那些遇到过的问题

如何让 AWS VPC EC2 实例能够看到 AWS API?

Pet*_*nce 6 nat proxy amazon-web-services amazon-vpc

我们正在通过 CloudFormation 在 AWS VPC 内部启动基础设施。

我们使用自动扩展组来启动 VPC-EC2 实例(因此,我们不直接启动实例;ASG 负责管理)。

在 PVC 内部,EC2 实例只有一个私有 IP;不做进一步的工作,他们就看不到外面的世界

当这些实例启动时,我们有一些引导任务需要与各种 AWS API 对话。我们还有一些需要 AWS API 流量的持续任务。

你如何解决这个明显的先有鸡下蛋的问题?

我们已经阅读了:

  • NAT 实例 - 但不太喜欢这个,因为它是我们堆栈的另一层。
  • 为每个需要通话的 VPC 实例分配弹性 IP - 但是 a) 它们都这样做,并且 b) 由于我们使用的是 ASG,我们不知道在配置时将 EIP 分配给哪些实例,以及 c) 我们需要设置一些东西来监视这些 ASG 并在实例终止和替换时分配 EIP
  • 启动一个实例(实际上是一个负载平衡对,可能跨越 AZ)以充当所有 API 流量的 AWS-API 代理

我想我想知道我们是否可以打开某种后门,允许我们的 VPC EC2 实例访问 AWS API 端点,但没有别的,对于廉价的复杂设置,不会添加另一个网络跃点层到我们用于服务请求的基础设施。

小智 3

您已经介绍了让私有子网中的 VPC 实例与外界通信的主要方法。

  1. 将私有子网的 Internet 流量从连接到您办公室的 VPN 隧道路由出去,然后该隧道可以提供对 Internet 其余部分的访问。并不理想,因为它需要始终在线的 VPN 隧道和穿过您办公室的额外跃点。

我建议使用 NAT 实例,这是对私有子网内的计算机进行 Internet 访问的推荐设置。它们是按子网配置的,因此您的计算机在启动时不需要了解其配置的任何信息。只需确保使用 m1.large 或更大的实例即可获得更高的网络吞吐量(相对于 m1.small)

归档时间:

查看次数:

3055 次

最近记录:

10 年,3 月 前
相关归档
Elastic Beanstalk 卡住超过 12 小时 11
amazon aws - 区域数据传输 - EC2 可用区的输入/输出/之间 10
是否可以从 CloudFormation 更新现有的 EC2 安全组? 9
是否可以在防火墙级别将全局 IPv6 地址 NAT 转换为内部 IPv4 地址? 7
AWS 快照自动化 7
为什么有时 AWS EC2 的工作速度真的很慢? 4
如何在 AWS Certificate Manager 中设置 CloudFlare Origin Certificate? 4
这是什么内容拦截器? 2
我可以使用 Amazon Web Services (AWS) 在单个 EC2 实例上安装多少个 EBS 驱动器? 1
当您可以与云提供商创建许多虚拟网络时,为什么要使用子网? -5
难疑归档
使用 dig 列出域中的所有 DNS 记录? 207
如何查看sshd日志? 158
什么是 ADFS(Active Directory 联合服务)? 94
我应该怎么做才能确保 IIS 不会回收我的应用程序? 93
在跟随符号链接时执行 rsync 81
如何测试我的服务器是否容易受到 ShellShock 漏洞的影响? 80
“dd”中的“bs”选项真的能提高速度吗? 77
如何更改已创建的 MySQL 用户的权限? 71
如何检查远程系统的端口是否已打开(ubuntu) 64
如何更改挂载点的所有者 57