У меня есть VPC «VPC с общедоступными и частными подсетями», созданный с помощью мастера VPC, который должен включать NAT для VPC частной подсети, однако он не работает. Они не могут просматривать Интернет, разрешать Интернет-имена и пинговать Интернет-IP-адреса.
Это стандартная стандартная конфигурация, я очень в этом уверен, поэтому не знаю, почему она не работает. Может быть, я должен был сделать что-то еще, о чем я не знаю?
Спасибо,
Ксавье.
с vpc по умолчанию amazon dhcp предоставляет экземплярам частный IP-адрес, который не может быть перенаправлен через интернет-шлюз aws (через консоль это устройство выглядит как IGW-xxxxxxx). поэтому, если экземпляры aws не направляются в Интернет через туннельный шлюз ipsec (выглядит как VGW-xxxxxx), есть два способа разрешить подключение к Интернету.
1) предоставьте экземплярам vpc общедоступные эластичные IP-адреса, убедитесь, что маршрут по умолчанию к интернет-шлюзу Amazon, затем добавьте маршрут для вашей частной локальной сети к шлюзу завершения ipsec
2) настройте второй экземпляр с маскированием iptables, а затем укажите маршрут по умолчанию к этому устройству, сохраняя при этом частный маршрут локальной сети до точки завершения ipsec (обратно в офис)
с # 1, если у экземпляров есть общедоступный eip, то может быть подключенным из Интернета, если вы не будете осторожны с группами безопасности.
с # 2 весь трафик ограничивается экземпляром маскарадинга, который тогда становится точкой отказа. (используя интернет-шлюз Amazon, я уверен, что они используют VRRP / HSRP / CARP / ETC, поэтому его HA). также, хотя лично со мной этого не случалось, частный IP-адрес маски мог change, поэтому вам нужно будет обновить информацию об аренде dhcp, а затем принудительно / дождаться возобновления аренды экземпляров.