在我公司的 AWS 云中,我们有 4 个 VPC,一个用于我们的每个主要 API 环境(开发、测试、阶段、生产)。为了使这些环境尽可能相似,它们都将 CIDR 块设置为 10.0.0.0/16。
现在我们需要创建一个在这些环境之间共享的内部服务。为了便于论证,我们假设这个新服务存储来自所有这些环境的日志数据。此服务存在于其自己的 VPC 中,其 CIDR 块为 10.1.1.0/24。
起初,我认为我可以简单地将来自所有环境 VPC 的对等连接添加到日志记录 VPC 中。但是,当我开始设置路由表时遇到了障碍。我从 Dev -> Logging 创建了一个路由表,它路由目的地为 10.1.1.0/24 的所有流量。但是我仍然无法从 dev 连接到我的日志记录服务器。似乎我需要为 Logging -> Dev 添加一个路由表,它路由目标为 10.0.0.0/16 的所有流量。这允许我从开发服务器连接到日志服务器,但现在我无法将我的任何其他环境连接到日志 VPC。
日志服务器永远不必启动与我的 API 服务器的连接,它只需要接收和响应连接。所以我的下一个想法是我可以在每个环境 VPC 上使用 NAT 网关,然后将它们路由到日志记录 VPC。不幸的是,NAT 网关似乎直接连接到 Internet,我不希望我的日志记录 VPC 连接到 Internet。
我觉得一定有办法让这个工作,但我想不出一个。目前我觉得我唯一的选择是创建 4 个日志 VPC 并在每个 VPC 中运行单独的日志服务器,但从成本的角度来看,这对我来说并不真正吸引我。