主页 / server / 问题 / 963233
Accepted
MacUsers
Asked: 2019-04-16 23:09:15 +0800 CST

AWS:来自私有子网的仅出站连接

  • 772

我确定之前有人问过这个问题,并且 AWS 提供了许多文档,但它似乎对我不起作用。但是找不到我的问题的直接答案,所以再次在这里提问。

我在私有子网中有一堆 EC2 实例,我不需要来自互联网的传入连接,但需要传出以进行 apt-get 更新等。所以,如果我执行以下操作:

  1. 创建子网和 EIP
  2. 然后创建一个 NAT 网关,利用这两个
  3. 然后创建一个路由表:
    1. 目的地 0.0.0.0/0 => NAT 网关(目标)
    2. 关联子网(上)
  4. 在上述子网中启动实例

应该为该实例提供唯一的出站连接吗?我在这里遗漏或做错了什么?提前致谢!!

-S

amazon-web-services

1 个回答

  1. Best Answer

    它很接近但不太正确:)

    要使其工作,您需要两个子网和两个路由表。

    1. 公共子网

      • 有 IGW - Internet 网关和可选的 NAT 网关
      • 0.0.0.0/0指向 IGW(而不是NAT 网关!)
      • 主机(EC2 实例、NAT 网关)在直接访问 Internet 时必须附加公共 IP弹性 IP
      • 可以通过此公共/弹性 IP 从 Internet 联系主机(如果安全组允许)

    2. 私有子网

      • 没有 IGW 或 NAT(因为您的 NAT GW 在公共子网中!)
      • 0.0.0.0/0指向上述公共子网中 NAT的点
      • 主机只有私有 IP,所有出站访问都被“屏蔽”到 NAT 网关 IP
      • 主机可以发起与 Internet 的连接,但无法从外部联系,因为它们“隐藏”在 NAT(网络地址转换网关)后面。
      • 没有 NAT 配置的主机将无法访问 Internet

    希望能解释它:)

    • 4

相关问题