[英]Providing internet access to private Ec2 instance using NAT instance
根據評論。
該問題是由於阻止入站互聯網流量 (0.0.0.0/0)。 從 AWS 文檔中的Instances cannot access internet 開始,要使用 NAT 啟用實例的 Internet 訪問,必須確保以下幾點:
確保與私有子網和公共子網關聯的網絡 ACL沒有阻止入站或出站 Internet 流量的規則。 要使 ping 命令起作用,規則還必須允許入站和出站 ICMP 流量。
來自評論的問題:
但只有一個問題,在這種情況下,白名單將如何工作。 如果我只想使用互聯網下載某些庫並且不允許任何 api 請求?
如果您知道將要下載這些庫的公共服務器的 IP 范圍,那么您可以將互聯網流量限制在這些范圍內。 但是,如果范圍不固定或未知,則必須在規則中允許所有 (0.0.0.0/0) 互聯網流量。
通常,安全組用作控制網絡流量的主要方式。 NACL 很好,因為它們具有拒絕能力。 安全組不能明確拒絕流量,因此在您想要明確拒絕某些 IP 的情況下,NACL 很有幫助。 但在你的情況下,你只允許流量。 因此,我認為使用默認 NACL就足夠了,可以考慮。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.