У меня есть группа веб-серверов AWS, которым нужно будет начать бизнес по инициированию и передаче TCP через VPN третьей стороне. Не спрашивайте меня, почему VPN - это решение, выбранное третьей стороной; это вне моего контроля. Отдельные серверы в группе не сохраняются; они приходят и уходят с релизами. Между тем, третьей стороне, помимо прочего, требуются статические IP-адреса.
Общая идея состоит в том, чтобы настроить сервер шлюза (или, на самом деле, пару серверов шлюза, чтобы он мог справиться с нашим циклом выпуска) в качестве клиентов VPN и завершить работу VPN там. Наши веб-серверы будут знать только о серверах шлюзов VPN; сторонние серверы будут знать только о серверах шлюза; серверы шлюзов передают все соответственно, отправляя это через VPN или простой TCP, в зависимости от ситуации.
Вопрос, конечно, в том, как лучше обращаться с реле. Сервер шлюза будет Ubuntu 12.04 или 14.04. Я надеюсь, что смогу справиться с этим с помощью UFW и OpenVPN - UFW обрабатывает перенаправление IP и передает его на соответствующие интерфейсы, в то время как OpenVPN, по сути, обертывает сетевой интерфейс. Это реальная схема?
Правильный способ сделать это - использовать Amazon VPC и запускайте в нем свои экземпляры, используя частные адреса - полная процедура настройки выходит за рамки ответа ServerFault, но ваш VPC будет заблокированной областью Amazon.
При желании вы можете настроить свои экземпляры с общедоступными IP-адресами, если вам нужно, чтобы серверы были общедоступными, но в вашем вопросе не упоминается общедоступность.
Если у вас есть VPC, вы можете использовать Подключение Amazon к VPN для прямого подключения стороннего маршрутизатора к Amazon VPC и статической маршрутизации всего трафика для подсети (ей) вашего VPC через туннель.