SST项目中VPC的无NAT网关支持方案解析

背景介绍

SST是一个流行的无服务器应用框架，它简化了在AWS上构建和部署无服务器应用的过程。在SST项目中，VPC(虚拟私有云)是构建隔离网络环境的核心组件。传统上，SST会自动为每个VPC配置NAT(网络地址转换)网关，以确保私有子网中的资源能够访问互联网。

问题起源

许多开发者在使用SST进行个人项目开发时发现，AWS原生的NAT网关成本较高，而他们的项目可能并不需要完整的NAT功能。这导致了一个矛盾：开发者希望使用SST的便利性，但又不想为不必要的NAT网关支付费用。

技术解决方案

SST团队针对这一问题提出了几种解决方案：

1. 完全禁用NAT：通过设置nat: false选项，可以创建不包含任何NAT网关的VPC。但需要注意，这种配置下Lambda函数等资源将无法访问互联网，除非将它们部署在公有子网中。

2. 单AZ NAT配置：通过设置az: 1选项，可以只在单个可用区部署NAT网关，而不是默认的多AZ部署，从而降低成本。

3. fck-nat替代方案：SST团队最终实现了对fck-nat的支持，这是一种基于EC2实例的开源NAT解决方案，成本仅为AWS原生NAT网关的1/10左右。

fck-nat实现细节

fck-nat的实现原理主要包括以下几个关键组件：

• 安全组配置：创建专门的安全组，允许所有进出流量，确保NAT功能正常工作。

• IAM角色与策略：为fck-nat实例配置适当的IAM权限，包括EC2网络接口管理和SSM访问权限。

• 启动模板：使用预构建的fck-nat AMI镜像创建启动模板，配置用户数据以关联网络接口。

• 自动扩展组：确保始终有一个健康的fck-nat实例运行，并在实例不健康时自动替换。

• 路由配置：将私有子网的路由表指向fck-nat实例的网络接口，实现NAT功能。

使用建议

对于不同场景，SST用户可以考虑以下配置方案：

1. 开发/测试环境：可以考虑完全禁用NAT(nat: false)，或者重用现有的VPC资源。

2. 预算有限的个人项目：推荐使用fck-nat方案(nat: "ec2")，在保证功能的同时大幅降低成本。

3. 生产环境关键业务：如果预算允许，可以使用AWS原生NAT网关(nat: "managed")，获得更高的可靠性和AWS的技术支持。

注意事项

使用fck-nat方案时需要注意：

1. 存在网络接口和公有子网之间的循环依赖关系，在删除VPC时需要手动先删除网络接口。

2. 需要确保选择与您所在区域匹配的fck-nat AMI镜像。

3. 虽然fck-nat成本低，但其可靠性和性能可能不如AWS原生NAT网关，需要根据业务需求权衡。

总结

SST项目通过引入对fck-nat的支持，为开发者提供了更加灵活和经济的VPC配置选项。这一改进特别适合个人项目和小型团队，使他们能够在有限的预算下充分利用SST的便利性。随着v3.1.36版本的发布，开发者现在可以通过简单的配置选项nat: "ec2"来启用这一功能，在成本与功能之间取得更好的平衡。