问题标签 [private-subnet]

我们的 API 是公开的。我们会从api.domain.com.

该服务已移至具有 Amazon VPC 的私有子网。Web 应用程序托管在一个公共实例上，该实例通过 API 与私有实例进行通信。我们如何创建一个端点来访问私有实例上托管的 API？

我相信我们可以通过XXX.XX.XXX.XXX它是实例的私有 IP 地址来访问它。但是，我们更愿意使用命名端点来访问它，例如api.domain.com. 我们应该怎么做？

这和在公共实例上编辑 /etc/hosts 文件一样简单吗？
XXX.XX.XXX.XXX api.domain.com
我担心这种方法的可扩展性/可靠性。

这是关于子网掩码的一般问题。

前言

我们的大多数专用网络位于 192.168.1.xxx/24 上，子网掩码将为 255.255.255.0。这是您在百思买购买的任何路由器的默认配置。

实际问题

这就是我想知道的：为什么子网掩码不是 192.168.1.0 而不是 255.255.255.0

假设你的 ip 地址是 192.168.1.14

如果您将 192.168.1.0 子网掩码与您的 IP 地址“逻辑和”，您将获得与您使用 255.255.255.0 子网掩码“逻辑和”它相同的结果。

子网掩码 192.168.1.0 比 255.255.255.0 更具描述性。这是因为子网掩码 255.255.255.0 将适用于数千个潜在子网，而子网掩码 192.168.1.0 将适用于更少的子网。此外，将 192.168.1.0 之类的子网掩码用于 192.168.1.14 的 IP 地址的约定会更容易阅读。

那么，为什么普通专用网络的子网掩码不是 192.168.1.0？为什么我们不使用更具体的子网掩码？

谢谢，

我们有两个 AWS 账户：

账户 A 有一个具有 172.31.21.0/16 子网的 VPC。

账户 B 有 3 个 VPC：
VPC 1 : 172.31.0.0/16 默认
VPC 2 : 172.32.0.0/16
VPC 3 : 172.30.0.0/16

我们在账户 A 的 VPC 上有一个 EC2，它需要与账户 B 的 VPC 2 上的 RDS(MySQL) 通信，但我无法从账户 A 上的 EC2 连接 RDS。

问题是由账户 B 的 VPC 1 与账户 A 的 VPC 使用同一子网引起的吗？

如果是这样，我们该如何解决这个问题？

子网 192.168.2.0 中的主机 A 192.168.2.4

子网 192.168.3.0 中的主机 B 192.168.3.53

子网 192.168.3.0 中的主机 C 192.168.3.54

主机 B 上的 VM D 192.168.3.60，桥接网络

1. 主机 A 可以 ssh 到主机 B 和主机 C
2. 主机 B 和主机 C 可以 ssh 到 VM D

但，

3. 主机 A 无法 ssh（甚至 ping）到 VM D

我使用 vagrant 启动虚拟机，提供者是 VirtualBox。

任何人都可以指出问题出在哪里？非常感谢。

我正在以下列方式运行 docker setup

1) 在运行 vagrant 脚本的 Windows 上，在我的本地 VM 上安装 ubuntu14.04

2) 在运行 docker 容器的 VM 之上

在这里，我的担忧就像

我的 Windows 机器子网不同（如 10.204.255.*/16）

我的虚拟机子网不同（10.0.2.*/16）

我的 docker 容器子网与 (172.17.0.*/24) 不同

如果我想访问 VM 级别的特定容器服务，我可以使用它们指定 VM-ip 或 localhost:forwardind-port/ ；听起来不错
如果我想从 Windows 机器访问它会以与转发端口相同的方式工作

但是从 windows 机器上，如果我想像 container-ip:container-port/ 一样访问如何实现呢？

为什么我需要这样访问，在我的容器中我正在运行 corba 特定服务，我们可以通过运行 container-ip n 端口的特定服务访问这些服务

我知道这个主题有很多信息，但我找不到一个简单问题的答案。

我愿意为我所在地区的每个可用区（3 个区）都有一个子网。我的 VPC CIDR 是 10.0.0.0/19，我希望每个子网都有相同数量的 IP。我的问题是我应该为每个子网分配的 CIDR 块是什么？

我正在尝试在创建新 VPC 时评估私有子网和公共子网。与来自互联网的入站流量隔离是继续使用私有子网的唯一原因吗？在考虑私有子网时也需要考虑这些点。

1. NAT 网关是收费的 - 0.045 美元/小时，每 GB 数据传输 0.045 美元。所以有成本考虑。我需要 NAT 网关来从互联网上提取代码或更新。
2. 我应该能够通过使用具有不同严格级别的安全组来保护我的公共子网中的实例。
3. 当启动一个实例时，我会为那些我想从 VPC 外部访问的实例分配一个公共 IP。

我经历了这个问题，但它并没有解决我对上述几点的疑问。任何帮助表示赞赏。

我在 AWS 管理控制台的 VPC 服务主页上使用“创建 VPC”而不是“创建 VPC 向导”命令按钮设置了一个非默认 VPC - 这是因为我最终将使用 CloudFormation 自动执行该过程。我为公共子网设置了一个 Internet 网关，并为私有子网设置了一个 NAT 网关。然后，我为每个子网创建了一个 Amazon Linux 实例。

我能够在公共子网上 ping www.columbia.edu，但我在私有子网上的实例中的“sudo yum update”命令 - 该命令的执行返回了一条消息，指出找不到 repo。

什么地方出了错？

我有一个在 VPC 的私有子网中运行的 AWS RDS 实例。

我希望运行在公共子网上的 EC2 机器能够通过 SSL 访问它（而不是像我看到人们建议的那样使用 SSH。我想通过 SSL 直接从代码中访问它）。

有没有办法这样做？

在审查了许多堆栈之后，我仍然很难过。尝试创建将引用现有 VPC ID 并添加新子网并不断收到语法错误的 cloudformation 脚本。有什么想法吗？