У меня есть VPC, который я создал задолго до появления NAT-шлюзов. Как и многие другие установки, я создал экземпляр NAT для маршрутизации исходящего трафика. Вчера мой экземпляр NAT разбился. Мне удалось перезагрузиться, но это вызвало небольшую головную боль, поэтому я решил попробовать перейти на шлюз NAT.
Меня не волнует, что исходящий IP-адрес такой же. В качестве теста я создал новый VPC с экземпляром, чтобы убедиться, что я правильно настроил настройки. Затем я создал шлюз в существующем VPC. Затем я поменял местами свою основную таблицу маршрутизации, чтобы использовать ее в качестве шлюза вместо экземпляра.
Моя установка - это две подсети, одна общедоступная, указывающая на интернет-шлюз, а другая частная, указывающая на шлюз NAT. Я использую OpenVPN на экземпляре для доступа к своим частным экземплярам.
Однако, когда я переключаюсь на шлюз NAT, я больше не могу направлять исходящий трафик на существующие экземпляры, НО, когда я создаю новый экземпляр, он работает нормально. Проблема такая же в обратном порядке. Если я настрою подсеть моего нового экземпляра, который работает со шлюзом NAT, на использование вместо этого экземпляра NAT, он больше не сможет видеть внешний мир.
Я не изменяю таблицы маршрутов на самих экземплярах, только маршруты в веб-консоли.
Я также попытался (с моим тестовым экземпляром) перезапустить сеть, а затем перезагрузить, но ничего не помогло.
Я прочитал пару руководств по миграции, которые, кажется, указывают на то, что это должно работать, очевидно, маршруты меняются, но сразу после этого перестают работать. Есть ли в этом волшебный трюк или мне придется воссоздавать свои экземпляры для работы со шлюзом NAT?
РЕДАКТИРОВАТЬ: Еще одна морщина в этом. По прихоти я изменил группу безопасности своего тестового экземпляра (при создании я использовал группу по умолчанию). Использование существующей группы безопасности с теми же исходящими правилами сделал экземпляр способным подключиться, но переключив его обратно в исходную группу, и он не может подключиться.
РЕДАКТИРОВАТЬ 2: изменение группы безопасности одного из моих существующих экземпляров, похоже, не работает. Изменение группы безопасности, похоже, работает только на новом экземпляре, который я настроил в качестве теста.
Как и предполагалось, вот несколько экранов моей настройки:
Вот мои таблицы маршрутов. Именованный я добавил в качестве теста, и он направляется к шлюзу nat. У меня только одна подсеть, где у меня есть экземпляр в качестве теста. Второй в списке - это маршрут по умолчанию, на который направляются все другие подсети с использованием экземпляра NAT.
Вот подтверждение, что мой private-subnet-1e
маршруты к шлюзу NAT:
И проверка того, что одна из подсетей моего производственного сервера маршрутизируется с использованием основного шлюза через экземпляр NAT:
Группа безопасности для тестового экземпляра Исходящие правила: (все)
Группа безопасности для экземпляра продукта, который не может маршрутизировать, если я изменю таблицу. То же, все разрешено