問題タブ [aws-nat-gateway]

その中に 2 つのサブネットを持つ VPC があります。

1. Natインスタンスを使用するパブリック サブネット
   インターネットからの着信接続は許可されません。
2. アプリケーション サーバーを
   使用したプライベート サブネット プライベート サブネットのルート テーブルは、宛先 0.0.0.0/0 に Nat インスタンスの eni を使用するため、アプリケーション サーバーは Nat インスタンスを介して外部サーバーにリクエストを送信できます。

VPC フロー ログの形式は次のとおりです。

だから、私が見たアプリケーションサーバーのフローログで：

外部ホスト 31.220.24.x が私のプライベート インスタンス 172.30.4.205 に接続しようとしているようですね。しかし、このドキュメントによると、 tcp-flagとしての18は SYN-ACK を意味するため、内部ホストからの私の SYN パケットに対する外部ホストからの応答です。以前の SYN パケットなしで SYN-ACK を取得することに混乱したので、このケースをシミュレートして、すべてのパケットをtcpdumpで記録しようとしました。172.30.4.205 から 31.220.24.x にいくつかのデータを送信し、CloudWatch で同じログを取得しましたが、WireShark の 3 つのパケットすべて - SYN、SYN-ACK、ACK:

では、なぜアプリケーション サーバーの CloudWatch ログに最初の SYN パケットが表示されないのでしょうか。前もって感謝します！

ルート テーブルにプライベートの複数の NAT ゲートウェイをセットアップしようとしていますが、不足しているものについて混乱しています。私が欠けているものについて誰かが私のコードを手伝ってくれますか?

これは私のルートテーブルです:

これは私の NAT EIP と NAT ゲートウェイです。

以前は、各 NAT ゲートウェイを宛先 0.0.0.0/0 のルート テーブルに接続したかったのですが、それができませんでした。アーキテクチャで NAT ゲートウェイを高可用性にする方法はありますか? または、NAT ゲートウェイを 1 つだけ接続する必要がありますか? この場合、Terraform で 1 つの NAT ゲートウェイのみをアタッチするには、何を入力する必要がありますか? 助けていただければ幸いです。

更新: このシナリオについて質問がある人のために、回答を探している他の人のためにコードを更新しました。