问题

是否可以仅使用 NAT 从私有子网访问 Internet，而没有 Internet 网关与其 VPC 关联？

背景

具有公共和私有子网 (NAT) 的 VPC如下所述。仅凭这句话，就可以得出一个公平的结论，即它只需要 NAT 即可到达 Internet，而无需 Internet Gateway 连接其 VPC。

具有自己的弹性 IPv4 地址的 NAT 网关。私有子网中的实例可以通过 IPv4 上的 NAT 网关向 Internet 发送请求（例如，用于软件更新）。

我相信对于从 VPC 到达 Internet 的任何流量，VPC 都需要 Internet 网关，但文档没有明确说明，因此感到困惑。

我在 VPC 的 Elastic Beanstalk 自动扩展组中启动了两个 EC2 实例。这些 EC2 实例上的应用程序需要连接到使用 IP 地址白名单允许访问的第三方服务。所以我使用 NAT 网关来拥有静态 IP，以便将它们添加到白名单中。第三方已经从我在 aws 控制台配置的两个 NAT 网关授予对 IP 的访问权限。但我还连接不上。在接受任何 IP 连接的开发环境中，应用程序运行正常。

有没有可能我使用了错误的 IP？我可以使用哪个命令来了解我的应用程序在互联网上获取的 IP？我做了从服务器到第三方服务的traceroute，它没有显示NAT Gatewa IP，对吗？

我们在具有托管 NAT 网关的私有子网中有一个实例。在这种情况下，我们可以访问互联网：

$ curl https://www.google.com/
<!doctype html><html itemscope="" itemtype="http://schema.org/WebPage" lang="en"><head>...

但是，我们无法访问 cloudwatch 端点，例如以下超时：（编辑：我的错误，不是 cloudwatch 端点，而是存储 cloudwatch 监控脚本的站点。）

$ curl https://cloudwatch.s3.amazonaws.com

DNS不是问题：

$ dig cloudwatch.s3.amazonaws.com
cloudwatch.s3.amazonaws.com. 2303 IN    CNAME   s3-1-w.amazonaws.com.
s3-1-w.amazonaws.com.   1   IN  A   54.231.72.59

关于可能发生的事情有什么想法吗？

我想使用来自另一个 VPC 的 Nat 网关（不是 EC2 上的 Nat 实例！）将我的流量从对等 VPC 路由到 Internet。我的基础架构如下所示：

/---------------------VPC-LIVECHAT---------------------\
| /---Subnet A---\  /---Subnet B---\  /---Subnet C---\ |
| |              |  |              |  |              | |
| \-10.10.0.0/24-/  \-10.10.1.0/24-/  \-10.10.2.0/24-/ |
\------------------------------------------------------/
               |                        |
               | VPC Peering Connection |
               |                        |
/----------------------VPC-COMMON----------------------\
| /---Subnet A---\  /---Subnet B---\  /---Subnet C---\ |
| |  /--------\  |  |  /--------\  |  |  /--------\  | |
| |  | NAT GW |  |  |  | NAT GW |  |  |  | NAT GW |  | |
| |  \--------/  |  |  \--------/  |  |  \--------/  | |
| \-10.10.3.0/24-/  \-10.10.4.0/24-/  \-10.10.5.0/24-/ |
\------------------------------------------------------/
               |                        |
               | VPC Peering Connection |
               |                        |
/---------------------VPC-DATABASE---------------------\
| /---Subnet A---\  /---Subnet B---\  /---Subnet C---\ |
| |              |  |              |  |              | |
| \-10.10.6.0/24-/  \-10.10.7.0/24-/  \-10.10.8.0/24-/ |
\------------------------------------------------------/

我的想法：

• 我将在每个子网中设置具有子网和 Nat 网关的 VPC-COMMON（每个 AZ 一个子网）
• 我将设置 VPC-LIVECHAT 和 VPC-DATABASE VPC，创建 VPC 对等连接
• 在 VPC-COMMON 子网中，路由 0.0.0.0/0 -> Nat Gateway 在同一子网中
• 在 VPC-LIVECHAT 和 VPC-DATABASE 子网（全部）中，将有路由 VPC-COMMON CIDR -> VPC 对等连接
• 在 VPC-LIVECHAT 和 VPC-DATABASE 的每个子网中，都会有路由 0.0.0.0/ -> 在 VPC-COMMON 的相应子网中的 Nat 网关（子网 A 将使用 VPC-COMMON 子网 A 中的 NAT GW 等等...）

我认为这个设置应该工作得很好，它只是路由 VLAN。但不是在 AWS 中。AWS 不想让我在路由表中的不同 VPC 中使用 Nat Gateway，但出现错误

“路由表 rtb-293fa54d 和接口 interface-c2002e9e 属于不同的网络”

我也不能在 AWS 中使用 Nat Gateway 的私有 IP，AWS 不支持路由目标中的 IP 地址（我真的很想知道为什么）。

我正在使用 CloudFormation，我的路由定义如下所示：

"RoutePrivate3ToNatInCommon" : {
    "Type" : "AWS::EC2::Route",
    "Condition" : "IsNotVpcCommon",
    "Properties" : {
        "DestinationCidrBlock" : "0.0.0.0/0",
        "RouteTableId" : { "Ref" : "PrivateSubnet3RoutingTable" },
        "NatGatewayId" : { "Fn::GetAtt" : [ "NatGatewaySettingsForNotCommon", "NatGatewayAZC" ] }
    }
}

NatGatewaySettingForNotCommon 是我的自定义 lambda 支持资源，可帮助我获取每个可用区的 Nat 网关列表。

有什么办法可以实现这个设置？我每个区域将有大约 10 个 VPC，每个区域有 3 个私有子网，我真的不想设置（并支付）30 个 Nat 网关。这看起来像常规的“非多云”网络设置，因此在云中实现它应该没有问题。或者是吗？