对此有很多问题,但这次似乎不像其他人那么明显。
我正在尝试将 VPC 拆分为两个子网。
我从 VPC 开始10.0.0.0/24,254+1 个 IP,从 10.0.0.1 到 10.0.0.255
我创建了第一个子网10.0.0.0/25,它应该保留0地址的一位。给我从 10.0.0.1 到 10.0.0.127 的 126+1 个 IP。工作正常。
我尝试的下一个子网10.0.0.128/25,它与以前相同,但保留了该1位。应该给我从 10.0.0.128 到 10.0.0.255 的 IP。但因“不在 VPC 的 CIDR 范围内”而失败……但为什么不呢?
vpc: .0 ----------------- .255
sn1: .0 --- .127
sn2: .128 --- .255
我的 VPC 在不同的可用区中有三个子网,每个子网都有一个接口 VPC 终端节点。默认情况下,VPC 终端节点有 4 个 DNS 主机名:
vpce-x.ec2.us-east-1.vpce.amazonaws.com.vpce-x-us-east-1a.ec2.us-east-1.vpce.amazonaws.com.据我了解,区域 DNS 主机名将指向任意端点。有没有办法配置一个始终解析到同一子网中的端点的单个 DNS 主机名,以减少可用区间的流量?我不确定延迟路由策略是否适用于此用例,或者是否有其他解决方案。还是区域 DNS 主机名已经做了类似的事情?
这里的用例是一个应用程序,它通过 VPC 实例端点向外部服务发送大量流量 - 以至于数据传输会产生大量成本。避免 VPC 端点的可用区间流量将减少一部分数据传输成本。
我有两个 VPC:A 和 B。
我希望 A 中的任何节点都能够打开到 B 中的任何节点的 TCP 连接,但反过来不行。B 中的任何节点还必须能够打开到公共 Internet 主机的传出连接。实现这一目标的最佳方法是什么?
用例:VPC A 包含许多敏感的内部服务,而 VPC B 包含运行完全不受信任的代码的节点。VPC A 需要向 VPC B 发出 HTTP 请求,但不得公开任何内部服务。
VPC 对等允许 A 和 B 中的任何节点之间的直接连接 - 这不能在路由级别上受到限制。安全组可用于阻止传出连接,但由于没有 DENY 规则,因此配置起来有点棘手。
网络 ACL 在这里没有用,因为必须允许从 B -> A 返回的流量。
还有其他选择吗?类似于 NAT 网关,只允许在一个方向打开连接?AWS 确实支持私有 NAT 网关,但我找不到任何此类配置的文档。
我需要为 s3 添加一个 vpc 端点,以便我可以在 lambda 上访问它,但是当我尝试创建端点时,我收到一个警告
警告
当您使用终端节点时,受影响子网中的实例用于访问同一区域中的 AWS 服务的源 IP 地址将是私有 IP 地址,而不是公共 IP 地址。从受影响的子网到使用公有 IP 地址的 AWS 服务的现有连接可能会被丢弃。确保在创建或修改端点时没有运行关键任务。
在这里,我不确定它的确切含义。
我可以公开访问 s3 吗?
目前我使用预签名的 url 将对象放入 s3,我可以在创建 vpc 端点(私有)后继续使用它吗?
如上图所示,我可以选择任意数量的子网。这是否意味着,服务中的任务是跨这两个子网创建的?
假设我有一个任务正在运行,那么它将在哪个子网中运行?如果服务中有多个任务,它们是如何分布在这些子网之间的?这是 Fargate 处理的事情,我们不应该担心吗?
如果我选择一个公共子网和一个私有子网怎么办,我猜在这种情况下会一团糟。
抱歉,如果这些是菜鸟问题,我是 AWS 新手。
我有一个 Laravel 应用程序 (API),我正试图迁移到 AWS,但是,数据库位于 AWS 中,并且只能通过 VPN 访问。
数据库是一个 RDS 实例。
如何为我的 EC2 实例提供对 RDS 数据库的访问权限?
我想将快照从一个区域的数据库实例还原到另一个区域的数据库实例。
我可以复制数据库标识符,但在“连接”部分中,“虚拟私有云 (VPC)”只有两个选项 - “默认 VPC (vpc-21cbe95b)”和“创建新 VPC”。但是,我想要的 VPC 位于不同的区域,具有完全不同的 ID - vpc-e681478d。
我正在尝试做的事情可能吗?
另一种方法是执行 mysqldump 然后使用 mysql 导入,这会起作用,但我认为恢复快照会更快。
我在 VPC 中构建了这条流量路由。
Route53->ACM(SSL)->Public ALB->EC2(Nginx proxy)->Private ALB->ECS(Internal App)
EC2 的安全组允许 tcp 80 和 443。ECS 的安全组允许来自 EC2 的安全组的 80。
当我访问注册在 Route53 中的域时,出现504 DNS look up failed错误。访问公共 ALB 的 DNS 名称时503 Service Temporarily Unavailable出错。
我确定 ACM 正在设置并且公共 LB 的 DNS 名称正在使用域注册到 Route53。
公共子网上的 ALB 设置由 Terraform 执行
resource "aws_lb_listener" "http" {
load_balancer_arn = aws_lb.this.arn
port = "80"
protocol = "HTTP"
default_action {
type = "redirect"
redirect {
port = "443"
protocol = "HTTPS"
status_code = "HTTP_301"
}
}
}
resource "aws_lb_listener_rule" "http_redirect" {
listener_arn = aws_lb_listener.proxy.arn
priority = 1
action {
type = "redirect"
redirect {
port = "443"
protocol = "HTTPS"
status_code = "HTTP_301"
}
}
condition {
path_pattern {
values = ["/*"]
}
}
}
resource "aws_lb_listener_rule" "http_forward" {
listener_arn = aws_lb_listener.http.arn
priority = 2
action {
type = "forward"
target_group_arn = aws_lb_target_group.proxy.arn
}
condition {
host_header {
values = ["proxy.portsite.com"]
}
}
}
resource "aws_lb_listener_rule" "https_forward" {
listener_arn = aws_lb_listener.https.arn
action {
type = "forward"
target_group_arn = aws_lb_target_group.proxy.arn
}
condition {
host_header {
values = ["proxy.portsite.com"]
}
}
}
两者都是路由的必要条件吗http_redirect?http_forward还是只有http_redirect好的?而且,问题是由它引起的吗?
是否可以仅使用 NAT 从私有子网访问 Internet,而没有 Internet 网关与其 VPC 关联?
具有公共和私有子网 (NAT) 的 VPC如下所述。仅凭这句话,就可以得出一个公平的结论,即它只需要 NAT 即可到达 Internet,而无需 Internet Gateway 连接其 VPC。
具有自己的弹性 IPv4 地址的 NAT 网关。私有子网中的实例可以通过 IPv4 上的 NAT 网关向 Internet 发送请求(例如,用于软件更新)。
我相信对于从 VPC 到达 Internet 的任何流量,VPC 都需要 Internet 网关,但文档没有明确说明,因此感到困惑。
我有几个连接到 Mongo Atlas 集群的 lambda 函数。Mongo Atlas 和我的 AWS 账户之间的连接是通过 VPC 对等互连完成的。Lambda 函数附加到此 VPC。
我正在经历 Lambdas 的长时间冷启动,lambda 需要大约 10 秒才能响应 VPC,而没有 VPC 大约需要 1-2 秒。根据 AWS 前段时间所做的更改(https://aws.amazon.com/blogs/compute/announcing-improved-vpc-networking-for-aws-lambda-functions/),我不应该经历长时间的冷启动。
我的配置截图:
我的设置有问题吗?
