一句话结论(记住这个就不会错)
NAT Gateway 是“给 Private Subnet 用的”,
但它必须部署在 Public Subnet 里。
👉 “服务对象” ≠ “部署位置”
为什么 NAT Gateway 一定在 Public Subnet?
NAT Gateway 要做的事情是两步:
1️⃣ 接收私有子网的出站流量
2️⃣ 把流量发到 Internet,并接收返回流量
而要做到第 2 步,它自己必须能上网。
Public Subnet vs Private Subnet 的本质区别
Public Subnet
路由表中有:
0.0.0.0/0→ InternetGateway(IGW)具备“出公网”的能力
Private Subnet
没有到 IGW 的路由
本身无法直接访问互联网
如果把 NAT Gateway 放进 Private Subnet 会发生什么?
我们假设一个错误配置 👇
Private Subnet ├─ EC2 ├─ NAT Gateway ❌流量路径会变成:
EC2 → NAT Gateway → ❓但问题是:
NAT Gateway 所在的 Private Subnet
没有 0.0.0.0/0 → IGW
所以 NAT 自己也 出不了网
👉 死路一条
正确结构(图中展示的就是这个)
Private Subnet:0.0.0.0/0→ NAT Gateway Public Subnet:0.0.0.0/0→ IGW NAT Gateway(有 EIP)实际流量路径
EC2(Private)→ NATGateway(Public)→InternetGateway→Internet为什么说 “NAT 是给 Private Subnet 用的”?
因为它解决的是这个问题:
Private Subnet 里的资源
能访问外部,但不暴露在公网
也就是说:
| 对象 | 能被公网访问 | 能访问公网 |
|---|---|---|
| Public Subnet EC2 | ✅ | ✅ |
| Private Subnet EC2 | ❌ | ❌ |
| Private + NAT | ❌ | ✅ |
一个很好用的记忆方法
NAT 的“屁股”朝向 Private Subnet,
NAT 的“脸”朝向 Internet。
面向 Internet → 必须在 Public Subnet
服务 Private → Private Subnet 的默认路由指向它
你再看那张图,其实逻辑是完全一致的
NAT Gateway 画在 Public Subnet ✔
Private Subnet 的路由:
0.0.0.0/0→ NATGateway- NAT Gateway 的路由:
0.0.0.0/0→ IGW
