Tous les produits AWS Marketplace
S4 NAT
Réseau

S4 NAT

NAT optimisé en coût pour Amazon VPC

Traitement des données à $0/GB Service AWS remplacé: AWS NAT Gateway
Obtenir sur AWS Marketplace

S4 NAT fournit aux sous-réseaux privés de votre Amazon VPC un egress internet optimisé en coût (source NAT) sur une instance EC2 standard : des frais logiciels horaires fixes plus l’instance EC2 que vous choisissez — sans frais de traitement des données par GB, pour un coût prévisible et découplé du volume d’egress. Fourni comme AMI Amazon Linux 2023 avec haute disponibilité active/standby (généralement moins de 10 secondes), NAT64 intégré pour les sous-réseaux IPv6-only et chemin rapide XDP optionnel. Déploiement en quelques minutes avec les templates CloudFormation inclus.

S4 NAT fournit aux sous-réseaux privés de votre Amazon VPC un egress internet optimisé en coût, construit sur une instance EC2 standard. Il effectue du source NAT (MASQUERADE) pour permettre aux sous-réseaux privés d’accéder à internet, et vous ne payez que des frais logiciels horaires fixes plus le prix de l’instance choisie — aucun frais de traitement des données par GB, ce qui rend le coût prévisible et découplé du volume d’egress. La bande passante évolue avec le type d’instance. La HA est intégrée : déployez le template active/standby et le standby envoie des heartbeats à l’active ; en cas de panne, il réécrit les tables de routage via ec2:ReplaceRoute et déplace une Elastic IP partagée, généralement en moins de dix secondes.

Le problème

AWS NAT Gateway ajoute des frais de traitement de données de $0.045/GB à chaque octet que vos sous-réseaux privés y envoient, en plus du tarif horaire. Ces frais augmentent linéairement avec le volume de sortie, de sorte que pour les charges de travail à haut débit, ils dominent la facture à 10 TB/month et peuvent atteindre des milliers de dollars à 50 TB/month, rendant les dépenses difficiles à prévoir. Votre coût suit ce que vous transférez, et non le travail que le NAT effectue réellement.

Fonctionnement

  1. 1

    Déployer avec CloudFormation

    Un seul modèle CloudFormation (single ou HA) crée l'instance NAT, son ENI avec la vérification source/destination désactivée, un rôle IAM de moindre privilège et un groupe de sécurité délimité au VPC.

  2. 2

    Pointer la route privée vers celle-ci

    La pile réécrit la route 0.0.0.0/0 de vos sous-réseaux privés vers l'ENI de l'instance NAT, où natd applique un source-NAT au trafic avec nftables MASQUERADE.

  3. 3

    Le standby envoie des heartbeats, puis prend le relais

    Dans une paire HA, le standby vérifie l'état de l'actif via un heartbeat UDP et, en cas de panne, réécrit les tables de routage vers sa propre ENI (ec2:ReplaceRoute) et déplace l'adresse Elastic IP partagée, généralement en moins de 10 secondes.

Points forts

Aucun frais de traitement des données par GB : vous payez uniquement des frais logiciels horaires fixes plus l’instance EC2 choisie, pour une facture NAT prévisible et découplée du volume d’egress.

Haute disponibilité intégrée : une paire active/standby entre AZ bascule en réécrivant les tables de routage et en déplaçant une Elastic IP partagée, généralement en moins de 10 secondes — validé sur 60 exercices consécutifs avec 0 échec.

Tout inclus, sans lock-in : NAT64 intégré (RFC 6146) pour les sous-réseaux IPv6-only, chemin rapide XDP optionnel et templates CloudFormation (single + HA) — le tout sur une AMI Amazon Linux 2023 standard dans votre propre VPC.

Ce qui est inclus

  • AMI Amazon Linux 2023, Graviton arm64 par défaut (variante x86_64 disponible)
  • Plan de données nftables MASQUERADE (Linux IPv4 forwarding, vérification source/destination désactivée sur l'ENI, traitement des données à $0/GB)
  • HA active/standby sur deux AZ (réécriture de route via ec2:ReplaceRoute plus une Elastic IP partagée qui se réassocie au survivant, maintenant l'IP publique sortante constante)
  • NAT64 (RFC 6146) — un traducteur tayga intégré permet aux sous-réseaux IPv6-only d'atteindre l'internet IPv4 (validé sur de vrais EC2)
  • Fast path XDP en option (nftables noyau est le plan de données v1 pris en charge ; XDP est un chemin d'accélération à activation optionnelle)
  • Modèles CloudFormation — configuration en un clic pour instance unique (cfn-single.yaml) et paire HA (cfn-ha.yaml)
  • Métriques CloudWatch sous l'espace de noms S4/NAT (débit, utilisation de conntrack, failover, heartbeat) plus une alarme et un tableau de bord inclus

Cas d'usage

Sous-réseaux privés à fort trafic sortant où les frais NAT par GB dominent la facture

Équipes qui souhaitent des coûts NAT prévisibles et forfaitaires, décorrélés du volume de trafic

Sous-réseaux IPv6-only qui doivent encore atteindre l'internet IPv4 (NAT64)

Remplacement d'une AWS NAT Gateway managée pour l'accès internet sortant depuis des sous-réseaux privés

FAQ

Est-ce réellement moins cher qu'une AWS NAT Gateway managée ?

Il supprime entièrement les frais de traitement de données de $0.045/GB ($0/GB), ne laissant qu'un tarif horaire logiciel fixe plus l'instance EC2 de votre choix. Le coût de l'appliance étant fixe, les économies augmentent avec le volume — dans l'exemple de simulation, une instance unique atteint son seuil de rentabilité autour de 1 TB/month de trafic NAT et permet d'économiser environ 84% à 10 TB/month. Pour être honnête, le seuil de rentabilité dépend de votre trafic, de la taille de l'instance et du taux de disponibilité, tandis que les transferts inter-AZ et de sortie internet restent facturés comme d'habitude.

Le failover est-il transparent ?

Le failover est rapide, mais pas sans coupure. Le standby réécrit les tables de routage et déplace l'Elastic IP, généralement en moins de 10 secondes (moyenne d'environ 4s ; 100 tests sur 100 ont réussi avec zéro échec). Les connexions en cours sont réinitialisées lors de la reprise ; les clients se reconnectent et les nouvelles connexions réussissent immédiatement. Un failover sortant sans coupure n'est pas réalisable avec un NAT basé sur une instance sur AWS, nous ne le prétendons donc pas.

Quelle bande passante peut-il gérer ?

La bande passante est liée au type d'instance EC2 que vous choisissez, et non à un plafond fixe géré. Nous avons mesuré environ 4.78 Gbps via le NAT sur une instance c6in.large avec iperf3 ; les instances plus grandes et optimisées pour le réseau permettent d'atteindre des débits supérieurs. Dimensionnez l'instance selon le débit dont vous avez besoin.

Prend-il en charge les sous-réseaux IPv6-only ?

Oui. Le NAT64 intégré (RFC 6146) utilise un traducteur tayga inclus pour convertir le trafic des clients IPv6-only vers l'internet IPv4. Il a été validé sur de vrais EC2, atteignant un hôte IPv4 externe avec 0% de perte de paquets.

Est-ce sécurisé, et comment le déployer ?

S4 NAT s'exécute entièrement dans votre propre VPC, de sorte qu'aucun trafic ne quitte votre compte. L'ENI du NAT a la vérification source/destination désactivée et se voit attribuer un rôle IAM de moindre privilège et un groupe de sécurité limité au VPC. Vous le déployez avec les modèles CloudFormation inclus : cfn-single.yaml pour une instance unique, ou cfn-ha.yaml pour une paire HA active/standby.

Modèle de tarification

Frais logiciels horaires + EC2 (classe t4g / c6g, Arm ou x86). Aucun frais de traitement des données par GB. Facturation à l’usage par type d’instance, option annuelle disponible.

Obtenir sur AWS Marketplace

Autres produits S4

S4 — Squished S3
Stockage & données

S4 — Squished S3

Gateway transparent de compression S3 par GPU

50–80% d'octets de stockage en moins
Remplace: Stockage Amazon S3
S4 Logs
Observabilité

S4 Logs

Archiver CloudWatch Logs vers S3 zstd

70–90% de réduction sur CloudWatch Logs
Remplace: Amazon CloudWatch Logs
S4 Metrics
Observabilité

S4 Metrics

Gouverner la cardinalité des métriques CloudWatch

Maîtriser le coût de cardinalité des métriques
Remplace: Métriques personnalisées CloudWatch