NAT GW

📘 ¿Qué es un NAT Gateway?

NAT Gateway (Network Address Translation Gateway) es un servicio administrado de AWS que permite que instancias en subredes privadas se conecten a Internet u otros servicios de AWS, sin exponer sus IPs privadas directamente.

🛡️ Ofrece salida a Internet segura desde subredes privadas.

---

🧠 ¿Para qué se usa?

• Para permitir que instancias en una subnet privada:

  • Descarguen actualizaciones de sistema.

  • Accedan a servicios externos (como DockerHub, API públicas, S3, etc.).

  • Hagan llamadas salientes a servicios de AWS (si no se usa VPC Endpoint).

• Sin permitir conexiones entrantes desde Internet.

---

🧩 ¿Cómo funciona?

Subred privada (sin IGW)
     ↓
   Instancia EC2
     ↓
   NAT Gateway (en subnet pública)
     ↓
Internet Gateway (IGW)
     ↓
Internet

---

⚙️ Requisitos para usar NAT GW

Requisito	Descripción
Subred pública	Donde se coloca el NAT GW
IP elástica (EIP)	Requerida por NAT GW para salir a Internet
Tabla de rutas de subnet privada	Debe enrutar 0.0.0.0/0 hacia el NAT GW
IGW asociado a VPC	Para permitir la conexión final a Internet

---

📊 Diferencia: NAT Gateway vs NAT Instance

Característica	NAT Gateway	NAT Instance
Tipo	Administrado	EC2 administrada manualmente
Escalado	Automático	Manual
Mantenimiento	Cero (AWS lo gestiona)	Debes actualizarla tú
Performance	Muy alta (~45 Gbps)	Limitada por tipo de instancia
Seguridad	SG + NACL (indirectamente)	Puedes usar SG directamente
Costo	Más costosa	Más barata, pero más trabajo

💡 Recomendación: Usa NAT Gateway para producción por simplicidad y performance.

---

💸 Costos de NAT Gateway

Componente	Precio aproximado
Por hora de uso	~$0.045/hora
Por GB procesado	~$0.045 por GB
EIP adicional	Sin costo si está en uso

⚠️ ¡Puede volverse caro! Si el tráfico saliente es alto, considera alternativas como:

• VPC Endpoints (para S3, DynamoDB)

• NAT Instances si se requiere control/costo

---

🧭 Tabla de rutas típica

Subred pública (donde vive el NAT Gateway):

Destino       →  Target
0.0.0.0/0     →  Internet Gateway (IGW)

Subred privada (con EC2 sin IP pública):

Destino       →  Target
0.0.0.0/0     →  NAT Gateway

---

🔐 Seguridad

• NAT GW no tiene SG propio (usa el de la instancia de destino).

• Solo permite salida, nunca entrada.

• El tráfico entrante desde Internet es bloqueado automáticamente.

---

🛠️ Integraciones comunes

Servicio AWS	Uso común mediante NAT GW
EC2 en subred privada	Descargar software, conectar con APIs
ECS/Fargate privados	Conectar con Internet
CloudFormation/CDK	Provisión automatizada de NAT GW
Lambda (en VPC)	Acceder a endpoints HTTP externos

---

🧠 Preguntas tipo certificación

1. ¿Qué recurso permite a una instancia privada acceder a Internet sin tener IP pública?

   • ✅ NAT Gateway

2. ¿Cuál es el requisito para que un NAT Gateway funcione?

   • ✅ Debe estar en una subred pública con una IP elástica y tener acceso al IGW

3. ¿Puede un servidor externo iniciar una conexión hacia el NAT GW?

   • ❌ No, el tráfico solo es saliente

4. ¿Cómo se conecta una subred privada al NAT GW?

   • ✅ Mediante la tabla de rutas

5. ¿Cómo se puede reducir el costo del tráfico de salida?

   • ✅ Usando VPC Endpoints para servicios como S3 y DynamoDB

---

🧱 Arquitectura típica

Internet
   ↓
Internet Gateway (IGW)
   ↓
NAT Gateway (en Subnet Pública)
   ↓
EC2 / ECS en Subnet Privada

---

📚 Recursos útiles

• 📘 Documentación oficial NAT Gateway

• 🛠️ Tutorial paso a paso: NAT Gateway + VPC

• 💸 Precios de NAT Gateway

• 📺 Video: Subnet privada y NAT Gateway (YouTube)