Alle AWS Marketplace-Produkte
S4 NAT
Networking

S4 NAT

Kostenoptimiertes NAT für Amazon VPC

$0/GB Datenverarbeitung Ersetzter AWS-Dienst: AWS NAT Gateway
Im AWS Marketplace erwerben

S4 NAT bietet privaten Subnetzen in Ihrer Amazon VPC kostenoptimierten Internet-Egress (Source NAT) auf einer Standard-EC2-Instanz: eine feste stündliche Softwaregebühr plus die von Ihnen gewählte EC2-Instanz — OHNE Datenverarbeitungsgebühr pro GB, sodass Ihre Kosten planbar und vom Egress-Volumen entkoppelt sind. Wird als Amazon Linux 2023 AMI mit active/standby High Availability (typisch unter 10 Sekunden), integriertem NAT64 für IPv6-only-Subnetze und optionalem XDP Fast Path ausgeliefert. In wenigen Minuten mit den enthaltenen CloudFormation-Templates bereitstellen.

S4 NAT bietet privaten Subnetzen in Ihrer Amazon VPC kostenoptimierten Internet-Egress, aufgebaut auf einer Standard-EC2-Instanz. Es führt Source NAT (MASQUERADE) aus, damit private Subnetze das Internet erreichen können, und Sie zahlen nur eine feste stündliche Softwaregebühr plus den Preis der gewählten Instanz — es gibt keine Datenverarbeitungsgebühr pro GB, sodass die Kosten planbar und vom Egress-Volumen entkoppelt sind. Die Bandbreite skaliert mit dem Instanztyp. HA ist integriert: Stellen Sie das active/standby-Template bereit, und der Standby überwacht den Active per Heartbeat; bei einem Ausfall schreibt er die Routing-Tabelle(n) via ec2:ReplaceRoute um und verschiebt eine gemeinsame Elastic IP, typischerweise in unter zehn Sekunden.

Das Problem

AWS NAT Gateway berechnet zusätzlich zur stündlichen Gebühr eine Datenverarbeitungsgebühr von $0.045/GB für jedes Byte, das Ihre privaten Subnetze darüber senden. Diese Gebühr skaliert linear mit dem Egress-Volumen. Bei Workloads mit hohem Durchsatz dominiert sie die Rechnung ab 10 TB/Monat und kann bei 50 TB/Monat Tausende von Dollar erreichen, was die Ausgaben schwer vorhersehbar macht. Ihre Kosten hängen davon ab, wie viel Sie übertragen, und nicht von der Arbeit, die das NAT-Gateway tatsächlich leistet.

Funktionsweise

  1. 1

    Mit CloudFormation bereitstellen

    Eine einzige CloudFormation-Vorlage (Single oder HA) erstellt die NAT-Instanz, ihre ENI mit deaktiviertem Source/Dest-Check, eine IAM-Rolle mit minimalen Rechten und eine VPC-scoped Security Group.

  2. 2

    Private Route darauf verweisen

    Der Stack schreibt die 0.0.0.0/0-Route Ihrer privaten Subnetze auf die ENI der NAT-Instanz um, wo natd den Traffic per Source-NAT mit nftables MASQUERADE verarbeitet.

  3. 3

    Standby sendet Heartbeats, übernimmt dann

    In einem HA-Paar prüft der Standby den Zustand des aktiven Knotens über einen UDP-Heartbeat. Bei einem Ausfall schreibt er die Routentabellen auf seine eigene ENI um (ec2:ReplaceRoute) und verschiebt die gemeinsame Elastic IP, typischerweise in weniger als 10 Sekunden.

Highlights

Keine Datenverarbeitungsgebühr pro GB: Sie zahlen nur eine feste stündliche Softwaregebühr plus die gewählte EC2-Instanz, sodass Ihre NAT-Rechnung planbar und vom Egress-Volumen entkoppelt ist.

High Availability integriert: Ein active/standby-Paar über AZs hinweg führt Failover durch Umschreiben der Routing-Tabelle(n) und Verschieben einer gemeinsamen Elastic IP aus, typischerweise in unter 10 Sekunden — validiert über 60 aufeinanderfolgende Drills mit 0 Fehlern.

Alles enthalten, kein Lock-in: integriertes NAT64 (RFC 6146) für IPv6-only-Subnetze, optionaler XDP Fast Path und CloudFormation-Templates (single + HA) — alles auf einer Standard-Amazon Linux 2023 AMI in Ihrer eigenen VPC.

Lieferumfang

  • Amazon Linux 2023 AMI, standardmäßig Graviton arm64 (x86_64-Variante verfügbar)
  • nftables MASQUERADE Data Plane (Linux-IPv4-Forwarding, Source/Dest-Check auf der ENI deaktiviert, $0/GB Datenverarbeitung)
  • Aktiv/Standby-HA über zwei AZs (Routen-Rewrite via ec2:ReplaceRoute plus eine gemeinsame Elastic IP, die der verbleibenden Instanz neu zugewiesen wird, um die öffentliche Egress-IP konstant zu halten)
  • NAT64 (RFC 6146) — ein integrierter tayga-Translator ermöglicht IPv6-only Subnetzen den Zugriff auf das IPv4-Internet (auf echten EC2-Instanzen validiert)
  • Optionaler XDP Fast Path (Kernel-nftables ist die unterstützte v1 Data Plane; XDP ist ein Opt-in-Beschleunigungspfad)
  • CloudFormation-Vorlagen — One-Click-Single-Instanz (cfn-single.yaml) und HA-Paar (cfn-ha.yaml)
  • CloudWatch-Metriken unter dem S4/NAT-Namespace (Durchsatz, conntrack-Auslastung, Failover, Heartbeat) plus integrierter Alarm und Dashboard

Anwendungsfälle

Private Subnetze mit hohem Egress, bei denen die NAT-Gebühr pro GB die Rechnung dominiert

Teams, die berechenbare, flache NAT-Kosten unabhängig vom Traffic-Volumen wünschen

IPv6-only Subnetze, die dennoch das IPv4-Internet erreichen müssen (NAT64)

Ersetzen eines verwalteten NAT Gateways für den ausgehenden Internetzugang aus privaten Subnetzen

FAQ

Ist es tatsächlich günstiger als ein verwaltetes NAT Gateway?

Es entfällt die Datenverarbeitungsgebühr von $0.045/GB vollständig ($0/GB), sodass nur eine flache stündliche Softwaregebühr plus die von Ihnen gewählte EC2-Instanz anfallen. Da die Appliance-Kosten fix sind, steigen die Einsparungen mit dem Volumen — in unserem Beispielarbeitsblatt erreicht eine einzelne Instanz die Gewinnzone bei ca. 1 TB/Monat an NAT-Traffic und spart etwa 84% bei 10 TB/Monat. Ehrlich gesagt hängt die Gewinnschwelle von Ihrem Traffic, der Instanzgröße und der Betriebszeit ab. Datentransfer zwischen AZs sowie ausgehender Internet-Traffic werden weiterhin wie gewohnt abgerechnet.

Ist das Failover nahtlos?

Das Failover is schnell, aber nicht unterbrechungsfrei. Der Standby schreibt die Routentabellen um und verschiebt die Elastic IP typischerweise in weniger als 10 Sekunden (Mittelwert ca. 4s; 100 von 100 Tests waren erfolgreich, kein einziger Ausfall). Bestehende Verbindungen werden bei der Übernahme zurückgesetzt. Clients verbinden sich erneut und neue Verbindungen sind sofort erfolgreich. Da ein unterbrechungsfreies Egress-Failover mit einer Instanz-NAT auf AWS technisch nicht möglich ist, behaupten wir dies auch nicht.

Wie viel Bandbreite wird unterstützt?

Die Bandbreite ist an den von Ihnen gewählten EC2-Instanztyp gebunden und nicht an ein festes Limit. Wir haben mit iperf3 auf einer c6in.large einen Durchsatz von ca. 4.78 Gbps durch das NAT gemessen. Größere, netzwerkoptimierte Instanzen skalieren höher. Dimensionieren Sie die Instanz entsprechend dem benötigten Durchsatz.

Werden IPv6-only Subnetze unterstützt?

Ja. Das integrierte NAT64 (RFC 6146) nutzt einen mitgelieferten tayga-Translator, um den Traffic von IPv6-only Clients für das IPv4-Internet zu übersetzen. Dies wurde auf einer echten EC2-Instanz validiert, wobei ein externer IPv4-Host mit 0% Paketverlust erreicht wurde.

Ist es sicher und wie wird es bereitgestellt?

S4 NAT läuft vollständig in Ihrer eigenen VPC, sodass kein Traffic Ihr AWS-Konto verlässt. Für die NAT-ENI ist der Source/Dest-Check deaktiviert. Ihr wird eine IAM-Rolle mit minimalen Rechten und eine VPC-scoped Security Group zugewiesen. Die Bereitstellung erfolgt über die mitgelieferten CloudFormation-Vorlagen: cfn-single.yaml für eine einzelne Instanz oder cfn-ha.yaml für ein Aktiv/Standby-HA-Paar.

Preismodell

Stündliche Softwaregebühr + EC2 (t4g / c6g-Klasse, Arm oder x86). Keine Datenverarbeitungsgebühr pro GB. Verbrauchsabhängig nach Instanztyp, Jahresoption verfügbar.

Im AWS Marketplace erwerben

Weitere S4-Produkte

S4 — Squished S3
Speicher & Daten

S4 — Squished S3

Transparenter GPU S3-Komprimierungs-Gateway

50–80% weniger Speicher-Bytes
Ersetzt: Amazon S3-Speicher
S4 Logs
Observability

S4 Logs

CloudWatch Logs nach zstd S3 archivieren

70–90% Ersparnis bei CloudWatch Logs
Ersetzt: Amazon CloudWatch Logs
S4 Metrics
Observability

S4 Metrics

CloudWatch Metric-Cardinality steuern

Metrik-Kardinalitätskosten bändigen
Ersetzt: CloudWatch Custom Metrics