J'ai besoin de migrer d'une instance NAT vers une passerelle NAT, et je souhaite que la migration soit effectuée avec un minimum de temps d'arrêt.
Brève description
Avant de migrer d'une instance NAT vers une passerelle NAT, vérifiez les détails de configuration suivants :
Adresses IP Elastic
N'utilisez pas la même adresse IP Elastic pour la passerelle NAT que celle déjà utilisée par l'instance NAT. Il est possible qu'une nouvelle adresse IP Elastic ne soit pas reconnue par les clients externes.
Limitations de la passerelle NAT
Une passerelle NAT ne peut pas exécuter certaines fonctions, par exemple transférer des ports, prendre en charge des scripts personnalisés, proposer des services VPN ou agir en tant qu'hôte bastion. Les connexions Internet vers la passerelle NAT ne sont pas autorisées.
Groupes de sécurité
Configurez les groupes de sécurité de vos instances NAT et les listes de contrôle d'accès réseau (listes ACL réseau) de votre passerelle NAT pour la migration. Vous pouvez utiliser des groupes de sécurité sur l'instance NAT et des listes ACL réseau sur le sous-réseau d'instance NAT pour contrôler le trafic à destination et en provenance du sous-réseau NAT. Vous ne pouvez utiliser une liste ACL réseau que pour contrôler le trafic à destination et en provenance du sous-réseau dans lequel se trouve la passerelle NAT.
Zones de disponibilité multiples
Si vos instances NAT actuelles fournissent une haute disponibilité dans toutes les zones de disponibilité (AZ), créez une architecture à plusieurs zones de disponibilité (Multi-AZ). Pour créer une architecture Multi-AZ, créez une passerelle NAT dans chaque zone de disponibilité. Puis, configurez vos tables de routage de sous-réseau privé dans une zone de disponibilité spécifique pour utiliser la passerelle NAT de la même zone de disponibilité. Le mode Multi-AZ est utile si vous souhaitez éviter les frais liés au trafic de la zone d'inter-disponibilité.
Tâches exécutées via l'instance NAT
Si certaines tâches s'exécutent via l'instance NAT, les connexions existantes sont supprimées lors de la migration. Une fois que vous avez modifié l'itinéraire vers l'instance NAT, les connexions doivent être rétablies.
Tester des migrations NAT individuelles
Si votre architecture vous permet de tester les migrations d'instances individuellement, migrez une instance NAT vers une passerelle NAT. Après avoir migré une instance, vérifiez la connectivité avant de migrer d'autres instances.
Exigences relatives aux ports
Vous devez autoriser le trafic en provenance des ports 1024 à 65535 car la passerelle NAT les utilise comme ports source. Pour plus d’informations, consultez la section Exemple : VPC avec des serveurs dans des sous-réseaux privés et NAT.
Résolution
-
Dissociez une adresse IP Elastic de l'instance NAT existante.
-
Créez une passerelle NAT dans le sous-réseau public pour l'instance NAT que vous souhaitez remplacer. Vous pouvez le faire avec l'adresse IP Elastic dissociée ou avec une nouvelle adresse IP Elastic.
-
Passez en revue les tables de routage qui font référence à l'instance NAT ou à l'interface réseau Elastic de l'instance NAT. Puis, modifiez l'itinéraire afin qu'il pointe plutôt vers la passerelle NAT nouvellement créée.
Remarque : Répétez ce processus pour chaque instance NAT et chaque sous-réseau que vous souhaitez migrer.
-
Accédez à l'une des instances Amazon Elastic Compute Cloud (Amazon EC2) du sous-réseau privé, puis vérifiez la connectivité à Internet.
Après avoir migré vers la passerelle NAT et vérifié la connectivité, vous pouvez résilier les instances NAT.
Informations connexes
Comparez les passerelles NAT et les instances NAT
Migrer d'une instance NAT vers une passerelle NAT
Passerelles NAT
Comment configurer une passerelle NAT pour un sous-réseau privé dans Amazon VPC ?
Résoudre les problèmes liés aux passerelles NAT