У нас есть учетная запись AWS с двумя VPC. У одного есть VPN для нашего главного кампуса (высшее). Мы хотели переместить наши веб-серверы в этот VPC, чтобы они могли получить доступ к базам данных кампуса для некоторых элементов. Веб-серверы находятся за балансировщиком нагрузки Amazon (уровень приложения не классический).
Проблема заключается в том, что пользователи Интернета могут просматривать веб-сайт, но когда туннель активен, пользователи кампуса не могут получить доступ к веб-сайту. Трафик проходит на общедоступный IP-адрес балансировщика нагрузки, затем на веб-серверы, а затем возвращается прямо через туннель VPN и сбрасывается.
Наш кампусный DNS использует продукт под названием bluecat, который не может много сделать, поэтому ACL исключены, если он основан на IP. Я попытался взглянуть на route53, но кроме их частной функции, которая работает только внутри VPC, я не вижу никакого способа выбрать ответы DNS на основе IP. Геолокация работает только по местоположению, а не по IP-адресам.
У меня остались только две идеи: развернуть сервер ua BIND внутри общедоступного VPC, создать на нем имя cname с новым доменом, который либо выдает балансировщик нагрузки aws, либо частный IP-адрес сервера за балансировщиком нагрузки, либо перенести все частные подключения к базе данных с серверами веб-приложений внутри VPN VPC, а затем общедоступные веб-серверы общаются с этим.
Прежде чем я попробую пойти по одному из этих путей, я хотел спросить, есть ли у кого-нибудь решение для маршрутизации или решение route53 для этой проблемы? Есть ли подводные камни в идее BIND / ACL?