Amazon-Web-Services

AWS:來自私有子網的僅出站連接

  • April 16, 2019

我確定之前有人問過這個問題,並且 AWS 提供了許多文件,但它似乎對我不起作用。但是找不到我的問題的直接答案,所以再次在這裡提問。

我在私有子網中有一堆 EC2 實例,我不需要來自網際網路的傳入連接,但需要傳出以進行 apt-get 更新等。所以,如果我執行以下操作:

  1. 創建子網和 EIP

  2. 然後創建一個 NAT 網關,利用這兩個

  3. 然後創建一個路由表:

  4. 目的地 0.0.0.0/0 => NAT 網關(目標)

  5. 關聯子網(上)

  6. 在上述子網中啟動實例

應該為該實例提供唯一的出站連接嗎?我在這裡遺漏或做錯了什麼?提前致謝!!

-S

它很接近但不太正確:)

要使其工作,您需要兩個子網和兩個路由表。

  1. 公共子網
  • 有 IGW - Internet 網關和可選的 NAT 網關
  • 0.0.0.0/0指向 IGW(而不是NAT 網關!)
  • 主機(EC2 實例、NAT 網關)在直接訪問 Internet 時必須附加公共 IP彈性 IP
  • 可以通過此公共/彈性 IP 從 Internet 聯繫主機(如果安全組允許)
  1. 私有子網
  • 沒有 IGW 或 NAT(因為您的 NAT GW 在公共子網中!)
  • 0.0.0.0/0指向上述公共子網中 NAT的點
  • 主機只有私有 IP,所有出站訪問都被“屏蔽”到 NAT 網關 IP
  • 主機可以發起與 Internet 的連接,但無法從外部聯繫,因為它們“隱藏”在 NAT(網路地址轉換網關)後面。
  • 沒有 NAT 配置的主機將無法訪問 Internet

希望能解釋它:)

引用自:https://serverfault.com/questions/963233