我希望在主要连接中断时利用现有的 Direct Connect 服务作为冗余互联网网关。
我注意到 NAT 网关注释指定这是不可能的,有没有人能够使用 NAT 实例或类似的东西来做到这一点?
在 AWS 站点或其他地方找不到很多。
AskOverflow.Dev
我希望在主要连接中断时利用现有的 Direct Connect 服务作为冗余互联网网关。
我注意到 NAT 网关注释指定这是不可能的,有没有人能够使用 NAT 实例或类似的东西来做到这一点?
在 AWS 站点或其他地方找不到很多。
VPC 本质上不是带有交换机和路由器的局域网——它是一个软件定义的网络。它不提供的一件事是一种将流量从边缘路由到边缘并传输 VPC 的方法——通过一个虚拟网关设备进入 VPC,然后通过另一个离开。
您不能通过 Direct Connect、Hardware VPN 或 VPC Peering 连接进入,然后通过 NAT Gateway、Direct Connect、Hardware VPN 或 VPC Peering 连接直接离开——所有这些都是围绕访问实例的概念设计的,不互相访问。
这意味着您不能使用 Direct Connect直接访问 Internet——但您可以通过在 EC2 中运行的提供隧道和 NAT 服务的服务器来执行此操作——与您办公室/数据中心上的隧道服务器合作局域网。
要克服的关键概念是,流量必须以适当的 IP 地址出现在 VPC 中——从/到 Direct Connect,流量需要从 LAN 地址到 EC2 实例,以及从/到(定制的)NAT实例和 Internet,从/到 NAT 实例的 IP 地址。
一对 openvpn 服务器——一个在办公室,一个在 EC2——处理这个问题,因为 openvpn 通过 UDP 将流量作为 TLS 传输——VPC 可以看到的唯一源和目标 IP 地址与 LAN 上的机器相同和那些实例。
LAN 上的服务器将通过接受通过路由器发送到它的 Internet 绑定流量并将其传送到 EC2 实例来与您的 LAN 路由器交互,EC2 实例将解封装该流量,并使用其自己的源 IP 对其进行 NAT 以将其传送到互联网——在响应流量上,取消 NAT 并将其发送回隧道到 LAN 以传送回启动它的机器。