问题标签 [aws-nat-gateway]

我正在尝试使用 API Gateway 将 HTTP 请求转发到外部服务器。此外部服务器将 IP 列入白名单，例如分配给我们拥有的 NAT 网关的 IP。

如果我只是创建一个 API Gateway HTTP，它将按我想要的方式工作，但它会从 cloudfare 动态选择出站 IP。现在，我想从我的 API 网关路由此出站流量，以便它可以使用，例如，我的 NAT 网关，或我可以发送给人们的其他弹性 IP 也将其列入白名单。

任何想法我该如何解决这个问题？

我有两个用于私有和公共访问的自定义 VPC：VPC1（私有）和 VPC2（公共）。每个 VPC 有一个子网和一个具有适当入站规则的 EC2。我能够在公共 EC2 中更新软件，这绝对没问题。此外，在 VPC 对等互连之后，我能够在这两个 Ec2 之间建立 SSH 连接。但我的目标是通过公共 EC2 在 pvt EC2 上使用互联网。为此，我必须将 VPC2 的 NAT 网关添加到 VPC1 的路由表中（如果我没记错的话）。但是，NAT 网关在 VPC2 路由表上不可见。不过，如果两个子网都在一个 VPC 中，我可以使用从私有子网到公共子网的 NAT 网关。但是，当他们在两个不同的 VPC 中时，我在这里很挣扎。有什么建议吗？

我试图将 AWS WAF 放在 NAT 网关后面以阻止某些特定用户。下图准确地解释了我想要实现的目标。

我正在尝试学习 Aws cloud Formation ，我正在尝试创建 VPC，如图所示。它包含三个公共子网，私有子网，natgateway 和 Internetgateway 以及公共和私有路由表。我正在尝试通过云形成来实现它，但获得弹性 IP 异常。 我已经创建了模板，但是当我尝试在云形成时创建堆栈时出现错误

. 我正在尝试将弹性 IP 附加到 NatGateway 并解决错误。请指导我如何做到这一点。

}

我对那个有点迷茫——我已经关注了 AWS 文档，但我似乎找不到更多的东西了。情况摘要是我在 VPC 中有一个 EC2 实例，尽管按照 Amazon AWS 的说明为 VPC 设置 NAT，但它无法访问 Internet。详情如下：

1. 我有一个带有一个子网 (CIDR 10.0.0.0/24) 和一个 EC2 实例的 VPC（它仅在 VPC 中具有私有 IP 地址，10.0.0.168）

2. 我创建了一个 Internet 网关并将其附加到上述 VPC。

3. 我为入站和出站流量创建了一个允许所有流量为 0.0.0.0/0 的网络 ACL，并将 ACL 附加到 VPC 的唯一子网。

4. VPC 子网安全组还允许 0.0.0.0/0 的所有流量进出

5. 我创建了一个 NAT 网关，它在 VPC (10.0.0.95) 内有一个私有 IP 地址和一个公共弹性 IP 地址（比如说 18.154.34.97，但我认为这无关紧要）。此 NAT 网关连接到 VPC 的唯一子网。

6. 我创建了与 VPC 的子网 (10.0.0.0/24) 关联的路由表，其中包含两个条目：

7. 为了访问 VPC，我创建了一个地址范围为 10.1.0.0/22 的客户端 VPN 终端节点，并将其与正确的 VPN 子网相关联。

8. 我可以使用 OpenVPN 连接到客户端 VPN 终端节点并通过 ssh 连接到 EC2 实例。但是，从那个实例我无法访问 Internet。同样，当连接到此客户端 VPN 端点时，我的本地计算机也无法访问 Internet。我尝试在 VPC (10.0.0.95) 内 ping 通 NAT 地址，但任何一台机器都无法访问它。

9. 一切都是我设置的绿色，活动等。使用可达性分析器时，我得到以下信息：

我将事物路由到 NAT，而不是 Internet 网关，因为我知道当我仅在 VPC 中拥有私有 IP 地址时，这是解决此问题的正确方法。

如果我正确理解 NAT，它会在从 VPC 内实例之一接收数据后成为 Internet 网关的源地址。此 NAT 具有公共弹性 IP 地址。

它不应该得到任何这样的流量，因为它应该通过 NAT，对吧？

我不知道我在这里错过了什么......

假设我在私有子网中有一个 ec2，可以通过 NAT 网关访问互联网，并且我有用于 DynamoDB 或 SNS 等 AWS 服务的VPC 端点 (PrivateLink)。如果我的 ec2 实例需要与这些服务交互，它将使用私有链接还是 NAT 网关？换句话说，流量将在公共互联网上传输还是留在 VPC 内？

我正在部署一个应用程序，在该应用程序中，我在私有子网中使用带有 lambda 的 NAT 网关与 vpc 之外的其他 AWS 服务进行通信。一切正常，但 NAT 网关增加了很多额外的费用。我假设我是否可以替换 NAT 网关并改为使用和接口 vpc 端点？

我在公共子网中有一个 EC2 实例，我为该实例分配了一个 EIP，该 IP 地址被列入白名单以访问我公司的网络。Instance 必须有一个公共 IP 地址，但我不想在这里使用 EIP。每当我重新启动服务器时，IP 地址都会发生变化，所以我想如果我创建一个 NAT 网关并安排路由表以使用连接我公司的网络，但是当我这样做时，我无法访问该实例。专用网络的 NAT 网关，但有没有办法设置静态 IP 地址以到达某些地方？

路由表的默认设置

设置使用 NAT 网关默认访问无效

为公司网络添加新路由不起作用

Here is my simple question: I have a dockerized app that I want to host on ECS.

• This app does not need to be accessible from the outside world
• however it needs to communicate with the outside world.

For some cost reasons, I want to run it on an EC2 instance (EC2 Autoscaling Group and not Fargate) + I would like to avoid using a NAT Gateway.

Is it possible, given the setup I described above, to have:

• My app communicating with the outside world (egress ip)
• But do not use a NAT Gateway?

I tried to use public subnets + associate public ip on the EC2 instance. But that did not work.

我们有一个具有 3 个公共子网和 3 个私有子网的 VPC。

公共子网通过 Internet 网关到达 Internet。私有子网通过其自己的 NAT 网关（每个网关）到达 Internet。

在创建了几个批处理计算环境和 lambdas（lambdas 使用位于 ECR 存储库中的自定义映像）运行到私有子网之后，我们的账单随着 NAT 网关流量的增加而增加。

我们忘记为 S3 和 SecretManager 创建 VPC 端点。好的，我们创建了这些端点。

但是我们在 NAT 网关流量方面的费用仍然很高。

我们激活了流日志并开始了我们的任务。

我们检查了 NAT 网关和 Internet 之间的流量。都是https流量。我们推断是 AWS 服务调用了其他 AWS 服务 API。

我们创建了一些其他的 VPC 端点，这是可行的。我们的 NAT 网关流量比以前少。但是我们还有一些 https 流量。我们的应用程序不会产生这种流量。因此，我们需要更多的 AWS VPC 端点。AWS VPC 端点是有成本的。

我们如何知道我们需要哪些 VPC 端点？

流日志不是 7 层日志。有什么方法可以嗅探流量吗？