使用 NAT 實例提供對私有 Ec2 實例的互聯網訪問
[英]Providing internet access to private Ec2 instance using NAT instance
問題描述
我能夠通過 NAT 實例將我的私有 Ec2 實例連接到互聯網。 wget google.com 成功。 但是當我將 NACL 附加到我的私有子網時。我無法連接到互聯網。誰能告訴我我的 NACL 有什么問題。 10.0.1.0/24 和 10.0.2.0/24 是公網的 CIDR(有 NAT 實例)
私有 NACL 入站規則
私有 NACL 出站規則
另外,當我添加規則以接受來自互聯網的所有流量時。它有效。 添加此規則是正確的做法嗎?
1 個解決方案
解決方案1
2 已采納 2020-08-31 07:25:35
根據評論。
該問題是由於阻止入站互聯網流量 (0.0.0.0/0)。 從 AWS 文檔中的Instances cannot access internet 開始,要使用 NAT 啟用實例的 Internet 訪問,必須確保以下幾點:
確保與私有子網和公共子網關聯的網絡 ACL沒有阻止入站或出站 Internet 流量的規則。 要使 ping 命令起作用,規則還必須允許入站和出站 ICMP 流量。
來自評論的問題:
但只有一個問題,在這種情況下,白名單將如何工作。 如果我只想使用互聯網下載某些庫並且不允許任何 api 請求?
如果您知道將要下載這些庫的公共服務器的 IP 范圍,那么您可以將互聯網流量限制在這些范圍內。 但是,如果范圍不固定或未知,則必須在規則中允許所有 (0.0.0.0/0) 互聯網流量。
通常,安全組用作控制網絡流量的主要方式。 NACL 很好,因為它們具有拒絕能力。 安全組不能明確拒絕流量,因此在您想要明確拒絕某些 IP 的情況下,NACL 很有幫助。 但在你的情況下,你只允許流量。 因此,我認為使用默認 NACL就足夠了,可以考慮。
私有子網中的 AWS EC2 實例無法通過 NAT 網關連接到互聯網
[英]AWS EC2 instance in private subnet unable to connect to internet via NAT gateway
Shell 腳本 - 通過我的 NAT 實例 ssh 到私有 AWS EC2 實例
[英]Shell Script - ssh to a private AWS EC2 instance through my NAT instance
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.