AWS 支持使用 NAT64 从纯 IPv6 节点连接到外部纯 IPv4 服务。有相反的等价物吗?
就上下文而言,我有一个 EKS 集群,目前仅支持 IPv4,且全部位于私有子网上。与任何外部 IP 的通信都是通过 NAT 网关进行的(通常用于 Webhook 或类似的出站请求)。现在,一些外部服务正在切换到仅使用 IPv6。有没有一种方法可以连接到这些设备,而无需将整个集群迁移到 IPv6?由于 EKS 不支持双栈网络,因此迁移可能是一个相当大且危险的项目。
我的 VPC 在不同的可用区中有三个子网,每个子网都有一个接口 VPC 终端节点。默认情况下,VPC 终端节点有 4 个 DNS 主机名:
- 区域 DNS 主机名,例如
vpce-x.ec2.us-east-1.vpce.amazonaws.com. - 三个特定于端点的区域 DNS 主机名,例如
vpce-x-us-east-1a.ec2.us-east-1.vpce.amazonaws.com.
据我了解,区域 DNS 主机名将指向任意端点。有没有办法配置一个始终解析到同一子网中的端点的单个 DNS 主机名,以减少可用区间的流量?我不确定延迟路由策略是否适用于此用例,或者是否有其他解决方案。还是区域 DNS 主机名已经做了类似的事情?
这里的用例是一个应用程序,它通过 VPC 实例端点向外部服务发送大量流量 - 以至于数据传输会产生大量成本。避免 VPC 端点的可用区间流量将减少一部分数据传输成本。
我有两个 VPC:A 和 B。
我希望 A 中的任何节点都能够打开到 B 中的任何节点的 TCP 连接,但反过来不行。B 中的任何节点还必须能够打开到公共 Internet 主机的传出连接。实现这一目标的最佳方法是什么?
用例:VPC A 包含许多敏感的内部服务,而 VPC B 包含运行完全不受信任的代码的节点。VPC A 需要向 VPC B 发出 HTTP 请求,但不得公开任何内部服务。
VPC 对等允许 A 和 B 中的任何节点之间的直接连接 - 这不能在路由级别上受到限制。安全组可用于阻止传出连接,但由于没有 DENY 规则,因此配置起来有点棘手。
网络 ACL 在这里没有用,因为必须允许从 B -> A 返回的流量。
还有其他选择吗?类似于 NAT 网关,只允许在一个方向打开连接?AWS 确实支持私有 NAT 网关,但我找不到任何此类配置的文档。
在为组织设置 DMARC 策略时,进行 SPF 对齐是否重要?
我已经收集到:
- 大多数电子邮件服务提供商都支持自定义域的 DKIM。
- 并非所有电子邮件服务提供商都支持自定义域的 SPF。通常,它们会为自己的域传递 SPF 记录,但这与发件人地址不一致。
- 使用 SPF 很容易遇到 DNS 查找限制。对于 DKIM,情况并非如此。
- 某些“转发的电子邮件”(例如通过邮件列表)通常具有未通过的 SPF,但仍可通过 DKIM。其他人则完全重写 From 字段以避免 DMARC 问题。
鉴于上述情况,是否有充分的理由进行 SPF 对齐?还是 DKIM 对齐 + DMARC 政策总是足够的?
注意:我并不是建议自定义域根本没有 SPF 策略。仅使用外部服务提供商的域作为返回路径而不是自定义域,因此没有 SPF 对齐。
所以在这种情况下,我们有:
From: [email protected]
Return-Path: [email protected] (not aligned)
DKIM-Signature: d=my-domain.net (aligned)
Received from: IP belonging to service-provider.net, passing SPF for service-provider.net.