АРМ ВКК - интернет-шлюз и Нат [закрыт]


Что такое интернет-шлюз? Что такое экземпляр NAT? Какие услуги они предлагают?

читая документацию AWS VPC, я понимаю, что они оба сопоставляют частные IP-адреса с адресами интернет-маршрута для исходящих запросов и маршрутизируют входящие ответы из интернета к запросчику в подсети.

Так в чем же разница между ними? В каких сценариях я использую экземпляр NAT вместо (или помимо) интернет-шлюза? Являются ли они по существу EC2 экземпляры, работающие с некоторыми сетевыми приложениями, или это специальное оборудование, такое как маршрутизатор?

вместо того, чтобы просто указывать ссылки на документацию AWS, не могли бы вы объяснить их с добавлением некоторого фона о том, что такое публичные и частные подсети, чтобы любой новичок с ограниченными знаниями о сети мог легко понять их? Также, когда я должен использовать шлюз NAT вместо экземпляра NAT?

P. S. Я новичок в AWS VPC, если я может быть, что сравнивать яблоки с апельсинами здесь.

3 105

3 ответа:

Интернет-Шлюз

интернет-шлюз-это логическое соединение между Amazon VPC и интернетом. Это не физическое устройство. Только один может быть связан с каждым СИЗ. Это делает не ограничить пропускную способность подключения к интернету. (Единственным ограничением пропускной способности является размер экземпляра Amazon EC2, и он применяется ко всему трафику-внутреннему для VPC и выходящему в интернет.)

Если a VPC не есть интернет-шлюз, то ресурсы в VPC невозможно получить доступ из интернета (если трафик не проходит через корпоративную сеть и VPN / Direct Connect).

подсеть считается Публичная Подсеть Если у него есть таблица маршрутов, которая направляет трафик на интернет-шлюз.

экземпляр NAT

экземпляр NAT-это экземпляр Amazon EC2, настроенный для пересылки трафика на сервер Интернет. Он может быть запущен из существующего AMI или может быть настроен с помощью пользовательских данных следующим образом:

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE
/sbin/iptables-save > /etc/sysconfig/iptables
mkdir -p /etc/sysctl.d/
cat <<EOF > /etc/sysctl.d/nat.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0
EOF

экземпляры в частной подсети, которые хотят получить доступ к Интернету, могут перенаправлять свой интернет-трафик на экземпляр NAT через конфигурацию таблицы маршрутов. Затем экземпляр NAT сделает запрос в Интернет (поскольку он находится в общедоступной подсети), и ответ будет отправлен обратно в частный экземпляр.

трафик, отправленный в экземпляр NAT, будет обычно отправляется на IP-адрес, который не связан с самим экземпляром NAT (он будет предназначен для сервера в Интернете). Поэтому, важно, чтобы выключить Источника/Назначения опция на экземпляре NAT в противном случае трафик будет заблокирован.

шлюз NAT

AWS представила a Nat Gateway Service это может занять место экземпляра NAT. Преимущества использования службы шлюза NAT являются:

  • это полностью управляемый сервис - просто создайте его, и он работает автоматически, включая отказ
  • он может разрываться до 10 Гбит / с (экземпляр NAT ограничен пропускной способностью, связанной с типом экземпляра EC2)

однако:

  • Группы Безопасности не может быть связанным со шлюзом NAT
  • вам понадобится один в каждом AZ, так как они работают только в одном AZ

Что касается шлюза NAT против экземпляра NAT, либо будет работать. Экземпляр NAT может быть немного дешевле, но шлюз NAT полностью управляется AWS, поэтому ему не нужно поддерживать экземпляр EC2 только для NATing.

однако для экземпляров, которые должны быть доступны в Интернете, шлюз/экземпляры NAT-это не то, что вы ищете. NAT позволит частным экземплярам (без публичного IP) получить доступ к Интернету, но не наоборот. Так, для экземпляров EC2, которые должны быть доступны в Интернете, необходимо назначить общедоступный IP. Существует обходной путь, если вам действительно нужно сохранить экземпляры EC2 частными - вы можете использовать эластичный балансировщик нагрузки для прокси-запросов.

Интернет-Шлюзов

интернет-шлюз-это то, как ваш VPC подключается к интернету. Вы используете интернет-шлюз с таблицей маршрутов, чтобы сообщить VPC, как интернет-трафик попадает в интернет.

Шлюз Интернета появляется в VPC как просто имя. Amazon управляет шлюзом, и вам нечего сказать (кроме того, чтобы использовать его или нет; помните, что вам может понадобиться полностью сегментированная подсеть, которая вообще не может получить доступ к интернету).

общедоступная подсеть означает подсеть, в которой интернет-трафик маршрутизируется через интернет-шлюз AWS. Любой экземпляр в публичной подсети может иметь назначенный ему публичный IP (например, экземпляр EC2 с " ассоциированным публичным ip-адресом" включенный.)

частная подсеть означает, что экземпляры не являются общедоступными из интернета. У них нет публичного IP-адреса. Например, вы не можете получить к ним доступ напрямую через SSH. Экземпляры в частных подсетях могут по-прежнему получать доступ к интернету самостоятельно (т. е. с помощью шлюза NAT).

интернет-шлюз используется для подключения vpc к интернету, а шлюз NAT используется для подключения частной подсети к интернету(что означает, что когда-либо трафик поступает в экземпляр частной подсети, который будет перенаправляться на шлюз NAT). вам нужно перенаправить трафик в таблице маршрутов на NAT

маршрута в таблице 0.0.0.0/0