Назад | Перейти на главную страницу

amazon-aws: Как включить исходящее подключение к Интернету для AWS VPC только с частной подсетью?

В настоящее время в нашей настройке у нас есть частная и общедоступная подсеть в VPC A, которая связана с VPC B. VPC A имеет исходящее соединение, маршрутизируемое через интернет-шлюз и шлюз NAT (для обеспечения доступа в Интернет для экземпляров ec2 в нашей частной подсети). VPC B имеет только частную подсеть, у которой нет доступа в Интернет к его локальным экземплярам ec2. Согласно этой документации, скачкообразное подключение к Интернету между двумя VPC не поддерживается через одноранговое соединение: https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html

Это подводит меня к моему вопросу: можно ли включить подключение к Интернету только в частной подсети, использующей шлюз NAT? Или это можно сделать только в сочетании с общедоступной подсетью, связанной с интернет-шлюзом, как в VPC A? Если это возможно другими способами, каковы мои варианты?

Ваш частный VPC не может иметь шлюз NAT, поскольку для NAT требуется общедоступный IP-адрес.

Однако вы можете указать экземпляры в VPC B доступ в интернет косвенно если вы настроите Исходящий прокси в твоем VPC A. Вы можете использовать, например, Прокси-сервер Squid. Этот прокси будет принимать запросы от VPC B экземпляры и ретранслировать их в Интернет.

Ваши экземпляры в VPC B затем можно установить http_proxy=http://proxy.vpc-a:3128 и https_proxy=http://proxy.vpc-a:3128 и таким образом можно попасть в Интернет.

Дополнительным преимуществом является то, что ваш Прокси может регистрировать весь трафик, а также ограничивать доступ к веб-сайтам в соответствии с белым списком. Это может потребоваться в некоторых регулируемых средах.

Надеюсь, это поможет :)

Вы не можете подключиться к Интернету через пиринг VPC. Таким образом, чтобы VPC мог получить доступ к Интернету, он должен делать это самостоятельно.

Что касается того, как получить доступ в Интернет, только ресурсы в общедоступных подсетях могут получить доступ к Интернету напрямую:

  • Подсеть должна иметь маршрут к Интернет-шлюзу, и
  • Экземпляр EC2 / NAT должен иметь общедоступный (или эластичный) IP-адрес.

Чтобы ресурс в частной подсети мог получить доступ к Интернету, частная подсеть должна иметь маршрутную маршрутизацию через NAT, которая должна находиться в общедоступной подсети. Это может быть шлюз NAT или экземпляр EC2, функционирующий как NAT.