如何从 NAT 实例迁移到 NAT 网关?

1 分钟阅读
0

我需要从 NAT 实例迁移到 NAT 网关,希望在最短的停机时间内完成迁移。

简短描述

在从 NAT 实例迁移到 NAT 网关之前,请查看以下配置详细信息:

弹性 IP 地址

不要为 NAT 实例已经使用的 NAT 网关使用相同的弹性 IP 地址。外部客户端可能无法识别新的弹性 IP 地址。

NAT 网关限制

NAT 网关无法执行转发端口、支持自定义脚本、提供 VPN 服务或充当堡垒主机等功能。不允许通过互联网连接到 NAT 网关。

安全组

配置 NAT 实例安全组和 NAT 网关网络访问控制列表(网络 ACL)以进行迁移。使用 NAT 实例上的安全组和 NAT 实例子网上的网络 ACL 来控制进出 NAT 子网的流量。您只能使用网络 ACL 来控制进出 NAT 网关所在子网的流量。

多个可用区

如果您当前的 NAT 实例提供跨可用区 (AZ) 的高可用性,请创建多可用区 (Multi-AZ) 架构。要创建多可用区架构,请在每个可用区创建 NAT 网关。接下来,在特定可用区配置您的私有子网路由表,以使用来自同一可用区的 NAT 网关。如果您想避免因可用区间流量而产生费用,则多可用区非常有用。

通过 NAT 实例运行的任务

如果您有通过 NAT 实例运行的任务,则在迁移期间会断开现有连接。更改到 NAT 实例的路由后,必须重新建立连接。

测试单次 NAT 迁移

如果您的架构允许您单独测试实例迁移,则将一个 NAT 实例迁移到 NAT 网关。迁移一个实例后,在迁移其他实例之前检查连接。

端口要求

必须允许来自端口 1024 - 65535 的流量,因为 NAT 网关使用这些端口作为源端口。有关详细信息,请参阅示例: 具有 NAT 且服务器位于私有子网中的 VPC

解决方法

  1. 取消弹性 IP 地址与现有 NAT 实例的关联

  2. 在公共子网中为要替换的 NAT 实例创建 NAT 网关。您可以使用已取消关联的弹性 IP 地址或新的弹性 IP 地址执行此操作。

  3. 查看引用 NAT 实例或 NAT 实例的弹性网络接口的路由表。然后编辑路由,以指向新创建的 NAT 网关。

    注意: 请对要迁移的每个 NAT 实例和子网重复此过程。

  4. 访问私有子网中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例之一,然后验证与互联网的连接。

迁移到 NAT 网关并验证连接后,您可以终止 NAT 实例。

相关信息

比较 NAT 网关和 NAT 实例

从 NAT 实例迁移到 NAT 网关

NAT 网关

如何在 Amazon VPC 中为私有子网设置 NAT 网关?

NAT 网关故障排除

AWS 官方
AWS 官方已更新 4 个月前