У меня есть среда с общедоступной и частной подсетью. Для одного из серверов в частной подсети требуется как эластичный IP-адрес, который находится на сетевом интерфейсе, подключенном к общедоступной подсети, так и второй сетевой интерфейс, который соединяет экземпляр EC2 с частной подсетью. Перед тем как связать EIP, я смог подключиться к экземпляру EC2 по SSH по его частному IP-адресу из экземпляра NAT. После привязки EIP я больше не могу использовать SSH с частным IP-адресом через NAT. Под частным IP-адресом выше я имею в виду IP-адрес, связанный с исходным сетевым интерфейсом, а не частный IP-адрес, который отображается вместе с EIP. Есть идеи, что мне здесь может не хватать?
Вы не должны (не можете) назначать эластичный IP-адрес частной подсети. В частной подсети есть таблица маршрутов, в которой указан экземпляр NAT для выхода в общедоступный Интернет. Если вы назначите эластичный IP-адрес частной подсети, ваша маршрутизация не будет работать. Чтобы маршрутизация работала, вам нужно добавить маршрут к IGW (Интернет-шлюз), и это преобразует вашу частную подсеть в общедоступную.
Правильная процедура - настроить Bastion Host или VPN для доступа к экземплярам в частной подсети из общедоступного Интернета.
Второй интерфейс экземпляра EC2 в общедоступной подсети не требуется для связи с частной подсетью. Все подсети в VPC могут связываться друг с другом при условии, что вы не заблокировали это намеренно с помощью настраиваемых маршрутов, групп безопасности и т. Д.