标签: amazon-vpc

我对安装证书和 AWS 本身非常陌生。现在，在我当前的基础架构中，我有 3 个位于 VPC 中的 ELB。

我已经通过 Big Rock 从 COMODO 购买了通配符 ssl 证书。

我想要的是我的 ELB 和外部世界之间的所有通信都应该通过 HTTPS。

1. 我怎样才能做到这一点？
2. 我可以在所有三个 ELB 上安装一个通配符证书吗？
3. 有没有更好的方法呢？
4. 此外，由于它是我拥有的通配符证书，因此我无法将它用于 api.example.com 但不能用于 example.com 本身（根据我的理解）。但是，目前对外部世界可见的是example.com（而不是真正的api.example.com）那么我是否需要为上述场景购买另一个证书？
5. 考虑到我还有 example.in 作为域以及托管同一站点的域，我应该使用哪种类型的证书（我在这里阅读了UCC SSL 证书）。

请原谅我对此事的无知。

我想使用另一个 VPC 的 Nat 网关（不是 EC2 上的 Nat 实例！）将我的流量从对等 VPC 路由到 Internet。我的基础设施如下所示：

/---------------------VPC-LIVECHAT---------------------\
| /---Subnet A---\  /---Subnet B---\  /---Subnet C---\ |
| |              |  |              |  |              | |
| \-10.10.0.0/24-/  \-10.10.1.0/24-/  \-10.10.2.0/24-/ |
\------------------------------------------------------/
               |                        |
               | VPC Peering Connection |
               |                        |
/----------------------VPC-COMMON----------------------\
| /---Subnet A---\  /---Subnet B---\  /---Subnet C---\ |
| |  /--------\  |  |  /--------\  |  |  /--------\  | |
| |  | NAT GW |  |  |  | NAT GW |  |  |  | NAT …

在我公司的 AWS 云中，我们有 4 个 VPC，一个用于我们的每个主要 API 环境（开发、测试、阶段、生产）。为了使这些环境尽可能相似，它们都将 CIDR 块设置为 10.0.0.0/16。

现在我们需要创建一个在这些环境之间共享的内部服务。为了便于论证，我们假设这个新服务存储来自所有这些环境的日志数据。此服务存在于其自己的 VPC 中，其 CIDR 块为 10.1.1.0/24。

起初，我认为我可以简单地将来自所有环境 VPC 的对等连接添加到日志记录 VPC 中。但是，当我开始设置路由表时遇到了障碍。我从 Dev -> Logging 创建了一个路由表，它路由目的地为 10.1.1.0/24 的所有流量。但是我仍然无法从 dev 连接到我的日志记录服务器。似乎我需要为 Logging -> Dev 添加一个路由表，它路由目标为 10.0.0.0/16 的所有流量。这允许我从开发服务器连接到日志服务器，但现在我无法将我的任何其他环境连接到日志 VPC。

日志服务器永远不必启动与我的 API 服务器的连接，它只需要接收和响应连接。所以我的下一个想法是我可以在每个环境 VPC 上使用 NAT 网关，然后将它们路由到日志记录 VPC。不幸的是，NAT 网关似乎直接连接到 Internet，我不希望我的日志记录 VPC 连接到 Internet。

我觉得一定有办法让这个工作，但我想不出一个。目前我觉得我唯一的选择是创建 4 个日志 VPC 并在每个 VPC 中运行单独的日志服务器，但从成本的角度来看，这对我来说并不真正吸引我。

我必须使用 EC2 实例。它们都位于同一个 VPC 中，并且都分配有公共 IP。

我的问题是我需要使用安全组中的公共 IP 才能允许它们进行通信。如果我尝试使用私有 IP，它们的连接将被拒绝。

我最终将删除他们的公共 IP，并且希望之后不必更改我的安全组设置。

为什么我无法使用私有 IP 作为同一 VPC 中两台机器的源？

所以我想知道这是否是一个好主意。我有一个带有公共和私有子网的 Amazon AWS VPC 设置。所以我都准备好了 Internet 网关和 NAT。我打算在私有子网中设置我所有的 Web 服务器（Apache2 实例）和数据库服务器，并使用负载平衡器/反向代理来获取请求并将它们发送到服务器的私有子网集群中。那么我的问题是，亚马逊 ELB 对这些有很好的用处，还是设置我自己的自定义实例来处理公共请求并使用 nginx 或 pound 通过 NAT 运行它们更好？

我喜欢第二个选项只是为了有一个我可以登录并检查的实例。以及利用缓存和 fail2ban ddos​​ 预防，以及可能使用故障安全来重定向流量。但我对他们的 ELB 没有经验，所以我想我会问你的意见。

另外，如果你们对此也有意见，使用第二个选项是否允许我只有 1 个公共 IP 地址并且能够通过端口号将 SSH 连接路由到各个实例？

提前致谢！

我正在遵循本指南：http : //d36cz9buwru1tt.cloudfront.net/pdf/EC2_AD_How_to.pdf 来设置我的域控制器。我正确安装了 AD，但是当我升级到 DC 时，服务器重新启动，当我尝试访问它时，我无法使用任何本地系统帐户登录。

我什至创建了自己的独立用户帐户，但这并没有帮助。我确保禁用了用于重命名机器的亚马逊设置，该机器具有静态 ip 并已重命名。

我的 Web 服务在专有 VM（Azure）而不是 EC2 实例上运行。但我仍在使用 Amazon 的 RDS 和 S3 来存储数据并提供静态和媒体文件。就我而言，使用 VPC 有什么好处吗？根据我的理解，两个好处是安全性和网络性能。我还能利用它吗（哪怕是一点点）？

我必须创建多个 VPC（每个应用程序一个）。我尝试使用相同的 CIDR 10.0.0.0/16 创建另一个 VPC，并且工作正常。

那么可以使用相同的 CIDR 创建多个 VPC 吗？

此外，我正在尝试托管一个Drupal应用程序，其中包括一个网络服务器和一个 RDS 服务器。

我正在尝试以编程方式设置 vpn 应推送到客户端的路由，其中​​主要的路由之一是 VPC 网络。有没有办法从我的 vpn 实例中获取 VPC CIDR 块？

我在 VPC 的 Elastic Beanstalk 自动扩展组中启动了两个 EC2 实例。这些 EC2 实例上的应用程序需要连接到使用 IP 地址白名单的第三方服务才能允许访问。所以我使用 NAT 网关来拥有静态 IP，以便可以将它们添加到白名单中。第三方已经从我在 aws 控制台配置的两个 NAT 网关授予了对 IP 的访问权限。但是我还不能连接。在接受任何 IP 连接的开发环境中，应用程序运行正常。

有可能我使用了错误的 IP？我可以使用哪个命令来知道我的应用程序在互联网上获得了哪个 IP？我做了从服务器到第三方服务的 traceroute 并没有显示 NAT Gatewa IP，是这样吗？