问题标签 [aws-nat-gateway]

我们的 AWS VPC 中有一个 NAT 网关，最近到特定目的地的连接数增加了 55000 以上，因此 NAT 网关已成为瓶颈。

我知道我们可以启动另一个 NAT 网关或 NAT 实例并将少数子网的流量路由到它们，但我正在寻找一种解决方案，我们可以在此负载均衡器后面有一个负载均衡器和多个 NAT 实例，配置路由表将请求路由到负载均衡器，其中多个 NAT 实例之一可以接收请求。

在此过程中，我尝试在它们后面安装网络负载均衡器、网关负载均衡器和多个 NAT 实例，但它们似乎都不起作用。我想知道这是否可以实现，或者如果不是，为什么它无法实现。任何有关 NAT 负载均衡器的信息都会有所帮助，非常感谢。

我遵循了这些说明

在第 3 步，我收到错误，例如 There was an error to save subnet association for Private Route test Table 2。

还有另一个错误 The NAT gateway not associated with routing table

那么如何解决呢？知道我在做什么错吗？

我部署了一个使用来自 ECR 的最新映像的容器化 Lambda。我还已经使用以下内容设置了网络：

Subnet CIDRs

私人 1：172.31.32.0/20

私人 2：172.31.48.0/20

Private Route Table

Public Route Table

Nat 网关与 public-1 子网相关联。

Security Group

现在允许所有流量入站和出站（用于调试）。

Lambda Configuration

我的问题是，在设置此配置后，我能够访问，然后我添加了配置以与对等 vpc 进行数据库连接，这也有效。但紧随其后它停止工作。所以我的困惑是为什么它是零星的？我将随机更改安全组并重做网络，它运行一次然后停止。这是我现在经常看到的错误，它是 lambda 调用的前几行。

"errorMessage": "HTTPSConnectionPool(host='maps.googleapis.com', port=443): Max retries exceeded with url: /maps/api/geocode/json?

我们应该使用一个非常小的 ec2 服务器作为 nat 网关吗？我们想使用 Amazon ElastiCache Memcached，它将在 vpc 内，ec2 服务器作为 nat 网关会更便宜吗？

我正在尝试在我的 Lambda 函数中发出 HTTP 发布请求以调用 EC2 公共 API，该 API 上运行着一个容器。我迷失在互联网上的所有页面之间，那么需要在我的 lambda 中获得响应以继续执行另一个逻辑吗？编码 ？配置到 VPC；国家网关？

![Post Mann 的 API 调用]

（这张图片中想要在 lambda 中做什么）

我会感谢每一个想法

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html aws 文档说 - 公共 - （默认）私有子网中的实例可以通过公共 NAT 网关连接到互联网，但是无法接收来自 Internet 的未经请求的入站连接。

如果私有实例没有收到入站连接它们如何与互联网通信，这是否意味着它们只能通过 NAT 网关接收入站请求？

HTTP 请求是入站的，那么是否有任何协议可以进行非入站连接？如果不是入站，其他类型的连接可能是什么？

我当时迷路了->可以连接互联网，但不能入站。

我有一个 EKS 集群，在私有子网中有工作节点。工作节点可以通过 nat 网关访问互联网。我有一个 Route53 托管区域记录将流量（别名）路由到负载均衡器。

当我尝试从 EKS 集群中的 pod 访问 url（route53 记录）时，它会超时。我尝试在负载均衡器安全组的入站规则中允许工作节点安全组，但它不起作用。唯一有效的是，如果我在负载均衡器安全组的入站规则中允许 nat 网关的公共 IP。

我确信这种设置很常见。我的问题是，在 LB SG 的入站规则中允许 nat 网关公共 ip 的解决方案是正确的方式，还是有更好更干净的方式来允许访问？

我在我的 AWS 账户中的几个子网上有一个 EKS 集群。我希望能够将 EIP 与来自私有子网中我的 pod 的出口流量相关联（我们称之为 app-pods），用于外部服务白名单。每个需要出口的 pod 都必须有一个 EIP。由于这些原因，NAT 网关不是一个可行的解决方案（每个应用程序 pod 有一个 NAT 网关也是不可行的，因为成本原因。

因此，我目前正在探索在公共子网中建立一个网关 pod（与应用程序 pod 不同的节点）的选项，该子网具有与之关联的 EIP，并通过这些网关 pod 将应用程序 pod 流量出口到世界。基本上路由看起来像这样

App-Pods（私有子网）--路由流量--> Gateway Pods（公共子网，SNAT 源 ip-EIP）--egress--> 外部服务器

为了将流量从 app-pod 输出到网关 pod，我添加了如下所示的静态路由。我得到了运行 Pod 的节点的私有 ip，并适当地替换它们

ip route add "APP-POD-NODE-IP" via "GATEWAY-POD-NOD-IP" dev eth0

这似乎不起作用。当我在 app-pods 的节点上添加这些路由时，出现此错误

错误：Nexthop 的网关无效。

从我读过的内容来看，网关似乎必须在同一个网络上。在我的特定情况下，我不确定那可能是什么。对此的任何帮助将不胜感激

谢谢

我有一个项目，涉及运行数百个从互联网获取数据的 Lambda 函数。

这些函数在我的 VPC 的私有子网中运行。

我希望这些功能的互联网流量并非都具有相同的 IP。

我的理解是我应该在公共子网中创建一个 NAT 网关，但是我找不到如何在该 NAT 网关上拥有多个公共 IP 以进行某种随机化。

这甚至可能吗？

应该如何着手实现这一目标？

我正在尝试通过使用 AWS 作为提供者从 terraform 创建 nat 网关，但资源 aws_nat_gateway 中的子网 ID 总是给我错误。我正在尝试在 variables.tf 文件中的资源“aws_nat_gateway”“sample_nat_gateway”上的子网 ID 中分配公共子网，但没有这样做，如果有人可以提供帮助，是否需要支持？

下面是我的 vpc 模块的 vpc.tf 文件

变量.tf