本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 NAT 閘道進行集中式 IPv4 輸出
<a name="using-nat-gateway-for-centralized-egress"></a>

NAT 閘道是受管網路地址轉譯服務。在每個語音 VPC 中部署 NAT 閘道可能會成本過高，因為您要為部署的每個 NAT 閘道支付每小時費用 （請參閱 [Amazon VPC 定價](https://aws.amazon.com/vpc/pricing/))。集中 NAT 閘道是降低成本的可行選項。若要集中，您可以在網路服務帳戶中建立個別的輸出 VPC、在輸出 VPC 中部署 NAT 閘道，並使用 Transit Gateway 或 CloudWAN 將所有來自輻 VPCs輸出流量路由到位於輸出 VPC 中的 NAT 閘道，如下圖所示。

**注意**  
當您使用 Transit Gateway 集中 NAT 閘道時，您需要支付額外的 Transit Gateway 資料處理費用，相較於在每個 VPC 中執行 NAT 閘道的分散式方法。在某些情況下，當您透過 NAT 閘道從 VPC 傳送大量資料時，將 NAT 本機保留在 VPC 中以避免傳輸閘道資料處理費用可能是更具成本效益的選項。

![\[描述分散式高可用性 NAT 閘道架構的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/decentralized-ha-nat-gateway.png)


![\[描述使用 Transit Gateway 集中式 NAT 閘道的圖表 （概觀）\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-nat-gateway-tg.png)


![\[描述使用 Transit Gateway 集中式 NAT 閘道的圖表 （路由表設計）\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/nat-gateway-tg-rt.png)


在此設定中，輻 VPC 連接與路由表 1 (RT1) 相關聯，並傳播至路由表 2 (RT2)。有一個 [Blackhole](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) 路由不允許兩個 VPCs彼此通訊。如果您想要允許 VPC 間通訊，您可以從 RT1 移除`10.0.0.0/8 -> Blackhole`路由項目。這可讓它們透過傳輸閘道進行通訊。您也可以將語音 VPC 連接傳播到 RT1 （或者，您可以使用一個路由表，並將一切關聯/傳播到其中），使用 Transit Gateway 在 VPCs之間啟用直接流量流程。

您可以在 RT1 中新增靜態路由，將所有流量指向輸出 VPC。由於此靜態路由，Transit Gateway 會透過輸出 VPC 中的 ENIs 傳送所有網際網路流量。在輸出 VPC 中，流量會遵循這些 Transit Gateway ENIs所在的子網路路由表中定義的路由。您可以在子網路路由表中新增路由，將所有流量指向相同可用區域中的個別 NAT 閘道，以將跨可用區域 (AZ) 流量降至最低。NAT 閘道子網路路由表具有網際網路閘道 (IGW) 作為下一個躍點。若要傳回流量回傳，您必須在 NAT 閘道子網路路由表中新增靜態路由表項目，將所有輻條 VPC 繫結流量指向 Transit Gateway 做為下一個躍點。

## 高可用性
<a name="HA-1"></a>

 為了獲得高可用性，您應該使用多個 NAT 閘道 （每個可用區域各一個）。如果 NAT 閘道無法使用，流量可能會捨棄在周遊受影響 NAT 閘道的可用區域中。如果某個可用區域無法使用，傳輸閘道端點和該可用區域中的 NAT 閘道將會失敗，而且所有流量都會流經另一個可用區域中的傳輸閘道和 NAT 閘道端點。

## 安全
<a name="Security-1"></a>

您可以依賴來源執行個體上的安全群組、傳輸閘道路由表中的黑洞路由，以及 NAT 閘道所在子網路的網路 ACL。例如，客戶可以使用 NAT Gateway 公有子網路上的 ACLs （允許或封鎖來源或目的地 IP 地址）。或者，您可以使用 NAT Gateway 搭配 AWS Network Firewall 進行下一節所述的集中式輸出，以滿足此需求。

## 可擴展性
<a name="Scalability-1"></a>

單一 NAT 閘道最多可支援每個指派 IP 地址與每個唯一目的地的 55，000 個同時連線。您可以請求配額調整，以允許最多八個指派的 IP 地址，允許 440，000 個同時連線到單一目的地 IP 和連接埠。NAT 閘道提供 5 Gbps 的頻寬，並自動擴展至 100 Gbps。Transit Gateway 通常不會充當負載平衡器，也不會將流量平均分配到多個可用區域中的 NAT 閘道。如果可能，跨 Transit Gateway 的流量將保持在可用區域內。如果啟動流量的 Amazon EC2 執行個體位於可用區域 1，流量會流出輸出 VPC 中相同可用區域 1 中的 Transit Gateway 彈性網路介面，並根據彈性網路介面所在的子網路路由表，流向下一個躍點。如需完整的規則清單，請參閱 Amazon Virtual Private Cloud 文件中的 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。

 如需詳細資訊，請參閱[使用 AWS Transit Gateway 從多個 VPCs 建立單一網際網路結束點](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-a-single-internet-exit-point-from-multiple-vpcs-using-aws-transit-gateway/)部落格文章。