Назад | Перейти на главную страницу

AWS: только исходящее подключение из частной подсети

Я уверен, что этот вопрос задавался раньше, и есть ряд документов от AWS, но, похоже, он не работает для меня. Но не могу найти прямого ответа на свой вопрос, поэтому задаю здесь еще раз.

У меня есть несколько экземпляров EC2 в частной подсети, где мне не нужно и входящее подключение из Интернета, но нужно исходящее для обновления apt-get и т. Д. Итак, если я сделаю следующее:

  1. Создайте подсеть и EIP
  2. затем создайте шлюз NAT, используя эти два
  3. затем создайте таблицу маршрутов с:
    1. назначение 0.0.0.0/0 => NAT-шлюз (цель)
    2. связать подсеть (см. выше)
  4. запускать экземпляры в указанной выше подсети

должен предоставить этому экземпляру только исходящее соединение? Что-то я здесь упускаю или делаю неправильно? Заранее спасибо!!

-S

Это близко, но не совсем правильно :)

Для этого вам понадобятся две подсети и две таблицы маршрутизации.

  1. Публичная подсеть

    • имеет IGW - Интернет-шлюз и, возможно, шлюз NAT
    • 0.0.0.0/0 указывает на IGW (не к шлюзу NAT!)
    • хосты (экземпляры EC2, шлюз NAT) должны иметь публичный IP или эластичный IP прикреплены, поскольку они выходят прямо в Интернет
    • с хостами можно связаться из Интернета по этому общедоступному / эластичному IP-адресу (если Группа безопасности разрешения)

  2. Частная подсеть

    • не имеет IGW или NAT (потому что ваш NAT GW находится в общественный подсеть!)
    • то 0.0.0.0/0 указывает на NAT в общедоступная подсеть выше
    • узлы имеют только частный IP-адрес, и весь исходящий доступ «замаскирован» для IP-адреса шлюза NAT.
    • узлы могут инициировать подключения к Интернету, но с ними нельзя связаться извне, поскольку они «спрятаны» за NAT (шлюз трансляции сетевых адресов).
    • без NAT хосты не будут иметь доступа в Интернет

Надеюсь, это объясняет это :)