AWS VPC-Internet Gateway vs. NAT [zamknięty]
Co to jest bramka internetowa? Co to jest instancja NAT? Jakie usługi oferują?
Czytając dokumentację AWS VPC, zbieram, że zarówno mapują prywatne adresy IP do adresów internetowych z możliwością routingu dla wychodzących żądań, jak i przekierowują przychodzące odpowiedzi z internetu do żądającego w podsieci.
Więc jakie są różnice między nimi? W jakich scenariuszach używam instancji NAT zamiast (lub poza) bramy internetowej? Czy są one zasadniczo instancjami EC2 uruchamianie niektórych aplikacji sieciowych lub czy są one specjalnym sprzętem, takim jak router?
Zamiast po prostu wskazywać na linki do dokumentacji AWS, możesz je wyjaśnić dodając trochę tła na temat tego, co to są publiczne i prywatne podsieci, aby każdy początkujący z ograniczoną wiedzą na temat sieci mógł je łatwo zrozumieć? Również kiedy powinienem używać bramy NAT zamiast instancji NAT?
P. S. jestem nowy w AWS VPC, więc może porównuję tutaj jabłka do pomarańczy.
3 answers
Brama Internetowa
Bramka internetowa jest logicznym połączeniem pomiędzy Amazon VPC a Internetem . Jest toNie urządzenie fizyczne. Tylko jeden może być powiązany z każdym VPC. Nie ogranicza przepustowości łącza internetowego. (Jedynym ograniczeniem przepustowości jest rozmiar instancji Amazon EC2 i odnosi się do całego ruchu-wewnętrznego do VPC i zewnętrznego do Internetu.)
Jeśli VPC nie ma Internetu Do zasobów VPC nie można uzyskać dostępu z Internetu (chyba że ruch przepływa przez sieć korporacyjną i VPN / Direct Connect).
Podsieć jest uważana za podsieć publiczną , Jeśli posiada tabelę tras, która kieruje ruch do bramy internetowej.
Instancja NAT
Instancja NAT jest instancją Amazon EC2 skonfigurowaną do przesyłania ruchu do Internetu. Można go uruchomić z istniejącego AMI lub skonfigurować za pomocą użytkownika Dane takie jak:
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE
/sbin/iptables-save > /etc/sysconfig/iptables
mkdir -p /etc/sysctl.d/
cat <<EOF > /etc/sysctl.d/nat.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0
EOF
Instancje w prywatnej podsieci, które chcą uzyskać dostęp do Internetu, mogą zostać przekierowane do instancji NAT poprzez konfigurację tabeli tras. Instancja NAT następnie wyśle żądanie do Internetu (ponieważ znajduje się w publicznej podsieci), a odpowiedź zostanie przekazana z powrotem do prywatnej instancji.
Ruch wysyłany do instancji NAT będzie zazwyczaj wysyłany na adres IP, który nie jest powiązany z samą instancją NAT (będzie być przeznaczone na serwer w Internecie). Dlatego ważne jest, aby wyłączyć opcję Source/Destination Check Na instancji NAT, w przeciwnym razie ruch zostanie zablokowany.
Nat Gateway
AWS wprowadził usługę bramy NAT , która może zastąpić instancję NAT. Zalety korzystania z usługi bramy NAT to:
- jest to w pełni zarządzana usługa - wystarczy ją utworzyć i działa automatycznie, w tym fail-over W przypadku wystąpienia NAT nie jest możliwe przesyłanie danych do serwera NAT, a jedynie przesyłanie danych do serwera NAT.]}
Jednakże:
- grupy zabezpieczeń nie mogą być powiązane z bramką NAT Potrzebujesz jednego w każdym AZ, ponieważ działają tylko w jednym AZ]}
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2016-08-01 04:36:27
Jeśli chodzi o nat gateway vs. instancja NAT, albo zadziała. Instancja NAT może być nieco tańsza, ale brama NAT jest w pełni zarządzana przez AWS, więc ma tę zaletę, że nie musi utrzymywać instancji EC2 tylko do Nat.
Jednakże, dla instancji, które muszą być dostępne w Internecie, nat gateway / instancje nie są tym, czego szukasz. NAT pozwoli instancjom prywatnym (bez publicznego adresu IP) na dostęp do Internetu, ale nie na odwrót. Więc dla Instancje EC2, które muszą być dostępne w Internecie, musisz przypisać publiczny adres IP. Istnieje obejście, jeśli naprawdę chcesz zachować prywatność instancji EC2 - możesz użyć elastycznego load balancer do zastępowania żądań.
Bramy Internetowe
Brama internetowa to sposób, w jaki VPC łączy się z Internetem. Używasz bramki internetowej z tabelą tras, aby poinformować VPC, w jaki sposób ruch internetowy dociera do Internetu.
Brama internetowa pojawia się w VPC jako tylko nazwisko. Amazon zarządza bramą i nie masz nic do powiedzenia (poza używaniem jej lub nie; pamiętaj, że możesz chcieć całkowicie segmentowanej podsieci, która w ogóle nie może uzyskać dostępu do Internetu).
Podsieć publiczna oznacza podsieć, w której ruch internetowy jest kierowany przez bramę internetową AWS. Każda instancja w publicznej podsieci może mieć przypisany publiczny adres IP (np. instancja EC2 z włączonym "associate public IP address").
Prywatna podsieć oznacza instancje nie są publicznie dostępne w Internecie. Nie mają publicznego adresu IP. Na przykład nie można uzyskać do nich dostępu bezpośrednio przez SSH. Instancje w prywatnych podsieciach mogą jednak nadal mieć dostęp do Internetu samodzielnie (np. za pomocą bramy NAT).
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2016-08-01 02:05:36
Bramka internetowa jest używana do łączenia vpc z Internetem, a bramka NAT jest używana do łączenia prywatnej podsieci z Internetem(co oznacza, że ruch przychodzi do prywatnej instancji podsieci, która będzie przesyłana do bramy NAT). musisz przekierować ruch w tabeli tras do NAT
Tabela tras 0.0.0.0/0
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-07-12 02:27:36