我目前在 AWS 中使用 IGW 是为了将烧瓶 ec2s 连接到外部 api 请求。我想从现在开始保护那些服务器,
含义 - 将它们移动到私有 ip ec2s 并仍然从外部获取 api 请求。
我曾尝试使用 nat gw 来传递私有 ip,但我发现它只能从内部到互联网工作,反之则不行。
如何将 nat gw 用于两个方向(或任何其他解决方案),保持私有 IP 的安全性和双向互联网通信?
问问题
53 次
2 回答
1
NAT 网关不允许入站流量进入它们(它们旨在允许私有实例连接到互联网)。
您可以使用网络地址转换 (NAT) 网关使私有子网中的实例能够连接到 Internet 或其他 AWS 服务,但阻止 Internet 启动与这些实例的连接。
如果要允许与私有 IP 中的实例进行入站通信,应执行以下操作:
- 对于允许公共入站访问的应用程序端口(例如 port
80和443),您可以通过在应用程序前面放置公共负载均衡器来访问这些端口。 - 对于管理端口(例如
22和3389),您可以通过 VPN 连接/直接连接连接进行连接,或者使用公共子网中的堡垒/跳转服务器跳入您的主机(如果可能,请避免使用此选项)。
于 2020-07-26T08:07:42.627 回答
1
NAT 用于公共出站流量。
对于公共的入站流量,使用带有公开开放安全组的负载均衡器,并将负载均衡器的入站规则添加到 API 服务器。然后,负载均衡器只能从公众访问 API 服务器。
于 2020-07-26T14:29:53.553 回答