у меня есть два окна Serer 2016 веб-серверы в публичных подсетях:
Я мог запрашивать страницы напрямую с веб-серверов или с ELB. Ответ мгновенный. Все хорошо.
После того как я удалил общедоступные IP-адреса с веб-серверов, ответ от ELB стал очень ненадежным. Время от времени истекает с ошибкой 504 Gateway Timeout. Но иногда это действительно работает.
Зачем?
Более дешевым решением, чем шлюз NAT, является Конечная точка S3. С той страницы
Исходные IPv4-адреса от экземпляров в затронутых вами подсетях, полученные Amazon S3, изменятся с общедоступных IPv4-адресов на частные IPv4-адреса из вашего VPC. Конечная точка переключает сетевые маршруты и отключает открытые TCP-соединения. Во время переключения ваши задачи будут прерваны, и любые предыдущие подключения с использованием общедоступных адресов IPv4 не будут возобновлены.
Это означает, что вам не нужно платить за NAT-шлюз, только трафик на S3. Обратите внимание, что
Конечные точки в настоящее время не поддерживают межрегиональные запросы
С помощью Майка, Бена и Эпплоддити я наконец понял. Веб-серверам нужен внешний трафик, потому что они имеют доступ к AWS S3. Они перестают работать, как только их общедоступные IP-адреса удаляются, потому что он им нужен для подключения к Интернету. Правильная реализация, обеспечивающая максимальную безопасность, - это разместить веб-серверы в частных подсетях и добавить шлюз NAT к каждой соответствующей общедоступной подсети, а также добавить маршрут в таблицу маршрутов для маршрутизации трафика на 0.0.0.0/0 на шлюз NAT. .