在AWS 的Virtual Private Cloud(VPC,虛擬私有雲)中,Internet Gateway(網際網路閘道) 與 NAT Gateway(網路位址轉換) 是兩種實現外網存取的關鍵元件。它們分別應用於不同的子網類型— 公共子網路(public subnet) 和 私有子網路(private subnet),在雲端上網路設計中承擔核心角色。
本文將詳細介紹兩者的功能差異、部署方式及典型使用場景,幫助您建立一個高可用、可擴展且安全的雲端網路架構。
什麼是Internet Gateway?
Internet Gateway 是一種託管在AWS 上的邏輯網路元件,它使VPC 中的執行個體能夠透過公用IP 位址或彈性IP 位址(Elastic IP Address)存取網際網路。每個VPC 只能附加一個Internet Gateway。它本身不限制頻寬,流量瓶頸取決於關聯的 Amazon EC2 執行個體類型。
核心特性:
-
可使具有 public IP address 的執行個體連接互聯網
-
與 Route Table(路由表) 配合,將公共子網路的出站流量引導至互聯網
-
是實現雙向公網存取的前提條件
設定步驟範例:
-
建立VPC,並附加一個Internet Gateway
-
創建一個 public subnet,並在其Route Table 中新增一條目標為
0.0.0.0/0的路由,下一跳設為Internet Gateway -
啟用子網路內EC2 實例的「自動分配公用IP 位址」功能
✅ 此子網路即為 公共子網,其內實例具備公網通訊能力
什麼是NAT 閘道(NAT Gateway)?
當子網路中的實例不希望被公網直接訪問,但又需要主動存取互聯網(例如拉取更新、發送請求等),就需要使用NAT(Network Address Translation)機制。
兩種NAT 實作方式:
1. NAT 實例(NAT Instance)
NAT 實例是執行在EC2 上的自訂NAT 伺服器,您需要手動設定其安全性群組、路由表及關閉來源/目標檢查(source/destination check)。
缺點:
-
需要自行維運和監控
-
容易成為效能瓶頸(頻寬受限於EC2 執行個體類型)
2. NAT 網關(Managed NAT Gateway)
NAT Gateway 是由AWS 託管的彈性、高可用服務,推薦用於生產環境。
NAT Gateway 優勢:
-
完全託管服務:無需維護伺服器或設定防火牆
-
高可用性:自動故障轉移
-
高頻寬:最高可達45 Gbps(視區域而定)
-
支援彈性IP Address:綁定公網出口
典型部署方式:
-
在 public subnet 中建立NAT Gateway,並指派一個 Elastic IP
-
在 private subnet 的Route Table 中加入
0.0.0.0/0路由,目標設為NAT Gateway
⚠️ NAT Gateway 只能用於出站流量。公網請求無法主動連線NAT Gateway 後的私有實例。
Internet Gateway vs NAT Gateway:關鍵區別一覽
| 特性 | Internet Gateway | NAT Gateway |
|---|---|---|
| 連接方向 | 雙向(入站/出站) | 僅出站 |
| 適用子網 | 公共子網路(public subnet) | 私有子網路(private subnet) |
| 是否需要公共IP | 是 | 否(由NAT 出口統一轉換) |
| 資源管理 | AWS 託管 | AWS 託管 |
| 可用性配置 | 支援全區域 | 需為每個可用區單獨創建 |
| 安全群組綁定 | 支援 | 不支援綁定安全性群組 |
| 使用彈性IP | 可選 | 必須綁定一個EIP |
相關核心概念一覽
為更能理解NAT 和Internet Gateway,以下概念需一併掌握:
-
Public NAT Gateway:部署在公有子網路中並指派EIP,用於私有子網路出站存取
-
Private NAT Gateway:AWS 尚未原生支援(但可透過Transit Gateway 實作類似邏輯)
-
Route Table(路由表):VPC 中的子網路需透過路由表定義出口路徑(例如到Internet Gateway 或NAT Gateway)
-
Private IP Address & Public IP Address:私有子網路中使用私有IP;如需公網存取必須配置彈性公網IP 或使用NAT
-
Virtual Private Gateway:用於VPN 或Direct Connect 連接企業資料中心與AWS 網路
最佳實務與架構建議
✅ 公有子網路架構:
-
放置需要公網存取的服務(如Web Server)
-
設定Internet Gateway 與公網IP
✅ 私有子網路架構:
-
放置資料庫、快取等內網服務
-
配置NAT Gateway 供服務存取互聯網資源
-
搭配彈性負載平衡器(ELB)做入站訪問的代理轉發
Oncloud AI協助您安全上雲
作為AWS 官方授權合作夥伴,Oncloud AI 提供如下服務支援:
-
AWS 企業帳號註冊代付服務
-
建構安全合規的VPC 網路架構
-
NAT Gateway、Internet Gateway 設定與最佳化
-
雲端伺服器託管與持續維運服務
-
網路安全群組、安全審計、入侵防護諮詢
📧 如需AWS 架構設計與資源最佳化,歡迎聯絡Oncloud AI,協助您無憂上雲。
結語
透過合理使用Internet Gateway 與NAT Gateway,您可以根據業務安全策略靈活劃分VPC 中的子網路存取權限,建構既安全又有效率的網路架構。
掌握AWS 網路服務的底層邏輯,不僅有助於成本優化,也為未來的系統可擴充性打下堅實基礎。
