AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门。
NAT 实例与 NAT 网关的比较
下面概括列出了 NAT 实例和 NAT 网关的区别。
| 属性 | NAT 网关 | NAT 实例 |
|---|---|---|
| 可用性 | 高度可用。每个可用区中的 NAT 网关都采用冗余实施。在每个可用区中创建一个 NAT 网关可确保架构不依赖于可用区。 | 使用脚本管理实例之间的故障转移。 |
| 带宽 | 可以扩展到 45 Gbps。 | 取决于实例类型的带宽。 |
| 维护 | 由 AWS 管理。您不需要进行任何维护。 | 由您管理,例如您需要对实例安装软件更新或操作系统补丁。 |
| 性能 | 软件经过优化以便处理 NAT 流量。 | 配置来执行 NAT 的通用 Amazon Linux AMI。 |
| 费用 | 费用取决于您使用的 NAT 网关的数量、使用时长以及您通过 NAT 网关发送的数据量。 | 费用取决于您使用的 NAT 实例的数量、使用时长以及实例类型和大小。 |
| 类型和大小 | 整合提供;您不需要选择类型或范围。 | 根据您的预测工作负载选择适当的实例类型和大小。 |
| 公有 IP 地址 | 在创建时选择弹性 IP 地址以与 NAT 网关关联。 | 为 NAT 实例使用弹性 IP 地址或公有 IP 地址。您随时可以通过将新的弹性 IP 地址与实例关联来更改公有 IP 地址。 |
| 私有 IP 地址 | 在您创建网关时自动从子网的 IP 地址范围中选择。 | 在您启动实例时,从子网的 IP 地址范围内分配特定的私有 IP 地址。 |
| 安全组 | 无法与 NAT 网关关联。您可以将安全组与 NAT 网关之后的资源关联,以控制入站和出站流量。 | 与您的 NAT 实例和 NAT 实例之后的资源关联,以控制入站和出站流量。 |
| 网络 ACL | 使用网络 ACL 控制进出您的 NAT 网关所在子网的流量。 | 使用网络 ACL 控制进出您的 NAT 实例所在子网的流量。 |
| 流日志 | 使用流日志捕获流量。 | 使用流日志捕获流量。 |
| 端口转发 | 不支持. | 手动自定义配置以支持端口转发。 |
| 堡垒服务器 | 不支持。 | 用作堡垒服务器。 |
| 流量指标 | 查看 NAT 网关的 CloudWatch 指标。 | 查看实例的 CloudWatch 指标。 |
| 超时行为 | 如果连接超时,NAT 网关向 NAT 网关后方的任何资源返回 RST 数据包,尝试继续进行连接 (它不发送 FIN 数据包)。 | 如果连接超时,NAT 实例向 NAT 实例后方的资源发送 FIN 数据包,以关闭连接。 |
| IP 分段 |
支持转发 UDP 协议的 IP 分段数据包。 不支持 TCP 和 ICMP 协议的分段。将删除这些协议的分段数据包。 |
支持重组 UDP、TCP 和 ICMP 协议的 IP 分段数据包。 |