Что такое NAT gateway и как он позволяет инстансам в приватной подсети выходить в интернет, при этом не давая внешним подключениям достучаться до этих инстансов?

Определение

NAT Gateway — это Network Address Translation Gateway. Это сервис AWS, который позволяет инстансам в приватной подсети инициировать исходящие соединения в интернет, при этом блокируя нежелательные входящие соединения из внешних источников.

Основной функционал

NAT Gateway позволяет твоим приватным ресурсам:

• Получать доступ к внешним сервисам и скачивать обновления из интернета
• Делать исходящие API-запросы
• Сохранять безопасность, блокируя входящий трафик из интернета

Как это работает

NAT Gateway работает как посредник между твоими приватными инстансами и интернетом. Когда приватный инстанс отправляет трафик наружу, NAT Gateway транслирует приватный IP-адрес в публичный IP-адрес (Elastic IP), позволяя запросу достичь интернета. Ответный трафик затем транслируется обратно на приватный IP-адрес перед возвратом к инстансу.

Преимущества безопасности

Критическое преимущество в безопасности — это односторонняя коммуникация:

• Приватные инстансы могут инициировать исходящие соединения
• Интернет не может инициировать входящие соединения к твоим приватным инстансам
• Это защищает твою инфраструктуру от нежелательного доступа извне

Особенности развёртывания

NAT Gateway разворачивается в публичных подсетях и должен быть связан с Elastic IP-адресом. Он обеспечивает масштабируемое и отказоустойчивое решение для исходящего интернет-соединения, сохраняя при этом сетевую изоляцию и безопасность ресурсов в приватных подсетях.