标签: aws-nat-gateway

我已在私有子网中创建了一个 EC2 实例（即路由表没有附加 Internet 网关）。

附加到私有子网的路由表将 0.0.0.0/0 路由到 NAT 网关。

EC2 实例具有正确的 SSM 角色并显示在 SSM 托管实例列表中。

我可以通过会话管理器在实例上启动会话。

但是，当我从路由表中删除 NAT 网关映射时，会话连接无法连接。

我的理解是 NAT 仅用于传出流量。因此，我假设会话管理器连接是通过内部 AWS 网络而不是公共互联网路由的，因为该实例无法访问。但是我不明白为什么该实例试图通过公共互联网路由流量。我原本预计，要将自身注册为 SSM 托管实例，实例上的 SSM 代理将需要互联网访问。但我不明白为什么会话管理器会要求实例具有互联网访问权限？

谢谢。

我编写了一个 lambda 函数来访问数据库，因此第一步是从 AWS Secrets Manager 获取机密。我有一个私有 VPC 以及与 lambda 函数关联的子网、NAT 网关和安全组。我也有secretsmanager.Secret.grantRead(lambda_exec_role)所以 lambda 应该可以访问 Secrets Manager。

出于某种原因，当我在 API Gateway 中测试它时，我在 CloudWatch 中得到了 "errno": "ETIMEDOUT" 和 "code": "NetworkingError"。从我在 API 中打印的日志来看，获取机密失败了。

我也试图为秘密管理器添加VPC的端点在这里，但仍然得到了同样的错误。

感谢这里的任何人可以帮助我解决这个问题或提供一些提示。

非常感谢！

我正在尝试学习 Aws cloud Formation ，我正在尝试创建 VPC，如图所示。它包含三个公共子网、私有子网、natg​​ateway 和 Internetgateway，以及公共和私有路由表。我试图通过云形成来实现它，但获得弹性 IP 的例外。 我已经创建了模板，但是当我尝试在云形成上创建堆栈时，出现错误

"The elastic-ip ID 'xx.xxx.xx.xxx' is malformed (Service: AmazonEC2; Status Code: 400; Error Code: InvalidElasticIpID.Malformed; Request ID: 2e3a9f8c-5a7e-482e-869c-8a0e46a08f27; Proxy: null)"

。我正在尝试将弹性 IP 连接到 NatGateway 并出现上述错误。请指导我该怎么做。

{

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Resources": {
    "ExampleEc2Instance": {
      "Type": "AWS::EC2::Instance",
      "Properties": {
        "InstanceType": "t2.micro",
        "ImageId" : "ami-047a51fa27710816e",
        "AvailabilityZone" : "us-east-1a",
        "SecurityGroupIds" : [{
           "Ref":"ExampleSecurityGroup"
        }],
        "SubnetId" : {
           "Ref":"public2A"
        }
      }
    },"ExampleEc2InstancePrivate": {
      "Type": "AWS::EC2::Instance",
      "Properties": {
        "InstanceType": "t2.micro",
        "ImageId" : "ami-047a51fa27710816e",
        "AvailabilityZone" : "us-east-1a", …

我对此有点迷失——我已经关注了AWS文档，但似乎我找不到更多的东西了。情况摘要是，我在 VPC 内有一个 EC2 实例，尽管按照 Amazon AWS 说明为 VPC 设置 NAT，但它无法访问 Internet。详情如下：

1. 我有一个 VPC，其中有一个子网 (CIDR 10.0.0.0/24) 和一个 EC2 实例（它仅在 VPC 内具有私有 IP 地址，10.0.0.168）

2. 我创建了一个互联网网关并将其附加到上述 VPC。

3. 我为入站和出站流量创建了一个网络 ACL，其所有流量允许为 0.0.0.0/0，并将该 ACL 附加到 VPC 的唯一子网。

4. VPC 子网安全组还允许 0.0.0.0/0 的所有流量进出

5. 我创建了一个 NAT 网关，它在 VPC 内有一个私有 IP 地址 (10.0.0.95) 和一个公共弹性 IP 地址（假设是 18.154.34.97，但我认为这并不重要）。该 NAT 网关连接到 VPC 的唯一子网。

6. 我创建了与 VPC 子网 (10.0.0.0/24) 关联的路由表，并包含两个条目：

    Destination     Target
    10.0.0.0/24     local
    0.0.0.0/0       nat-gateway-id

7. 为了访问 VPC，我创建了一个地址范围为 10.1.0.0/22 的客户端 VPN 终端节点，并将其与正确的 VPN 子网关联。

8. 我可以使用 OpenVPN 连接到客户端 VPN 终端节点并通过 ssh 进入 EC2 实例。但是，从那时起我无法访问互联网。同样，当连接到此客户端 …

我最近通过 CDK 在 AWS 上设置了一个应用程序。该应用程序由一个 Dockerized Nodejs 应用程序组成，该应用程序连接到 RDS 实例，并且还具有 Redis 缓存层。应用程序部署几天后，即使流量很小，成本也比我预期的要高得多。查看成本浏览器后，看起来一半的成本来自 NAT 网关。

在我当前的设置中，我创建了两个 VPC。一个用于应用程序堆栈，另一个用于 CodePipeline。我需要为管道添加一个，因为如果没有它，我在 CodeBuildAction 步骤期间尝试拉取 Docker 映像时会遇到速率限制。

我对网络部分不太满意，但我觉得涉及额外的资源。管道VPC有3个NAT网关和3个EIP。这些最终只是坐在那里等待下一次部署，这似乎是一种巨大的浪费。似乎为 CDK 中附加的 VPC 的每个构造分配了一个新的网关 + EIP。我可以让它重复使用同一个吗？有没有其他方法可以完全添加 VPC 并且不受 Docker 限制速率？

我还发现非常令人惊讶（我可能只是天真），NAT 网关到目前为止与我当前的 Fargate 任务成本同样昂贵。有没有一种替代方案可以满足我的目的，但成本要低一些？

无论如何，这是我的两个堆栈：

// pipeline-stack.ts

import { SecretValue, Stack, StackProps } from "aws-cdk-lib";
import { Construct } from "constructs";
import { Artifact, IStage, Pipeline } from "aws-cdk-lib/aws-codepipeline";
import {
  CloudFormationCreateUpdateStackAction,
  CodeBuildAction,
  CodeBuildActionType,
  GitHubSourceAction,
} from "aws-cdk-lib/aws-codepipeline-actions";
import {
  BuildEnvironmentVariableType,
  BuildSpec,
  LinuxBuildImage,
  PipelineProject,
} from "aws-cdk-lib/aws-codebuild";
import …

我创建两个 VPC，每个 VPC 拥有一个私有子网，每个私有子网拥有一个 EC2 实例（具有 IAM 策略“AmazonSSMManagedInstanceCore”的角色）。这两种环境的唯一区别在于是否有 NAT 网关。

我尝试通过会话管理器连接这两个 EC2 实例。具有 NAT 网关的 VPC 中的 EC2 实例可以访问，但其他 EC2 实例无法访问。

问题

1. 我想会话管理器需要 NAT 网关。它是否正确？
2. 如果1正确，为什么需要NAT网关？