S4 NAT
面向 Amazon VPC 的成本优化 NAT
S4 NAT 为 Amazon VPC 中的 private subnets 提供运行在标准 EC2 instance 上的成本优化 internet egress (source NAT):固定按小时计费的软件费用加你选择的 EC2 instance — 没有按 GB 收取的 data-processing charge,因此成本可预测,并与 egress volume 解耦。以 Amazon Linux 2023 AMI 交付,包含 active/standby high availability (通常低于 10 秒)、面向 IPv6-only subnets 的内置 NAT64,以及可选 XDP fast path。可使用随附的 CloudFormation templates 在数分钟内部署。
S4 NAT 为 Amazon VPC 中的 private subnets 提供构建在标准 EC2 instance 上的成本优化 internet egress。它执行 source NAT (MASQUERADE),让 private subnets 可以访问 internet;你只需支付固定按小时计费的软件费用和所选 instance 的价格 — 没有按 GB 收取的 data-processing charge,因此成本可预测,并与 egress volume 解耦。带宽随 instance type 扩展。内置 HA:部署 active/standby template 后,standby 会对 active 进行 heartbeat;发生故障时,它会通过 ec2:ReplaceRoute 重写 route table(s),并移动共享 Elastic IP,通常在十秒内完成。
面临挑战
除了每小时的费率外,AWS NAT Gateway 还会对您的私有子网通过它发送的每个字节收取 $0.045/GB 的数据处理费。该费用与流出流量线性增加,因此对于高吞吐量的工作负载,在 10 TB/月时它会占据账单的大部分,在 50 TB/月时甚至可达数千美元,这使得支出难以预测。您的成本取决于您的传输量,而不是 NAT 实际处理的工作。
工作原理
- 1
通过 CloudFormation 部署
一个 CloudFormation 模板(单实例或 HA)即可创建 NAT 实例、禁用源/目的检查的 ENI、最小权限的 IAM 角色以及 VPC 作用域的安全组。
- 2
将私有路由指向它
该堆栈将您私有子网的 0.0.0.0/0 路由重写到 NAT 实例的 ENI,随后 natd 使用 nftables MASQUERADE 对流量进行源 NAT。
- 3
备用节点发送心跳,随后接管
在 HA 双机中,备用节点通过 UDP 心跳对活动节点进行健康检查,并在发生故障时将路由表重写为指向其自身的 ENI(ec2:ReplaceRoute)并移动共享的 Elastic IP,通常不到 10 秒。
产品亮点
无按 GB 收取的 data-processing fee:你只需支付固定按小时计费的软件费用加所选 EC2 instance,因此 NAT 账单可预测,并与 egress volume 解耦。
内置 high availability:跨 AZ 的 active/standby pair 通过重写 route table(s) 并移动共享 Elastic IP 完成 failover,通常低于 10 秒 — 已通过 60 次连续演练验证,0 failures。
功能齐全,无 lock-in:面向 IPv6-only subnets 的内置 NAT64 (RFC 6146)、可选 XDP fast path,以及 CloudFormation templates (single + HA) — 全部运行在你自己 VPC 内的标准 Amazon Linux 2023 AMI 上。
包含内容
- Amazon Linux 2023 AMI,默认采用 Graviton arm64(提供 x86_64 版本)
- nftables MASQUERADE 数据平面(Linux IPv4 转发,禁用 ENI 的源/目的检查,$0/GB 数据处理费)
- 跨两个可用区(AZ)的主备高可用(HA)(通过 ec2:ReplaceRoute 重写路由,并配合重新关联至存活节点的共享 Elastic IP,以保持流出公网 IP 不变)
- NAT64(RFC 6146)— 内置的 tayga 转换器允许纯 IPv6 子网访问 IPv4 互联网(已在真实 EC2 上通过验证)
- 可选的 XDP 快速路径(内核 nftables 是支持的 v1 数据平面;XDP 是可选的加速路径)
- CloudFormation 模板 — 一键部署单实例(cfn-single.yaml)或高可用(HA)双机(cfn-ha.yaml)
- S4/NAT 命名空间下的 CloudWatch 指标(吞吐量、conntrack 利用率、故障转移、心跳)以及随附的告警和仪表板
适用场景
每 GB 的 NAT 费用占据账单主要部分的高流量流出私有子网
寻求与流量解耦、可预测的固定 NAT 成本的团队
仍需访问 IPv4 互联网的纯 IPv6 子网(NAT64)
替代托管的 NAT Gateway,以实现私有子网的流出互联网访问
常见问题
它真的比托管的 NAT Gateway 更便宜吗?
它完全免除了 $0.045/GB 的数据处理费($0/GB),只留下固定的每小时软件费加上您选择的 EC2 实例费用。由于该设备的成本是固定的,节省 of 费用会随着流量的增加而增长 — 在说明性工作表中,单实例在 NAT 流量约为 1 TB/月时达到收支平衡,并在 10 TB/月时节省约 84%。坦白地说,收支平衡取决于您的流量、实例规格和运行时间,而跨 AZ 和互联网流出的传输费仍照常计费。
故障转移是无缝的吗?
故障转移速度很快,但并非无损。备用节点会重写路由表并移动 Elastic IP,通常不到 10 秒(平均约 4 秒;100 次演练全部成功,零失败)。接管时传输中的连接会重置;客户端重新连接,新连接会立即成功。在 AWS 上使用实例 NAT 无法实现无损的流出故障转移,因此我们不作此声明。
它能处理多少带宽?
带宽受限于您选择的 EC2 实例类型,而不是固定的托管上限。我们使用 iperf3 在 c6in.large 上测得通过 NAT 的带宽约为 4.78 Gbps;更大的网络优化型实例可以进一步扩展。请根据您所需的吞吐量来规划实例规格。
它支持纯 IPv6 子网吗?
是的。内置的 NAT64(RFC 6146)使用随附的 tayga 转换器将来自纯 IPv6 客户端的流量转换为 IPv4 互联网流量。它已在真实 EC2 上通过验证,访问外部 IPv4 主机时丢包率为 0%。
它安全吗?如何部署它?
S4 NAT 完全运行在您自己的 VPC 内部,因此没有任何流量会离开您的账户。NAT 的 ENI 禁用了源/目的检查,并被授予了最小权限的 IAM 角色和 VPC 作用域的安全组。您可以使用随附 of CloudFormation 模板进行部署:单实例使用 cfn-single.yaml,或者主/备 HA 对使用 cfn-ha.yaml。
计费模式
按小时计费的软件费用 + EC2 (t4g / c6g class, Arm or x86)。无按 GB 收取的 data-processing fee。按 instance type 计量,提供年度选项。
