![](/img/trans.png)
[英]AWS NAT Gateway Public IP Address for Whitelisting with Public Subnet
[英]AWS NAT gateway vs public IP for outgoing internet connections
我正在学习AWS以及如何为EC2实例配置网络,并且有一些问题。 我在t2.micro实例中使用CentOS 7。
私有IP绑定到实例中的NIC,如ifconfig -a
所示。 目的似乎是服务器的单点联系。 添加另一个网络接口不会添加另一个NIC,如ifconfig -a
所示。 由于主网络接口不能是静态IP,因此大多数配置都需要辅助网络接口。 例如,要将应用程序连接到数据库服务器,请使用分配给第二个网络接口的静态IP。 我理解正确吗?
公共IP显示在AWS控制台中,并提供了通过SSH连接到实例的方法,假设您配置了SG。 公共IP还提供访问互联网以进行系统更新的方法。 这似乎与NAT的AWS文档相矛盾。 如果公共IP已经提供了Internet访问,为什么需要NAT(实例或网关)? 这是参考文档引用的系统更新。
您可以使用NAT设备启用私有子网中的实例以连接到Internet(例如,用于软件更新 )或其他AWS服务,但阻止Internet启动与实例的连接。 NAT设备将来自私有子网中的实例的流量转发到Internet或其他AWS服务,然后将响应发送回实例。
Connect
按钮是否仍然允许您连接到它以管理服务器? 在什么情况下,实例不具有公共IP? 如何连接到该实例来管理它? 我已阅读NAT网关文档并了解其中的大部分内容。 我无法理解在启用Internet访问时需要NAT网关或Internet网关的部分,默认情况下启用此功能。 我错过了什么?
我认为你的困惑源于你的第三个问题。 公共IP并不总是分配给实例。 公共IP是可以在公共VPC子网中启用或禁用的选项,而在私有VPC子网中,公共IP根本不是选项。 对于没有公共IP的EC2实例,需要NAT网关(或NAT实例)才能访问VPC之外的任何内容。
您可能希望在私有子网中放置类似数据库服务器的内容,以便VPC外部的任何内容都无法访问它。 但是,您可能希望数据库服务器能够访问Internet以下载修补程序或其他内容,或者您可能希望它访问AWS API以将备份复制到S3或其他内容,在这种情况下,您需要NAT网关才能为服务器提供对VPC外部资源的访问权限。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.