我们有许多第三方系统,它们不属于我们的 AWS 账户,也不受我们的控制,这些系统中的每一个都有一个内部 iis 服务器,其 dns 只能从本地计算机获得。这个 iis 服务器拥有一个我们希望能够从我们的 EC2 实例中使用的 API。
我的想法是在 ec2 实例和 3rd 方系统之间建立某种类型的 vpn 连接,以便 ec2 实例可以使用相同的内部 dns 来调用 api。
AWS提供直接连接,正确的路径是为了做到这一点吗?如果是,任何人都可以就如何前进提供任何帮助,如果不是,那么正确的路线是什么?
基本上我们有一个第三方系统,在这个第三方系统上是一个 IIS 服务器,运行一些包含 API 的软件。因此,我可以从本地机器运行http://<domain>/api/get它并返回大量 JSON 代码。然而,为了进入第三方系统,我们通过个人笔记本电脑上的 VPN 连接。我们需要 AWS 中的 EC2 实例能够访问此 API,因此需要通过相同的 VPN 连接连接到第三方。所以我认为我需要在 AWS 中建立一个单独的 VPC。
最佳答案取决于您的预算、带宽和安全要求。
直接连接非常好。此服务提供从您的存在点到亚马逊的专用物理网络连接。配置并运行 Direct Connect 后,您将通过此连接配置 VPN (IPSEC)。缺点:安装光纤的交货时间长且相对昂贵。积极因素、高安全性和可预测的网络性能。
可能根据您的情况,您需要考虑在公共 Internet 上设置 VPN。根据您的要求,我建议在通过 VPN 链接的两端安装 Windows Server。如果您具备 Windows 网络技能,这将为您提供易于维护的系统。
另一个不错的选择是安装在两个 Linux 系统上的 OpenSwan。OpenSwan 提供网络之间的 VPN 和路由。
Windows 或 Linux (OpenSwan) 的设置时间很简单。您可以在一两天内配置所有内容。
Windows 和 OpenSwan 都支持集线器架构。您的 VPC 中的一个系统和每个数据中心中的一个系统。
根据每个数据中心安装的路由器,您可能能够使用 AWS 虚拟私有网关。路由器在每个数据中心都设置了连接信息,然后您将虚拟专用网关连接到路由器。如果您在数据中心中安装了正确的硬件(例如,亚马逊支持的路由器,这是相当多的),这实际上是一个非常好的设置。
注意:您可能无法使用 VPN 客户端,因为客户端不会将两个网络路由在一起,而只会将单个系统路由到一个网络。
您可能需要在您的 VPC 中设置一个 DNS 转发器,以便与您的私有 DNS 服务器进行通信。
也许sshuttle可以做,你需要什么。从技术上讲,您可以在 EC2 和远程 ssh 主机之间打开 ssh 隧道。它还可以处理在远程端解析 dns 请求。这不是完美的解决方案,因为典型的 VPN 具有故障转移,但您可以将其用作起点。稍后,可能作为回滚,或用于测试目的。