问题标签 [private-subnet]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
270 浏览

amazon-web-services - 在 AWS 中,为什么我们将 RDS 实例保留在私有子网中?

我们需要 ID/PW 来登录和访问 RDS 实例,那我们为什么要把它保存在私有子网中呢?将 RDS 放入公共子网有什么危害,因为 RDS 实例受密码保护?

0 投票
1 回答
151 浏览

amazon-web-services - 不使用堡垒的另一个 vpc 的私有子网中的 ssh ec2 实例

任何人都可以告诉我是否可以在没有堡垒的情况下实现以下目标。

我有 2 个 vpc 的 VPC - A 和 VPC -B 都有私有子网和公共子网(没有重叠的 CIDRS)客户端 VPN 终端节点配置了 VPC -A 并且两个 vps 之间有 vpc 对等连接

现在,在连接到 VPN 后,我可以 ssh 到 VPC -B 私有子网中的 ec2 实例(没有堡垒),如果可以,所有配置都需要什么?

0 投票
1 回答
150 浏览

amazon-web-services - 如何在 AWS VPC 中找出面向 Internet 的资源(EC2、RDS 等)?

问题很简单,我们可以在哪里签入 VPC 以找到面向 Internet 的资源?

有 1 个 VPC,它有多个 EC2 实例所在的私有子网(附加安全组),几个 NAT 网关所在的公共子网(附加 EIP 地址),每个子网都有自己的路由表。

请注意,有 1 个 Internet 网关和 1 个连接到 VPC 的虚拟私有网关。

0 投票
1 回答
406 浏览

amazon-web-services - AWS Fargate - 不使用 SES 端点从私有子网发送电子邮件

我有一个带有自动缩放的 Fargate 容器的配置。在公共子网配置或 NAT 配置中使用 SES 简单电子邮件服务时,可以正确发送电子邮件。当容器移动到具有 SES 端点接口的私有子网时,不再发送电子邮件。以下两个带有连接超时消息的选项:

  1. 对于带有https://docs.aws.amazon.com/ses/latest/DeveloperGuide/examples-send-using-smtp.html中的代码的 Java 邮件错误

无法连接到主机,端口:email-smtp.eu-central-1.amazonaws.com, 587;超时 -1

  1. 对于 aws-java-sdk-ses

无法执行 HTTP 请求:连接到 email.eu-central-1.amazonaws.com:443 [email.eu-central-1.amazonaws.com/...] 失败:连接超时

SES 的 VPCE 端点配置类似于https://aws.amazon.com/blogs/aws/new-amazon-simple-email-service-ses-for-vpc-endpoints/上的 EC2 端点。是否需要将 SES 流量从容器到端点接口与事先未知的容器 IP(仅已知 IP 范围)相关联?

0 投票
2 回答
134 浏览

amazon-web-services - AWS 私有子网 EC2 上的 SMTP,网络无法访问 [errorno 101]

尝试使用以下代码在私有子网EC2 机器上的 python 脚本中使用 SMTPlib 发送电子邮件。EC2 机器通过 与内部 SMTP 服务器进行通信PORT 25,使用telnet命令进行验证。此代码在公共子网 EC2 中运行良好,但在私有子网底部引发错误。

收到此错误socket.error: errorno[101] - Network is unreachable

0 投票
2 回答
618 浏览

amazon-web-services - 我可以为 AWS 上的多个 NAT 网关使用相同的出站 IP 吗?

我的 VPC 上有 2 个可用区。每个子网都有一个公共子网和一个私有子网。目前,我将我的应用程序部署在私有子网上,并在每个 AZ 的公共子网上使用 NAT 网关路由出站流量。问题是一些供应商必须将我的应用程序的 IP 列入白名单。目前我有 2 个 IP,每个 NAT 网关一个。有没有办法在不丢失 AZ 冗余的情况下为它们使用相同的 IP,因此供应商只需将单个 IP 列入白名单?

0 投票
1 回答
58 浏览

amazon-web-services - 在 AWS 中配置对 EC2 和 RDS 实例的访问的要求

我在 AWS 中有 2 个 EC2 实例(应用程序和堡垒)和一个 RDS 实例(数据库)。我希望我的 RDS 只能通过堡垒访问(当我作为管理员想要手动更改数据库中的内容时)和应用程序(用户可以在其中更改数据库但只能根据提供的功能应用)。对于 EC2 实例,我希望只能在我的笔记本电脑上访问堡垒(因此只有我可以执行管理员更改),并且我希望应用程序 EC2 实例可供 Internet 上的每个人使用(因为它是公共应用程序) . 我在 AWS 中配置了一些设置,如下所示,但我只是想确认以下假设是否正确,以及它们是否足以满足我上面概述的要求?

  • 我已将应用程序 EC2 实例放置在公共子网中 - 这足以确保 Internet 上的任何人都可以(安全/可靠地)使用该应用程序吗?
  • 我已将堡垒放置在不同的公共子网中,但它需要一个公钥/私钥对(只有我拥有)才能访问 - 这足以保证它的安全吗?
  • 根据我的 RDS 实例的可用区,它似乎在一个子网中,当我检查路由表时,目标 0.0.0.0/0 的目标设置为 iw-..... 这是否意味着它是一个公共子网,如果那么有没有办法在不丢失与应用程序和堡垒 EC2 实例的连接的情况下将其顺利移动到私有子网?我还将公共可访问性设置为否,这是否意味着即使它在公共子网中也无法公开访问?
0 投票
2 回答
938 浏览

amazon-web-services - 为什么私有子网中的 EMR 需要完整的出站 Internet 访问权限

以下链接上的 AWS 文档要求允许对位于私有子网中的集群的 EMR 主安全组进行完全出站 Internet 访问。

https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-man-sec-groups.html#emr-sg-elasticmapreduce-master-private

但是,完全出站访问会带来风险。这种完整的出站互联网访问背后的基本原理是什么?

0 投票
1 回答
775 浏览

amazon-web-services - AWS VPC 子网路由表最佳实践

在 AWS 中,我们有很多子网,比如公共子网和私有子网。

为了简化问题,我仅指私有子网。

我知道我们可以为所有 AZ 中的私有子网使用单个路由表,或者我们可以在所有 AZ 中为每个私有子网使用多个路由表(每个 AZ 一个)。

我的问题是,设计这个的最佳实践是什么?我应该为每个 AZ 中的子网创建不同的路由表,还是应该为所有 AZ 中的子网创建单个路由表?推荐的方法是什么,推荐的方法有什么优势?

请注意,我问这个的原因是,我已经看到这两种方法都在不同的环境中使用,并试图了解什么是好的方法。

0 投票
1 回答
1840 浏览

typescript - 如何使用 TypeScript 在 AWS CDK 中导入 VPC 中的现有私有子网?

我的 VPC 中有几个私有子网,我正在尝试使用 typescript 导入它们,如下所示:

我设法导入了 VPC。但是,未列出私有子网。

如何才能做到这一点 ?