AWS：来自私有子网的仅出站连接

Question

我确信之前有人问过这个问题，并且 AWS 提供了许多文档，但它似乎对我不起作用。但找不到我的问题的直接答案，所以再次在这里提问。

我在私有子网中有一堆 EC2 实例，我不需要来自互联网的传入连接，但需要传出 apt-get 更新等。因此，如果我执行以下操作：

1. 创建子网和EIP
2. 然后利用这两个创建一个 NAT 网关
3. 然后创建一个路由表：
   1. 目的地 0.0.0.0/0 => NAT 网关（目标）
   2. 关联子网（上图）
4. 在上述子网中启动实例

应该为该实例提供仅出站连接吗？我在这里遗漏或做错了什么吗？提前致谢！！

-S

Answer 1

它很接近，但不太正确:)

要使其正常工作，您需要两个子网和两个路由表。

1. 公有子网

   • 具有 IGW - Internet 网关和可选的 NAT 网关
   • 0.0.0.0/0指向 IGW（而不是NAT 网关！）
   • 主机（EC2 实例、NAT 网关）必须附加公共 IP或弹性 IP，因为它们直接连接到互联网
   • 可以通过此公共/弹性 IP 从互联网联系主机（如果安全组允许）

2. 私有子网

   • 没有 IGW 或 NAT（因为您的 NAT GW 位于公共子网中！）
   • 指向上面公共子网0.0.0.0/0中 NAT 的点
   • 主机只有私有 IP，所有出站访问都被“屏蔽”到 NAT 网关 IP
   • 主机可以发起与互联网的连接，但无法从外部联系，因为它们“隐藏”在 NAT（网络地址转换网关）后面。
   • 没有配置 NAT 的主机将无法访问互联网

希望能解释一下:)