rus*_*ert 2 networking amazon-ec2 vpc amazon-web-services amazon-vpc
我们正在设置一个Amazon VPC,在其中我们将(现在)配置一个EC2实例和一个RDS实例。这是为了“扩展我们的数据中心”,并且只能使用私有子网。
因此,实际上,我们有了此设置,并且运行良好(插入笑脸图标)。出于所有目的和目的,我们在此处镜像了Amazon概述的VPC场景4:http : //docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario4.html
tl; dr:单个VCP,VPN连接到我们的公司网络。VPN使用虚拟专用网关(VPC端)和客户网关(我们的端)来允许我们根据需要访问EC2,其中EC2包含根据需要连接到RDS实例的Web服务器。我们网络上的任何人都可以通过URL访问EC2上运行的Web服务器。所有这些都按预期工作。
问题出在EC2实例需要访问Internet上的资源时-这个想法是让我们没有任何公共子网,而是将来自EC2实例的所有流量通过我们的VPN路由到公司的“标准”路径之外互联网。但是,我们在设置时遇到了麻烦。
可以在以下Amazon的FAQ中突出显示可以做到这一点的事实:https: //aws.amazon.com/vpc/faqs/
问:没有公共IP地址的实例如何访问Internet?
没有公共IP地址的实例可以通过以下两种方式之一访问Internet:
没有公共IP地址的实例可以通过NAT网关或NAT实例路由其流量,以访问Internet。这些实例使用NAT网关或NAT实例的公共IP地址遍历Internet。NAT网关或NAT实例允许进行出站通信,但不允许Internet上的计算机启动与私有寻址实例的连接。
对于具有硬件VPN连接或直接连接连接的VPC,实例可以将其Internet流量通过虚拟专用网关路由到您现有的数据中心。从那里,它可以通过您现有的出口点和网络安全/监视设备访问Internet。
我们试图避免选择#1,因为这涉及成本(以及复杂性和安全性问题)。#2对我们来说是完美的解决方案,但是了解设置它的过程已经使我们望而却步了。
任何人都可以引导我们完成我们需要做的事情(或将我们指向正确的资源),以确保EC2实例*可以通过将流量沿着VPN,企业数据中心和我们现有的Internet访问点进行路由来访问Internet吗?
* 以及与此相关的私有子网中的任何内容
如果您使用的是场景2,那么AWS端要做的就是确保将发往Internet的流量0.0.0.0/0路由到您的虚拟专用网关。
流量到达那里之后,它将转到您的客户网关和公司数据中心。如果可能的话,最终由当地的IT人员来决定是否可以访问Internet流量。但是到那时,它不再是AWS问题。
| 归档时间: |
|
| 查看次数: |
4823 次 |
| 最近记录: |