我们正在设置一个Amazon VPC,我们将在其中配置(现在)单个EC2实例和一个RDS实例 . 这是为了“扩展我们的数据中心”,并且应该只使用私有子网 .
实际上,我们有这个设置,它运作良好(插入笑脸图标) . 出于所有意图和目的,我们在镜像亚马逊概述的VPC场景4:http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario4.html
tl; dr:单个VCP,VPN连接到我们的公司网络 . VPN使用虚拟专用网关(VPC端)和客户网关(我们的端)允许我们根据需要访问EC2,EC2包含根据需要连接到RDS实例的Web服务器 . 我们网络上的任何人都可以通过URL访问在EC2上运行的Web服务器 . 所有这一切都按预期工作 .
问题出现在EC2实例需要访问Internet上的资源时 - 我们的想法是没有任何公共子网,而是通过我们的VPN路由来自EC2实例的所有流量并走出我们公司的“标准”路径互联网 . 但是我们在设置它时遇到了麻烦 .
可以在亚马逊的常见问题解答中突出显示这一事实:https://aws.amazon.com/vpc/faqs/
问:没有公共IP地址的实例如何访问Internet?没有公共IP地址的实例可以通过以下两种方式之一访问Internet:没有公共IP地址的实例可以通过NAT网关或NAT实例路由其流量以访问Internet . 这些实例使用NAT网关或NAT实例的公共IP地址来遍历Internet . NAT网关或NAT实例允许出站通信,但不允许Internet上的计算机启动与私有寻址实例的连接 . 对于具有硬件VPN连接或直接连接连接的VPC,实例可以将其Internet流量沿虚拟专用网关路由到现有数据中心 . 从那里,它可以通过您现有的出口点和网络安全/监控设备访问互联网 .
我们正在努力避免选项#1,因为涉及成本(以及复杂性和安全性问题) . #2对我们来说是一个完美的解决方案,但理解设置它的过程一直困扰着我们 .
任何人都可以通过我们需要做的事情(或指向我们正确的资源)来确保EC2实例*可以通过VPN,通过我们的公司数据中心和我们现有的互联网接入点路由流量来访问互联网吗?
*以及私有子网内的任何内容
1 回答
如果您使用的是场景#2,那么AWS端的所有操作都是为了确保发往Internet的流量
0.0.0.0/0被路由到您的虚拟专用网关 .一旦流量到达那里,它将进入您的客户网关,并进入您的公司数据中心 . 如果可能的话,这取决于你当地的IT人员是否可以获得互联网目标流量 . 但就此而言,它不再是AWS问题 .