目前,由于在使用 amazon ec2 的安全组允许端口访问时无法指定来自其他区域的安全组,因此我们不得不将每个单独的 IP 插入到它需要访问的安全组中。我可以看到这个过程变得难以跟踪(它已经如此)。
我的想法是做一些类似于在 Amazon VPC 之间可以做的事情(我们现在无法切换到 VPC,因为目前的迁移工作量有点大),因此每个区域都有一台服务器充当网关,所有来自跨区域服务器的请求都进入该网关。然后,此网关会将请求重定向到正确的端点。这样,安全组只需要一个跨区域服务器的 IP,而不是每个服务器 1 个。
这是一种有效的技术吗?还有其他更好的方法吗?
答案1
我们最近刚刚在(主要的)VPC 环境中解决了同样的问题。我们在 us-east-1、us-west-1 和 us-west-2 中运行 VPC 实例。以下是来自 Amazon 的文档:
http://aws.amazon.com/articles/0639686206802544
使用上述 VPN 解决方案,源地址仍为 VPC(私有 IP)或 EC2(公有 IP)的地址。没有 NAT。因此,您根本无法从 VPN 中获得任何好处。
我认为,鉴于您没有 VPC,您目前不应该尝试这种方法。相反,请为所有新实例切换到 VPC,然后设置 VPN 并继续使用它们。