量轉送至其各自可用區域中的其中一個 AWS Network Firewall 端點。 AWS Network Firewall 接著, 會根據您設定的規則檢查流量,再使用預設路由將流量轉送至 NAT 閘道。
此案例不需要 Transit Gateway 設備模式,因為您未在附件之間傳送流量。
**注意**
AWS Network Firewall 不會為您執行網路位址轉譯,此函數會在透過 進行流量檢查後由 NAT 閘道處理 AWS Network Firewall。在此情況下,不需要輸入路由,因為傳回流量預設會轉送至 NATGW IPs。
因為您使用的是 Transit Gateway,所以我們可以在 NAT 閘道之前放置防火牆。在此模型中,防火牆可以看到 Transit Gateway 後方的來源 IP。
如果您在單一 VPC 中執行此操作,我們可以使用 VPC 路由增強功能,讓您檢查相同 VPC 中子網路之間的流量。如需詳細資訊,請參閱[AWS Network Firewall 具有 VPC 路由增強功能的 部署模型](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/)部落格文章。
## 可擴展性
AWS Network Firewall 可以根據流量負載自動擴展或縮減防火牆容量,以維持穩定、可預測的效能,以將成本降至最低。 AWS Network Firewall 旨在支援數萬個防火牆規則,並可為每個可用區域擴展高達 100 Gbps 的輸送量。
## 關鍵考量
+ 每個防火牆端點都可以處理大約 100 Gbps 的流量,如果您需要更高的高載或持續輸送量,請聯絡 [AWS 支援](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)。
+ 如果您選擇在 AWS 帳戶中建立 NAT 閘道以及 Network Firewall,標準 NAT 閘道處理和每小時使用[費](https://aws.amazon.com/network-firewall/pricing/)會因每 GB 的處理和防火牆的使用時數而one-to-one免除。
+ 您也可以在沒有 Transit Gateway AWS Firewall Manager 的情況下,透過 考慮分散式防火牆端點。
+ 將防火牆規則移至生產環境之前,請先測試防火牆規則,與順序很重要的網路存取控制清單類似。
+ 需要進階 Suricata 規則才能進行更深入的檢查。網路防火牆支援輸入和輸出流量的加密流量檢查。
+ `HOME_NET` 規則群組變數定義了有資格在具狀態引擎中處理的來源 IP 範圍。使用集中式方法,您必須新增連接到 Transit Gateway 的所有其他 VPC CIDRs,使其符合處理資格。如需`HOME_NET`規則群組變數的詳細資訊,請參閱 [Network Firewall 文件](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-domain-names.html)。
+ 考慮在單獨的 Network Services 帳戶中部署 Transit Gateway 和輸出 VPC,以根據職責委派來隔離存取權;例如,只有網路管理員可以存取 Network Services 帳戶。
+ 為了簡化此模型 AWS Network Firewall 中 的部署和管理, AWS Firewall Manager 可以使用 。Firewall Manager 可讓您自動將您在集中位置建立的保護套用至多個帳戶,以集中管理不同的防火牆。Firewall Manager 支援 Network Firewall 的分散式和集中式部署模型。若要進一步了解,請參閱部落格文章[如何使用 部署 AWS Network FirewallAWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/)。
# 將 NAT 閘道和 Gateway Load Balancer 與 Amazon EC2 執行個體搭配使用,以進行集中式 IPv4 輸出
從 AWS Marketplace 和 使用軟體型虛擬設備 (在 Amazon EC2 上) AWS Partner Network 做為結束點,類似於 NAT 閘道設定。如果您想要使用各種廠商方案的進階 layer 7 防火牆/入侵防護/偵測系統 (IPS/IDS) 和深度封包檢查功能,則可使用此選項。
在下圖中,除了 NAT 閘道之外,您還可以使用 Gateway Load Balancer (GWLB) 後方的 EC2 執行個體部署虛擬設備。在此設定中,GWLB、Gateway Load Balancer Endpoint (GWLBE)、虛擬設備和 NAT 閘道會部署在使用 VPC 連接連接到 Transit Gateway 的集中式 VPC 中。語音 VPCs 也會使用 VPC Attachment 連接到 Transit Gateway。由於 GWLBEs是可路由的目標,因此您可以將往返 Transit Gateway 的流量路由到設定為 GWLB 後方目標的虛擬設備機群。GWLB 充當bump-in-the-wire,並透明地透過第三方虛擬設備傳遞所有第 3 層流量,因此流量的來源和目的地看不到。因此,此架構可讓您集中檢查透過 Transit Gateway 周遊的所有輸出流量。
如需流量如何從 VPCs 中的應用程式流向網際網路及透過此設定傳回的詳細資訊,請參閱[使用 AWS Gateway Load Balancer 和 的集中式檢查架構 AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/)。
您可以在 Transit Gateway 上啟用設備模式,以透過虛擬設備維持流程對稱。這表示雙向流量會在流程生命週期內透過相同的設備與可用區域路由。此設定對於執行深度封包檢查的狀態防火牆特別重要。啟用設備模式不需要複雜的解決方法,例如來源網路位址轉譯 (SNAT),即可強制流量返回正確的設備以維持對稱性。如需詳細資訊,請參閱[部署 Gateway Load Balancer 的最佳實務](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)。
您也可以在沒有 Transit Gateway 的情況下以分散式方式部署 GWLB 端點,以啟用輸出檢查。請參閱[簡介 AWS Gateway Load Balancer:支援的架構模式部落格文章,進一步了解此架構模式](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/)。
![\[描述 Gateway Load Balancer 和 EC2 執行個體的集中式輸出圖表 (路由表設計)\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-egress-gwlb-and-ec2.png)
## 高可用性
AWS 建議在多個可用區域中部署 Gateway Load Balancer 和虛擬設備,以提高可用性。
Gateway Load Balancer 可以執行運作狀態檢查,以偵測虛擬設備故障。如果發生運作狀態不佳的設備,GWLB 會將新的流程重新路由至運作狀態良好的設備。無論目標的運作狀態為何,現有流程一律會移至相同的目標。這可讓連線耗盡,並因應設備上 CPU 峰值所造成的運作狀態檢查失敗。如需詳細資訊,請參閱部落格文章中第 4 節:了解設備與可用區域故障案例[部署 Gateway Load Balancer 的最佳實務](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)。Gateway Load Balancer 可以使用自動擴展群組作為目標。此優點會讓管理設備機群的可用性和可擴展性變得繁重。
## 優點
Gateway Load Balancer 和 Gateway Load Balancer 端點採用 技術 AWS PrivateLink,可安全地跨 VPC 邊界交換流量,而無需周遊公有網際網路。
Gateway Load Balancer 是一項受管服務,可減輕管理、部署、擴展虛擬安全設備的繁重工作,讓您可以專注於重要的事項。Gateway Load Balancer 可以將防火牆堆疊公開為端點服務,讓客戶可以使用 訂閱 [AWS Marketplace](https://aws.amazon.com/marketplace)。這稱為 Firewall as a Service (FWaaS);它引入了簡化的部署,並不需要依賴 BGP 和 ECMP 在多個 Amazon EC2 執行個體之間分配流量。
## 關鍵考量
+ 設備需要支援 [Geneve](https://datatracker.ietf.org/doc/html/rfc8926) 封裝通訊協定,才能與 GWLB 整合。
+ 某些第三方設備可以支援 SNAT 和覆蓋路由 ([雙臂模式](https://networkgeekstuff.com/networking/basic-load-balancer-scenarios-explained/)),因此不需要建立 NAT 閘道來節省成本。不過,使用此模式之前,請先諮詢您選擇的 AWS 合作夥伴,因為這取決於廠商支援和實作。
+ 請記下 [GWLB 閒置逾時](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#idle-timeout)。這可能會導致用戶端的連線逾時。您可以在用戶端、伺服器、防火牆和作業系統層級上調整逾時,以避免這種情況。如需詳細資訊,請參閱[Load Balancer](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)*部署 Gateway Load Balancer 最佳實務部落格文章中的調整 TCP 保持連線或逾時值,以支援長期 TCP 流程*。
+ GWLBE 採用 技術 AWS PrivateLink,因此會產生 AWS PrivateLink 費用。您可以在 [AWS PrivateLink 定價頁面](https://aws.amazon.com/privatelink/pricing/)中進一步了解。如果您將集中式模型與 Transit Gateway 搭配使用,則需支付 TGW 資料處理費用。
+ 考慮在單獨的 Network Services 帳戶中部署 Transit Gateway 和輸出 VPC,以根據職責委派來隔離存取權,例如只有網路管理員可以存取 Network Services 帳戶。
# IPv6 的集中式輸出
若要在具有集中式 IPv4 輸出的雙堆疊部署中支援 IPv6 輸出,必須選擇兩種模式之一: IPv4
+ 具有分散式 IPv6 輸出的集中式 IPv4 輸出 IPv6
+ 集中式 IPv4 輸出和集中式 IPv6 輸出
在下圖所示的第一個模式中,輸出限定網際網路閘道會部署在每個輪輻 VPC 中。僅輸出網際網路閘道是水平擴展、備援和高可用性的閘道,允許透過 IPv6 從 VPC 內的執行個體進行傳出通訊。它們可防止網際網路啟動與執行個體的 IPv6 連線。僅限輸出的網際網路閘道不收費。在此部署模型中,IPv6 流量會從每個 VPC 中的輸出限定網際網路閘道流出,而 IPv4 流量會透過部署的集中式 NAT 閘道流出。
![\[描述集中式 IPV4 輸出和僅分散式輸出 IPv6 輸出的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-ipv4-egress-and-decentralized-outbound-ipv6.png)
在第二個模式中,如下圖所示,來自執行個體的輸出 IPv6 流量會傳送至集中式 VPC。這可以透過搭配使用 IPv6-to-IPv6 網路字首轉譯 (NPTv6) 與 NAT66 執行個體和 NAT 閘道,或使用 Proxy 執行個體和 Network Load Balancer 來完成。如果需要針對傳出流量進行集中流量檢查,且無法在每個輪輻 VPC 中執行,則此模式適用。
![\[描述使用 NAT 閘道和 NAT66 執行個體的集中式 IPv6 輸出的圖表。 NAT66\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-ipv6-egress-using-nat-gateways.png)
![\[描述使用代理執行個體和 Network Load Balancer 集中式 IPv4 和 IPv6 輸出的圖表。\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-ipv4-and-ipv6-egress.png)
[AWS 上的 IPv6 白皮書](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/advanced-dual-stack-and-ipv6-only-network-designs.html)說明集中式 IPv6 輸出模式。IPv6 輸出模式會在部落格中更詳細地討論[雙堆疊 IPv4 和 IPv6 VPCs 的集中式傳出網際網路流量](https://aws.amazon.com/blogs/networking-and-content-delivery/centralizing-outbound-internet-traffic-for-dual-stack-ipv4-and-ipv6-vpcs/),以及特殊考量、範例解決方案和圖表。