Todos los productos de AWS Marketplace
S4 NAT
Redes

S4 NAT

NAT optimizado en costes para Amazon VPC

Procesamiento de datos a $0/GB Servicio de AWS que reemplaza: AWS NAT Gateway
Obtener en AWS Marketplace

S4 NAT proporciona a las subredes privadas de tu Amazon VPC egress a internet optimizado en costes (source NAT) sobre una instancia EC2 estándar: una tarifa fija de software por hora más la instancia EC2 que elijas — sin cargo de procesamiento de datos por GB, por lo que tu coste es predecible y está desacoplado del volumen de egress. Se distribuye como una AMI Amazon Linux 2023 con alta disponibilidad active/standby (normalmente menos de 10 segundos), NAT64 integrado para subredes solo IPv6 y un fast path XDP opcional. Despliega en minutos con las plantillas CloudFormation incluidas.

S4 NAT proporciona a las subredes privadas de tu Amazon VPC egress a internet optimizado en costes, construido sobre una instancia EC2 estándar. Realiza source NAT (MASQUERADE) para que las subredes privadas puedan acceder a internet, y solo pagas una tarifa fija de software por hora más el precio de la instancia que elijas — no hay cargo de procesamiento de datos por GB, por lo que el coste es predecible y está desacoplado del volumen de egress. El ancho de banda escala con el tipo de instancia. HA viene integrada: despliega la plantilla active/standby y el standby hace heartbeats al active; ante un fallo, reescribe las tablas de rutas mediante ec2:ReplaceRoute y mueve una Elastic IP compartida, normalmente en menos de diez segundos.

El problema

AWS NAT Gateway añade un cargo por procesamiento de datos de $0.045/GB a cada byte que tus subredes privadas envían a través de él, además de la tarifa horaria. Esa tarifa escala linealmente con el volumen de salida, por lo que para cargas de trabajo de alto rendimiento domina la factura a los 10 TB/mes y puede alcanzar miles de dólares a los 50 TB/mes, lo que dificulta predecir el gasto. Tu coste va ligado a cuánto transfieres, no al trabajo que realiza realmente el NAT.

Cómo funciona

  1. 1

    Desplegar con CloudFormation

    Una única plantilla de CloudFormation (individual o HA) crea la instancia NAT, su ENI con la comprobación de origen/destino desactivada, un rol de IAM con privilegios mínimos y un grupo de seguridad de ámbito de VPC.

  2. 2

    Apuntar la ruta privada hacia él

    El stack reescribe la ruta 0.0.0.0/0 de tus subredes privadas a la ENI de la instancia NAT, donde natd realiza source-NAT del tráfico con nftables MASQUERADE.

  3. 3

    El standby envía heartbeats y luego toma el control

    En un par HA, el standby comprueba el estado del activo mediante un heartbeat UDP y, en caso de fallo, reescribe las tablas de rutas a su propia ENI (ec2:ReplaceRoute) y mueve la Elastic IP compartida, normalmente en menos de 10 segundos.

Características destacadas

Sin tarifa de procesamiento de datos por GB: solo pagas una tarifa fija de software por hora más la instancia EC2 que elijas, por lo que tu factura de NAT es predecible y está desacoplada del volumen de egress.

Alta disponibilidad integrada: un par active/standby entre AZs hace failover reescribiendo las tablas de rutas y moviendo una Elastic IP compartida, normalmente en menos de 10 segundos — validado en 60 simulacros consecutivos con 0 fallos.

Todo incluido, sin lock-in: NAT64 integrado (RFC 6146) para subredes solo IPv6, fast path XDP opcional y plantillas CloudFormation (single + HA) — todo en una AMI Amazon Linux 2023 estándar dentro de tu propia VPC.

Qué incluye

  • AMI de Amazon Linux 2023, Graviton arm64 por defecto (variante x86_64 disponible)
  • Plano de datos nftables MASQUERADE (reenvío IPv4 de Linux, comprobación de origen/destino desactivada en la ENI, $0/GB por procesamiento de datos)
  • HA activo/standby en dos AZ (reescritura de rutas mediante ec2:ReplaceRoute más una Elastic IP compartida que se reasocia a la instancia superviviente, manteniendo constante la IP pública de salida)
  • NAT64 (RFC 6146) — un traductor tayga integrado permite que las subredes de solo IPv6 accedan a internet IPv4 (validado en EC2 real)
  • Ruta rápida XDP opcional (el kernel nftables es el plano de datos soportado en v1; XDP es una ruta de aceleración opcional)
  • Plantillas de CloudFormation — configuración en un clic de instancia única (cfn-single.yaml) y par HA (cfn-ha.yaml)
  • Métricas de CloudWatch bajo el espacio de nombres S4/NAT (throughput, uso de conntrack, failover, heartbeat) más una alarma y un panel de control integrados

Casos de uso

Subredes privadas con alto volumen de salida donde el cargo de NAT por GB domina la factura

Equipos que buscan un coste de NAT plano y predecible, independiente del volumen de tráfico

Subredes de solo IPv6 que aún necesitan acceder a internet IPv4 (NAT64)

Reemplazo de un NAT Gateway administrado para el acceso saliente a internet desde subredes privadas

Preguntas frecuentes

¿Es realmente más barato que un NAT Gateway administrado?

Elimina por completo el cargo por procesamiento de datos de $0.045/GB ($0/GB), dejando una tarifa de software fija por hora más la instancia EC2 que elijas. Debido a que el coste del appliance es fijo, el ahorro crece con el volumen — en la hoja de cálculo de ejemplo, una instancia individual alcanza el punto de equilibrio alrededor de 1 TB/mes de tráfico NAT y ahorra aproximadamente un 84% con 10 TB/mes. Sinceramente, el punto de equilibrio depende de tu tráfico, el tamaño de la instancia y el tiempo de actividad, y la transferencia entre AZ y la salida a internet se siguen facturando como de costumbre.

¿El failover es sin interrupciones?

El failover es rápido, pero no sin interrupciones. El standby reescribe las tablas de rutas y mueve la Elastic IP normalmente en menos de 10 segundos (media de unos 4 s; 100 de cada 100 simulacros tuvieron éxito con cero fallos). Las conexiones en curso se reinician al asumir el control; los clientes se vuelven a conectar y las nuevas conexiones tienen éxito de inmediato. El failover de salida sin interrupciones no es factible con un NAT basado en instancias en AWS, por lo que no lo afirmamos.

¿Cuánto ancho de banda soporta?

El ancho de banda está vinculado al tipo de instancia EC2 que elijas, no a un límite administrado fijo. Medimos alrededor de 4.78 Gbps a través del NAT en una c6in.large con iperf3; las instancias de mayor tamaño optimizadas para red escalan más. Dimensiona la instancia para el throughput que necesites.

¿Soporta subredes de solo IPv6?

Sí. El NAT64 integrado (RFC 6146) utiliza un traductor tayga incluido para convertir el tráfico de clientes de solo IPv6 a la internet IPv4. Se validó en una instancia EC2 real, alcanzando un host IPv4 externo con un 0% de pérdida de paquetes.

¿Es seguro y cómo se despliega?

S4 NAT se ejecuta completamente dentro de tu propia VPC, por lo que ningún tráfico sale de tu cuenta. La ENI de NAT tiene desactivada la comprobación de origen/destino y se le asigna un rol de IAM con privilegios mínimos y un grupo de seguridad de ámbito de VPC. Se despliega con las plantillas de CloudFormation incluidas: cfn-single.yaml para una sola instancia, o cfn-ha.yaml para un par HA activo/standby.

Modelo de precios

Tarifa de software por hora + EC2 (clase t4g / c6g, Arm o x86). Sin tarifa de procesamiento de datos por GB. Medición por tipo de instancia, opción anual disponible.

Obtener en AWS Marketplace

Otros productos S4

S4 — Squished S3
Almacenamiento y datos

S4 — Squished S3

Gateway transparente de compresión S3 con GPU

50–80% menos bytes de almacenamiento
Reemplaza: Almacenamiento Amazon S3
S4 Logs
Observabilidad

S4 Logs

Archiva CloudWatch Logs en S3 con zstd

70–90% de descuento en CloudWatch Logs
Reemplaza: Amazon CloudWatch Logs
S4 Metrics
Observabilidad

S4 Metrics

Gobierna la cardinalidad de métricas de CloudWatch

Controla el coste de la cardinalidad de las métricas
Reemplaza: Métricas personalizadas de CloudWatch