亚马逊云科技推出 NAT Gateway 的区域级可用性支持

亚马逊云科技近日为其托管的 NAT Gateway 服务引入了区域级可用性。这一新能力允许开发者在一个 VPC 中创建单个 NAT Gateway，并自动跨多个可用区（AZ）运行，从而提供高可用性，同时无需在每个可用区中分别配置独立的 NAT Gateway 和公有子网。

NAT Gateway 允许位于私有子网中的实例通过 NAT Gateway 的 IP 地址访问互联网或 VPC 之外的其他服务。启用新的区域级选项后，开发者可以创建一个覆盖 VPC 内所有可用区的 NAT Gateway，该区域级服务会根据工作负载所在的可用区自动进行调整，而无需更新路由表。

区域级 NAT Gateway 支持两种运行模式：在自动模式下，亚马逊云科技负责管理 IP 地址，并自动处理可用区变化；在手动模式下，客户自行管理 IP 地址，并需要负责在各个可用区中管理和调整网关。

来源：亚马逊云科技文档

Rayo 的 CEO Matt Johnson 将 NAT Gateway 的区域级可用性视为云厂商发布的一个“看似小但实际非常有价值”的更新，并评论道：

如果你已经在大规模运，这类提前发布的更新往往比 re:Invent 的主题演讲更有影响力，它们为现有服务带来了实质性的改进。区域级 NAT Gateway 就是一个典型例子。虽然它并未解决成本问题，但在使用体验上带来了显著提升——尤其是不再需要管理私有子网中的可用区级路由（它作为区域级资源运行，类似于互联网关），也不再需要公有子网（由亚马逊云科技代为管理），并且可以根据需要在多个可用区之间自动扩展。

根据文档说明，当某个可用区中新建资源后，区域级 NAT Gateway 可能需要最多 60 分钟才能扩展到该可用区。在扩展完成之前，该资源的流量会由已有可用区中的区域级 NAT Gateway 跨可用区进行处理。

此外，是否跨可用区扩展取决于这些可用区中是否存在工作负载的 ENI，而不是是否有实际流量正在通过 NAT Gateway。随着越来越多用户尝试评估这种区域级方案的收益与成本，在一个热门的 Reddit 讨论帖中，用户 spicypixel 提问道：

有没有比我聪明的人能算一下，这种方式会不会比运行 3 个可用区级 NAT，或者甚至一个跨可用区 NAT，更容易把我“搞破产”？

用户 KayeYess 补充道：

不确定是否会有降价，但肯定能减少跨可用区部署和路由管理方面的运维负担。

亚马逊云科技建议，在不需要私有连接的场景下，都可以切换到新的区域级 NAT Gateway；而私有连接功能目前尚不支持区域级端点。

在另一项相关公告中，亚马逊云科技还在 AWS Compute Optimizer 中引入了未使用 NAT Gateway 的优化建议，并指出：“NAT Gateway 往往占据云支出的相当大一部分，但其成本优化面临着独特的挑战。”这一能力基于过去 32 天的 CloudWatch 日志进行分析，用于判断 NAT Gateway 是否没有任何活跃连接（ActiveConnectionCount = 0）、是否没有来自 VPC 客户端的入站数据包（PacketsInFromSource = 0），以及是否没有来自目标端的入站数据包（PacketsInFromDestination = 0）。

新的区域级特性目前已在除 GovCloud 和中国区域之外的所有区域正式可用。

原文链接：

https://www.infoq.com/news/2025/12/aws-regional-nat-gateway/