Я разрабатываю сетевой поток для следующего сценария -
Теперь я подключаюсь к клиентской VPN на моем ноутбуке, который является моим маршрутом в Management VPC. Поскольку VPC1 и VPC2 взаимодействуют с Management VPC, могу ли я получить доступ к службам в этих VPC с моего ноутбука?
Сеть AWS
Сеть AWS не является транзитивной. Обычно вы не можете переключаться между сетями, не сделав это явным образом. У вас должна быть цель в VPC, к которому вы подключены, и с этой цели вы можете подключаться ко всему, что просматривается.
Если ваш управляющий VPC взаимодействует с вашими VPC1 и VPC2, вы не можете получить доступ к VPC 1/2 напрямую со своего ноутбука с помощью Client VPN. Чтобы получить доступ, вам необходимо поместить сервер-бастион или аналогичный сервис (AWS Appstream, AWS workspace и т. Д.) В управляющий VPC.
Предложение - Архитектура с несколькими аккаунтами
Этот тип настройки чаще всего выполняется с использованием архитектуры с несколькими учетными записями, которая обеспечивает дополнительную изоляцию.
Вы можете настроить AWS Control Tower в качестве оптимальной среды для начала работы, а затем настроить AWS Transit Gateway в выделенной сетевой учетной записи или учетной записи управления для связи между учетными записями / VPC. Клиентский VPN можно настроить в той же учетной записи, что и транзитный шлюз, и он может предоставлять доступ ко всем учетным записям / VPC, если они настроены правильно, но это больше угроз безопасности - бастион помогает с изоляцией.
Вы можете получить дополнительный контроль, поместив шлюз NAT в учетную запись, если вам не нужен общедоступный доступ в Интернет, или установив прокси-серверы Squid, чтобы ограничить, к каким сайтам могут подключаться ваши серверы - например, сайты обновлений ОС.
Это, вероятно, будет стоить больше, чем ваша текущая установка. Это больше похоже на корпоративную стратегию, где безопасность и соответствие требованиям важнее общих затрат.