amazon-web-services - 单个 NAT 网关可以跨多个 AZ 吗？

Question

当我配置 NAT 网关时，我必须选择一个子网，因此据我了解，一个 NAT 网关用于一个子网，它属于一个可用区。

然后我看到了下面的声明

If you have resources in multiple Availability Zones and they share one NAT gateway, in the event that the NAT gateway's Availability Zone is down, resources in the other Availability Zones lose internet access, To create an Availability Zone-independent architecture, create a NAT gateway in each Availability Zone and configure your routing to ensure that resources use the NAT gateway in the same Availability Zone.

如果我在不同的子网中有多个 EC2，它们如何共享一个 NAT 网关？我理解错了吗？下面是我尝试创建 NAT 网关时看到的屏幕截图

Answer 1

NAT 网关连接到特定的子网，子网位于特定的可用区中。
中的 Amazon EC2 实例私有(private)子网 可以按如下方式使用 NAT 网关:

NAT 网关在 中启动公共(public)子网在同一个 VPC

路由表对于私有(private)子网，需要一个额外的条目，将所有 Internet 绑定(bind)流量 (0.0.0.0/0) 定向到 NAT 网关

根据您对风险的偏好，您可能会配置不同的东西。
案例一:一个公有子网，一个私有(private)子网在同一个AZ

NAT 网关进入公共(public)子网

EC2 实例进入私有(private)子网

私有(private)子网的路由表指向公共(public)子网中的 NAT 网关

案例2:两个公有子网，两个私有(private)子网，一个NAT网关

NAT 网关进入一个公共(public)子网 ( Public-Subnet-A )

EC2 实例在两个可用区(Private-Subnet-A、Private-Subnet-B)的私有(private)子网中启动

两个私有(private)子网的路由表都指向 NAT 网关

但是，如果可用区 A 出现故障(罕见，但可能发生)，则无法从 Private-Subnet-B 访问 NAT 网关。 .因此，即使系统跨两个 AZ 运行，它也可能会受到影响。
案例 3:两个公有子网、两个私有(private)子网、两个 NAT 网关

NAT 网关进入两个公共(public)子网(Public-Subnet-A，Public-Subnet-B)

EC2 实例在两个可用区(Private-Subnet-A、Private-Subnet-B)的私有(private)子网中启动

路由表 Private-Subnet-A指向 Public-Subnet-A 中的 NAT 网关

路由表 Private-Subnet-B指向 Public-Subnet-B 中的 NAT 网关

如果其中一个 AZ 发生故障，那么另一个私有(private)子网中的 EC2 实例仍然能够与 Internet 通信，因为它们在同一个 AZ 中有自己的 NAT 网关。