问题标签 [private-subnet]

提前感谢您的时间。我对 AWS 很陌生，并试图设置一个面向云的应用程序来处理 HTTP / HTTPS 请求。

我有一个连接到弹性负载均衡器 (ELB) 的域名 (example.com)，我的要求只是将一个ELB 连接到一个 AutoScaling 组 (ASG)，它的最小-最大为 2-5 个 EC2。我最好将由 ASG 创建的 EC2 放置在私有子网中。

我遵循此处提供的解决方案，但正如我在第 5 步中所了解的那样，它用于将 ELB 连接到现有的 EC2 实例。但我的要求是将它附加到 ASG，因此无法连接到特定的 EC2 实例。

我现在只关注两个 AZ，并在两个 AZ 中分别创建了一个公共子网和私有子网。创建 ELB 并将其附加到两个公共子网后，我继续进行启动配置和 ASG。在设置 LC 和 ASG 时，我会要求澄清以下选择的含义。

在为 ASG 创建启动配置时，在其中一个步骤（IP 地址类型）中，我有三个选项，即：

(1) 如果在默认 VPC/子网中创建，则将公共 IP 分配给新实例

(2) 新实例的始终公共 IP

(3) 没有新实例的公共 IP。

根据我的要求，应该选择以上哪一项？

附加问题

1. 在创建 ASG 时选择子网时，我应该同时选择公共子网和私有子网，还是只选择公共 SN或只选择私有 SN？我的猜测是私有子网，因为我想将 EC2 放在私有 SN 中。

2. 如果由 ASG 创建的 EC2 将部署在私有 SN 中，那么公有子网中还应该存在什么？

再次感谢您的时间和指导。

6/13 更新

对于我上面发布的问题，我继续进行如下选择：

1. 为 ASG 创建启动配置时，IP 地址类型：新实例没有公共 IP。

2. 创建 ASG 时选择子网时：仅专用 SN

3. 我在公有子网中放置了一个 NAT 网关，并更新了私有子网的路由表以包含 0.0.0.0/0 到 NAT 的路由

现在一切正常！！

我有三个接口（2 个以太网和 1 个 Wifi），如下表所示。eth0 (192.168.1.62) 连接到 WLAN 路由器 (192.168.1.1) 并且 wl1 (192.168.1.114) 也通过 wifi dongle 连接到同一路由器。

但是一旦 eth0 和 eth1 启动，我就无法通过 wl1 ping 或访问 192.168.1.1。我应该怎么做才能同时访问。

我有几个在私有子网中运行的 ec2 实例，其中一个需要使用 SMTP 通过 587 端口发送电子邮件，因为 EC2 在私有子网中，我认为我在端口上遇到了超时，有没有办法解决这个问题

所以我在同一个账户中有 2 个不同的 VPC。

在第一个 VPC (A) 中，我有一个属于私有子网的实例，所有数据都被路由到 NAT 网关（使用以前的配置）。

目前，我正在尝试从此实例访问另一个 VPC(B) 中的实例（telnet/ping/anything）。

我设置了 VPC 对等互连并更改了两个 VPC 的主路由表以针对对等互连连接。（不工作）

然后我尝试更改私有子网的路由表以直接路由到对等连接。（不工作）

有许多安全组在起作用，但是当我将 B 中实例上的 SG 更改为接受所有连接时，我能够从本地 PC 连接，但仍然不能从 A 中的实例连接。所以我认为 SG 不是问题. 我认为这可能是路由表，但无法找到原因。

当我从 A 中的实例跟踪路由时，它会转到 NAT 网关私有 IP，然后转到某个 AWS 实例（由 AWS 拥有，而不是我），然后迷路了。

连接可能在哪里出错？

我通过 Terraform ( google_container_cluster with and set)创建了 GKE私有集群并安装了Helm Chart。我的设置与本文中描述的基本相同：https ://itnext.io/use-helm-to-deploy-openvpn-in-kubernetes-to-access-pods-and-services-217dec344f13我能够请参阅文章中描述的 -only 公开服务。但是，当我连接到 VPN 时，由于无法连接到主服务器而失败。private = trueregionstable/openvpnClusterIPkubectl

我将OVPN_NETWORK设置保留为默认值 ( 10.240.0.0)，并将OVPN_K8S_POD_NETWORK子网掩码设置更改为我在创建私有集群所在的私有子网时选择的次要范围。

我什至尝试添加10.240.0.0/16到我的master_authorized_networks_config，但我很确定该设置仅适用于外部网络（添加完全不同的 OVPN 服务器的外部 IP 允许我kubectl在连接到它时运行）。

有什么想法我在这里做错了吗？

编辑：我只记得我必须设置一个值master_ipv4_cidr_block才能创建私有集群。所以我添加10.0.0.0/28到ovpn.conf 文件中，push "route 10.0.0.0 255.255.255.240"但这并没有帮助。有关此设置的文档指出：

为 master 的 VPC 指定私有 RFC1918 块。主范围不得与集群 VPC 中的任何子网重叠。主服务器和您的集群使用 VPC 对等互连。必须以 CIDR 表示法指定，并且必须是 /28 子网。

但是对于集群外部子网上的 OpenVPN 客户端有什么意义呢？如何利用上述 VPC 对等互连？

我正在尝试创建 ECS 集群，并且我已经手动构建了具有 3 个公共子网和 3 个私有子网的 VPC。所有 3 个公有子网都通过 0.0.0.0/0 附加了 IGW，所有 3 个私有子网都在路由表中附加了 NAT 网关，地址为 0.0.0.0/0。3 个 NAT 网关中的每一个分别位于每个公共子网中。

我已经使用我现在尝试使用的相同 CloudFormation 模板创建了另一个 ECS 集群，并且一切正常。

我比较了第一个和第二个 VPC 之间的设置（失败一个），所有设置（IGW、NAT 网关、路由表、NACL、SG）都相同，当然 IP 被调整为第二个 VPC 的 IP。当我尝试在第二个 VPC（失败一个）中创建 ECS 时，私有子网中的 EC2 实例无法连接到 Amazon 存储库，随后整个堆栈回滚，因为来自 EC2 实例的信号从未发送到 Auto Scaling Group。

之后我检查了 EC2 实例的系统日志，他们无法安装亚马逊代理。以下是日志的摘录：

我检查了 NACL，对于 Inbound 和 Outbound，一切都设置为 0.0.0.0/0 和 ALLOW。

对于第一个 VPC，我使用 ECS 优化的 AMI 和t2.large（没有任何问题）和第二个c5.xlarge（导致问题）。

什么可能仍然导致 EC2 无法访问 Amazon 存储库？

编辑

所以后来我发现第二个 VPC 附加了 S3 端点。经过更多研究后，我在 LinkedIn 上发现了一篇不错的帖子：

Amazon Linux 存储库托管在 S3 上，因此有必要在 S3 终端节点策略中允许对其进行访问。

因此，当您启动 yum 时，它会使用本地 DNS 诡计的魔力来路由到内部 S3 端点

我继续更新我的 CloudFormation 模板，并在下面的 LaunchConfiguration 中添加了额外的策略，但这并没有帮助：

端点策略如下所示：

我是 AWS 新手，有点困惑。我使用 Claudia 来部署和 NodeJS。

我需要制作 3 个 Lambda 函数：

1. 这个函数需要从数据库中获取工作，因为数据库的安全性，它需要是私有的。然后我需要 SQS 进行工作查询

2. 第二个函数应该执行每个作业 1-time FIFO 样式并返回结果。

3. 第三个函数应该从第二个 Lambda 函数中获取结果并将其再次存储在数据库中。

有人可以给我和建议如何做到这一点：

• 使用什么样的互联网连接
• 如何设置第一个和第二个功能之间的查询
• 第三个函数如何从第二个函数中得到结果？

如何访问 Cloud SQL？

假设我在私有子网中有一个数据库，我可以使用堡垒主机访问私有子网，但不能访问私有子网内的云 SQL。

要访问私有子网中的 RDS，在以下架构中，

给出 EC2 的公共 IP，EC2 在公共子网中的 ssh 私钥位置，RDS 在私有子网中的 DB 凭证，如下所示，

EC2（在公共子网中）如何允许通过 ssh 隧道连接到私有子网中的 RDS？它与/etc/ssh/sshd_configEC2有关吗？

我已为我的私有子网分配了一个仅限出口的 Internet 网关。现在我可以连接 IPV6 网站，但不能连接 IPV4 地址。

我是否需要 NAT 网关才能从我的 EC2 机器访问 IPV4 地址？（仅传出流量）