Todos os produtos do AWS Marketplace
S4 NAT
Redes

S4 NAT

NAT com custo otimizado para Amazon VPC

Processamento de dados a $0/GB Serviço da AWS que substitui: AWS NAT Gateway
Obter no AWS Marketplace

S4 NAT fornece egress de internet com custo otimizado (source NAT) para sub-redes privadas no seu Amazon VPC em uma instância EC2 padrão: uma taxa fixa de software por hora mais a instância EC2 que você escolher — sem cobrança de processamento de dados por GB, para que seu custo seja previsível e desacoplado do volume de egress. Entregue como uma AMI Amazon Linux 2023 com alta disponibilidade active/standby (normalmente abaixo de 10 segundos), NAT64 integrado para sub-redes somente IPv6 e um fast path XDP opcional. Implante em minutos com os templates CloudFormation incluídos.

S4 NAT fornece egress de internet com custo otimizado para as sub-redes privadas no seu Amazon VPC, construído em uma instância EC2 padrão. Ele executa source NAT (MASQUERADE) para que sub-redes privadas possam acessar a internet, e você paga apenas uma taxa fixa de software por hora mais o preço da instância escolhida — não há cobrança de processamento de dados por GB, então o custo é previsível e desacoplado do volume de egress. A largura de banda escala com o tipo de instância. HA é integrado: implante o template active/standby e o standby monitora o active por heartbeat; em caso de falha, ele reescreve a(s) tabela(s) de rotas via ec2:ReplaceRoute e move um Elastic IP compartilhado, normalmente em menos de dez segundos.

O problema

O AWS NAT Gateway adiciona uma cobrança de processamento de dados de $0.045/GB a cada byte que suas subnets privadas enviam através dele, além da tarifa horária. Essa cobrança escala de forma linear com o volume de egress, de modo que, para workloads de alto throughput, ela domina a fatura a 10 TB/mês e pode chegar a milhares de dólares a 50 TB/mês, tornando os gastos difíceis de prever. Seu custo acompanha o quanto você transfere, não o trabalho que o NAT realmente faz.

Como funciona

  1. 1

    Fazer deploy com CloudFormation

    Um único template CloudFormation (single ou HA) cria a instância NAT, sua ENI com o source/dest check desativado, uma role IAM de privilégio mínimo e um security group no escopo da VPC.

  2. 2

    Aponte a rota privada para ela

    A stack reescreve a rota 0.0.0.0/0 das suas subnets privadas para a ENI da instância NAT, onde o natd faz o source-NAT do tráfego com nftables MASQUERADE.

  3. 3

    Standby envia heartbeats, depois assume o controle

    Em um par HA, o standby faz o health-check do ativo por meio de um heartbeat UDP e, em caso de falha, reescreve as tabelas de rotas para sua própria ENI (ec2:ReplaceRoute) e move o Elastic IP compartilhado, normalmente em menos de 10 segundos.

Destaques

Sem taxa de processamento de dados por GB: você paga apenas uma taxa fixa de software por hora mais a instância EC2 que escolher, então sua conta de NAT é previsível e desacoplada do volume de egress.

Alta disponibilidade integrada: um par active/standby entre AZs faz failover reescrevendo a(s) tabela(s) de rotas e movendo um Elastic IP compartilhado, normalmente em menos de 10 segundos — validado em 60 drills consecutivos com 0 falhas.

Completo e sem lock-in: NAT64 integrado (RFC 6146) para sub-redes somente IPv6, fast path XDP opcional e templates CloudFormation (single + HA) — tudo em uma AMI Amazon Linux 2023 padrão dentro do seu próprio VPC.

O que está incluído

  • AMI do Amazon Linux 2023, Graviton arm64 por padrão (variante x86_64 disponível)
  • Data plane nftables MASQUERADE (encaminhamento IPv4 do Linux, source/dest check desativado na ENI, $0/GB de processamento de dados)
  • HA ativo/standby em duas AZs (reescrita de rota via ec2:ReplaceRoute mais um Elastic IP compartilhado que é reassociado à instância sobrevivente, mantendo o IP público de egress constante)
  • NAT64 (RFC 6146) — um tradutor tayga integrado permite que subnets apenas IPv6 alcancem a internet IPv4 (validado em EC2 real)
  • Fast path XDP opcional (o nftables do kernel é o data plane suportado na v1; o XDP é um caminho de aceleração opcional)
  • Templates do CloudFormation — instância única (cfn-single.yaml) e par HA (cfn-ha.yaml) com um clique
  • Métricas do CloudWatch sob o namespace S4/NAT (throughput, utilização do conntrack, failover, heartbeat), além de um alarme e dashboard inclusos

Casos de uso

Subnets privadas com alto volume de egress onde a taxa de NAT por GB domina a fatura

Equipes que desejam um custo de NAT fixo e previsível, desvinculado do volume de tráfego

Subnets apenas IPv6 que ainda precisam alcançar a internet IPv4 (NAT64)

Substituição de um NAT Gateway gerenciado para acesso de saída à internet a partir de subnets privadas

FAQ

É realmente mais barato do que um NAT Gateway gerenciado?

Ele elimina totalmente a taxa de processamento de dados de $0.045/GB ($0/GB), restando apenas uma tarifa horária fixa de software mais o custo da instância EC2 de sua escolha. Como o custo do appliance é fixo, a economia aumenta com o volume — na planilha de simulação, uma instância solo atinge o ponto de equilíbrio (break-even) com cerca de 1 TB/mês de tráfego NAT e economiza aproximadamente 84% com 10 TB/mês. Sendo sinceros, o break-even depende do seu tráfego, do tamanho da instância e do uptime, e as taxas de transferência entre AZs (cross-AZ) e de egress para a internet ainda são cobradas normalmente.

O failover é transparente?

O failover é rápido, mas não é hitless. O standby reescreve as tabelas de rotas e move o Elastic IP, normalmente em menos de 10 segundos (média de aproximadamente 4s; 100 de 100 simulações foram bem-sucedidas, com zero falhas). Conexões em andamento são resetadas na transição; os clientes se reconectam e novas conexões têm sucesso imediatamente. Um failover de egress hitless não é viável com uma instância NAT na AWS, por isso não fazemos essa afirmação.

Quanta largura de banda ele suporta?

A largura de banda é limitada pelo tipo de instância EC2 que você escolher, não por um teto gerenciado fixo. Medimos cerca de 4.78 Gbps através do NAT em uma c6in.large com o iperf3; instâncias maiores e otimizadas para rede escalam ainda mais. Dimensione a instância para o throughput que você necessita.

Ele suporta subnets apenas IPv6?

Sim. O NAT64 integrado (RFC 6146) usa um tradutor tayga incluso para converter o tráfego de clientes apenas IPv6 para a internet IPv4. Ele foi validado em uma EC2 real, alcançando um host IPv4 externo com 0% de perda de pacotes.

É seguro e como posso fazer o deploy?

O S4 NAT roda inteiramente dentro da sua própria VPC, logo nenhum tráfego sai da sua conta. A ENI do NAT tem o source/dest check desativado e recebe uma role IAM de privilégio mínimo e um security group no escopo da VPC. Você faz o deploy com os templates CloudFormation inclusos: cfn-single.yaml para uma única instância, ou cfn-ha.yaml para um par HA ativo/standby.

Modelo de precificação

Taxa de software por hora + EC2 (classe t4g / c6g, Arm ou x86). Sem taxa de processamento de dados por GB. Medição por tipo de instância, opção anual disponível.

Obter no AWS Marketplace

Outros produtos S4

S4 — Squished S3
Armazenamento & dados

S4 — Squished S3

Gateway transparente de compressão S3 com GPU

50–80% menos bytes de armazenamento
Substitui: Armazenamento do Amazon S3
S4 Logs
Observabilidade

S4 Logs

Arquive CloudWatch Logs em S3 com zstd

70–90% de redução no CloudWatch Logs
Substitui: Amazon CloudWatch Logs
S4 Metrics
Observabilidade

S4 Metrics

Controle a cardinalidade de métricas do CloudWatch

Controle o custo de cardinalidade de métricas
Substitui: Métricas customizadas do CloudWatch