Neste artigo vou explicar para que serve um NAT Gateway, e a diferença entre um NAT Gateway Zonal com um NAT Gateway Regional.
Sumário
O que é um NAT Gateway na prática?
Um NAT Gateway é um serviço gerenciado de Network Address Translation que permite que instâncias em sub-redes privadas acessem a Internet ou outras redes, sem expor essas cargas de trabalho na rede pública.
Na prática, ele serve para:
Permitir que instâncias privadas façam download de pacotes, atualizações e acessem APIs externas.
Proteger essas instâncias privadas de acessos diretos vindos da Internet.
E centralizar o IP de saída, o que ajuda em regras de firewall com parceiros externos.
Quais são os dois tipos de conectividade disponíveis?
Public NAT Gateway: Este utiliza um IP elástico e envia o tráfego para a internet por meio do Internet Gateway.
Private NAT Gateway: Este faz a tradução para outras VPCs ou redes on-premises, sem expor o tráfego diretamente à internet.
Como funciona o NAT Gateway Zonal?
Para permitir com que a carga de trabalho, que está na sub-rede privada, consiga acessar à Internet, a arquitetura será assim:
Você cria uma sub-rede pública por ZD.
Em cada sub-rede pública, cria um NAT Gateway Zonal.
Em cada sub-rede privada, define a rota
0.0.0.0/0apontando para o NAT da mesma ZD.O Internet Gateway fica associado à VPC e é o destino padrão do NAT para tráfego de Internet.
Os Desafios de um NAT Gateway Regional
Mais componentes para gerenciar: Um NAT Gateway por zona de disponibilidade, mais sub-redes públicas e tabelas de rota por zona.
Maior risco de erro: Basta uma rota apontar para o NAT Gateway errado, para gerar tráfego cross AZ ou haver perda de conectividade.
Custo proporcional ao número de zonas: Você paga o valor por hora de cada NAT Gateway, mais o tráfego processado.
Como funciona o NAT Gateway Regional?
O NAT Gateway Regional funciona em escopo de região e VPC. Você cria um único recurso que se expande automaticamente pelas Zonas de Disponibilidade em que há cargas de trabalho, mantendo afinidade de zona para o tráfego.
Algumas vantagens que podemos mencionar são:
Você não precisa mais de sub-redes públicas para hospedar o NAT Gateway.
Você disponibilizará um NAT Gateway em modo Regional associado à VPC.
O serviço criará e gerenciará automaticamente a tabela de rota do NAT Gateway, com rota pré-configurada para o Internet Gateway.
As sub-redes privadas, em todas as ZDs, podem usar a mesma rota padrão apontando para o mesmo ID do NAT Gateway Regional.
Benefícios NAT Gateway Regional
Configuração simplificada:
Um único ID de NAT para toda a VPC.
Mesma entrada de rota
0.0.0.0/0para sub-redes privadas em todas as zonas.
Segurança reforçada:
Não precisa mais de sub-rede pública para o NAT Gateway.
Reduz o risco de alguém lançar acidentalmente cargas de trabalho sensíveis em sub-redes com rota direta para a internet.
Alta disponibilidade automática:
O NAT Gateway Regional acompanha o surgimento de interfaces de rede em novas ZDs.
Expande e contrai com a presença de cargas de trabalho em cada zona, mantendo afinidade de zona.
Limites maiores de IP e portas:
Até 32 endereços IP por ZD no NAT Gateway Regional, contra 8 no modo zonal.
Cada IP suporta cerca de 55.000 conexões simultâneas por destino.
Tabela comparativa: NAT Gateway Zonal versus NAT Gateway Regional
| Caracteristica | NAT Gateway Zonal | NAT Gateway Regional |
|---|---|---|
| Escopo | Uma única AZ | VPC inteira na região |
| Sub-rede pública | Obrigatória por AZ | Não é necessária para o NAT |
| Alta disponibilidade | Um NAT por AZ com rotas separadas | Automática acompanhando as AZs com workloads |
| Tabelas de rota | Geralmente uma por AZ | Mesma rota padrão para todas as sub-redes privadas |
| Gerenciamento | Mais complexo com vários objetos | Mais simples com único recurso |
| Limite de IPs por AZ | Até 8 IPs | Até 32 IPs |
| Portas por IP | 55000 conexões por destino | 55000 por IP com escalonamento automático |
| Uso com Private NAT | Suportado no modelo zonal | Não recomendado para conectividade privada |
| Risco de erro de rota | Mais alto com múltiplas AZs | Menor com rotas padronizadas |
Quando usar o NAT Gateway Zonal e o NAT Gateway Regional?
Quando faz sentido usar o NAT Gateway Zonal?
O NAT Gateway Zonal só é relevante quando você possui:
Arquiteturas muito reguladas em que você deseja controlar explicitamente cada ZD.
Topologias legadas em que a migração tem de ser feita aos poucos.
Quando o NAT Gateway Regional faz mais sentido?
Eu vejo o NAT Regional como a nova escolha padrão nas situações abaixo.
Cargas de trabalho distribuídas em múltiplas ZDs, com necessidade de saída para a internet.
Ambientes com equipes menores, que querem reduzir a complexidade de configuração na rede AWS.
Arquiteturas que buscam segurança mais rígida, evitando sub-redes públicas nas VPCs que hospedam dados sensíveis.
Cenários com alto volume de conexões de saída, se beneficiando do limite maior de IPs e da expansão automática.
O que pode aparecer no exame AWS sobre o NAT Gateway?
Mesmo antes do NAT Gateway Regional aparecer, o NAT Gateway Zonal já era assunto frequente nos exames de certificação AWS:
AWS Certified Cloud Practitioner (CLF-C02)
AWS Certified Solutions Architect Associate (SAA-C03)
Com a chegada do NAT Gateway Regional, eu espero ver questões sobre:
Comparação de arquitetura entre NAT Gateway Zonal e NAT Gateway Regional.
Cenários de sub-rede privada, onde a recomendação continua sendo o uso em modo zonal.
Perguntas sobre alta disponibilidade, segurança e custo, pedindo a alternativa que simplifica a arquitetura sem perder resiliência.
Conclusão
Depois de analisar os dois tipos de NAT Gateways disponíveis, a minha opinião é clara:
Para novas arquiteturas, o NAT Gateway Regional deve ser o seu novo padrão.
Para casos de sub-redes privadas em cenários muito específicos, como arquiteturas legadas, ainda faz sentido manter o NAT Gateway Zonal como opção recomendada.
E para você, ainda faz sentido ter um NAT Gateway Zonal? Compartilhe sua opinião nos comentários.
