-1

嗨,我有一个快速的问题,

我尝试在 AWS 中构建 1 个 ubuntu Web 服务器实例,配置如下: 1 个 Ubuntu 实例,带有 2 个网络接口,其中 1 个用于公共接口(http 和 https)(eth0),另一个用于 mgmt 控制台(ssh:22)( eth1) 并且每个接口都有弹性IP。

对于安全组配置:

eth0 have inbound for port 80 and 443 from any ip
while eth1 have inbound for port 22 from any ip

下面是我的界面 - VPC 配置。

- public interface (eth0) and mgmt interface (eth1) is at the same VPC but different subnet.

eth0 is at public subnet with public route table (local and internet gateway)
eth1 is at private subnet with public route table (local and internet gateway) *later i will change with pvt subnet and allow access only through vpn.

所以现在的问题是:上面不起作用......知道为什么吗?或者如果你能看到我想要达到的目标,那么你有更好的想法或设计吗?

先感谢您!和

4

1 回答 1

0

你会遇到很多不必要的麻烦。VPC 中的实例除了公共地址(如果有的话)还有一个私有地址,您将来可以使用该地址进行管理。

为 http/s 和 ssh 设置单独的地址对安全性没有任何意义——它只会增加晦涩性。

为什么它不起作用的答案可能在于返回流量的不对称路由。禁用实例的 IP 源/目标检查可能会使其工作;否则,您可能需要一些策略路由才能使响应留在正确的界面上。

此外,根据定义,具有指向 Internet 网关对象的默认路由的子网不是私有子网。私有子网使用 NAT 实例作为其默认路由,而公有地址不适用于私有子网。

为什么我们需要在 VPC 中使用私有子网?

于 2015-01-12T01:15:43.497 回答