我有一个通过 VPC 向导创建的 VPC“带有公有子网和私有子网的 VPC”,它应该包括私有子网 VPC 的 NAT,但它不起作用。它们无法浏览互联网、解析互联网名称和 ping 互联网 IP。
这是标准配置,我对此非常确定,所以我不确定为什么它不起作用。也许我应该做一些我不知道的额外事情?
谢谢你,
泽维尔。
答案1
使用默认 vpc,amazon dhcp 为实例提供一个私有 IP,该 IP 无法从 aws 互联网网关(此设备通过控制台看起来像 IGW-xxxxxxx)路由出去。因此,除非 aws 实例通过 ipsec 隧道网关(看起来像 VGW-xxxxxx)路由到互联网,否则有两种方法可以允许连接到互联网。
1)为 vpc 实例提供公共弹性 IP,确保到亚马逊互联网网关的默认路由,然后为您的私有局域网添加到 ipsec 终止网关的路由
2)使用 iptables 伪装设置第二个实例,然后设置到该设备的默认路由,同时保持到 ipsec 终止点的私有 LAN 路由(返回到您的办公室)
对于 #1,如果实例有公共 eip,那么可能如果您对安全组不谨慎,则无法从互联网连接。
对于 #2,所有流量都受到伪装实例的限制,因此这是一个故障点。(通过使用亚马逊互联网网关,我确信他们使用 VRRP/HSRP/CARP/ETC,因此它是 HA)。此外,虽然我个人没有遇到过这种情况,但伪装盒的私有 IP可以改变,因此您需要更新 dhcp 租约信息,然后强制/等待续订实例租约。