问题标签 [private-subnet]

在 AWS 上，假设我在 3 个不同的 AZ 中有 3 个私有子网，我希望它们都能够通过 NAT 网关访问互联网。AWS 指南建议为每个子网使用单独的 NAT 网关和堡垒主机（当然，假设它们是必需的）。不用说，一切都在同一个 VPC 中（因此在同一个区域）。

为所有私有子网共享同一个 NAT 网关是否会降低性能？

我想测试一个使用数据库连接运行的Docker 容器。该数据库是 AWS 中的RDS 数据库实例，但它位于私有 VPC 子网中。

是否可以从我的计算机连接到私有 VPC 子网中的 RDS 数据库实例？使用 SQL 客户端或 AWS CLI，如图所示：

我已经创建了一个面向 Internet 的弹性负载均衡器来指向我在 VPC 中的 EC2 实例，就像我之前有很多次一样，但是对于这个我使用带有 nat 网关的私有子网来控制传出流量并将其全部通过列入白名单的 IP。

不幸的是，仅此负载均衡器就存在间歇性连接问题，这会导致各种问题，包括 Cloudfront 可靠地联系原始站点。

这适用于公共子网（事实上我现在已经直接换掉了），但不适用于私有子网。

任何想法将不胜感激，

克里斯

我有 2 对设置。
1. OpenSuse(A) 和 Opensuse(B)
2. OpenSuse(C) 和 Centos(D)

我在两种设置中都有 3 个接口，它们之间都是内部连接的。即，第一对有eth0,eth1,eth2，第二对有eth0,eth1,eth2。分配给接口的 IP 地址如下：

第一对

• 打开使用 eth0-172.28.215.10/24、eth1-20.1.121.2/24、eth2-30.1.121.2/24
• 打开使用 eth0-172.28.215.11/24、eth1-20.1.121.3/24、eth2-30.1.121.3/24

第二对

• 打开使用 eth0-172.28.215.20、eth1-21.1.121.2、eth2-31.1.121.2
• Centos eth0-172.28.215.21、eth1-21.1.121.3、eth2-31.1.121.3

172.28.215.1是 eth0 的网关。eth1 和 eth2 没有网关。AB和CD之间没有连接eth1和eth2的电缆，只有eth0。即 eth1 和 eth2 在 A&B 之间连接，但在 A&C 或 A&D 之间没有连接问题是

在第一对（A&B）中：

而另一种方式也可以正常工作此外，我可以在不同子网之间发送 ARP 数据包。我不知道这是怎么发生的。可能是这样配置的arptables，我是arptables概念的新手。

在第二对（C＆D）中

不发送数据包的场景是在不同的子网之间。这里发生的事情是（关于 arp 和路由）：

现在更有趣的是从 D 到 C 的数据包传输：

tshark/tethereal仅供参考：我可以在数据包捕获中看到所有这些。我在执行此操作之前清除了 arp 缓存。我根据mac地址决定发送和接收的数据包。我们发送的数据包是 SIP 数据包。
如果您需要更多信息，请告诉我。

现在的问题是，为什么会有这种差异？我应该怎么做才能让第二对（主要在机器 D 上）作为第一对工作？

我知道一种方法是在公共子网中使用负载均衡器，但对于开发服务器，我们不需要负载均衡器。是否有其他选项可以允许从 Internet 访问私有子网中的应用程序？

如果不是，那么最好的选择是将开发服务器留在公共子网中吗？数据库实例仍将位于私有子网中。

我想将我的 ec2 实例从私有子网移动到公共子网。除了创建这些实例的 AMI，然后从这些 AMI 启动新实例并附加卷和弹性 ip 之外，还有其他方法吗？

以下是我的问题陈述 -
1. 我有一个区域 API 网关端点

2. Lambda 调用 VPC 私有子网中的 Lambda 函数来访问 RDS。
   

3. 对 API Gateway 的 Postman 调用能够调用 Lambda 函数。
   

4. Lambda 函数能够正确处理其中的所有内容。
   

5. Lambda 函数代码到达代码的响应块，但无法返回响应。
   

6. Lambda 函数的安全组允许通过公有子网中的 NAT 网关进行所有出站。
   

以下是函数处理程序 -

CloudWatch 日志显示代码能够到达成功块，

邮递员回应——

可能是什么问题？

eu-west-1 我有一个在私有子网中旋转的 EMR 。我在路由表中为 S3 定义了一个网关端点。我必须访问AWS 公开的这个公共s3://us-east-1.elasticmapreduce/libs/script-runner/script-runner.jar存储桶/位置：这给出了以下错误。我认为这是因为不允许通过网关端点进行跨区域访问。我能够访问同一区域中的其他存储桶。是否有解决方法来访问它，也许通过 NAT？路由表已经有一个 NAT，但请求不知何故没有通过它。

我有创建 VPC 的代码，有 2 个私有子网、2xec2 私有实例和公共堡垒。

ec2 代码使用 VPC 模块 subnet_ids 的 outputs.tf。由于有 2 个私有子网，因此生成了 2 个子网 ID。当这些生成的子网 ID 被馈送到 ec2 实例而不是一个子网 ID 时，它一次将 2 个子网 ID 作为单个值提供。

结果 terraform 找不到该 subnet_ids 值，创建失败。

错误：子网 ID 'subnet-0*************,subnet-0*************' 不存在

编辑子网* vpc.tf

实例ec2.tf

以下是模块：

vpc_main.tf

期望值只有一个子网 ID 作为值：

错误：提供 2 个子网 ID 作为一个值。

aws_instance.ec2-instance[0]：发生 1 个错误：

• aws_instance.ec2-instance.0：启动源实例时出错：InvalidSubnetID.NotFound：子网 ID 'subnet-0**********,subnet-0***********'不存在

在创建 azure 容器实例时附加子网和 vnet 配置的挑战。

我正在尝试使用 Azure SDK - Java/.Net 创建 Azure 容器实例。此容器需要跨不同 VM 与组件进行通信。我能够使用带有 vnet 和子网配置的 Azure CLI 命令来实现这一点。但无法通过 SDK 复制相同的内容。

Java 中的代码片段

Azure CLI

az container create --resource-group --name --image --cpu 1 --memory 1.5 --registry-login-server --registry-username --registry-password --azure-file-volume-share-name --azure-file-volume-account-name > --azure-file-volume-account-key --azure-file-volume-mount-path --restart-policy 从不 --e --subnet --subnet-地址前缀 --vnet --vnet-name --subscription --command-line ""

创建 azure 容器实例时无法附加 vnet 和子网配置。