亚马逊上有一个 vpc,它有两个子网。外部子网可以访问互联网,内部子网使用 NAT 服务器连接到互联网。内部子网有很多用于开发和测试的服务器。现在我需要使用单独的 NAT 服务器进行开发和测试。
有可能吗?如果可以,那怎么办?
答案1
当然可以!您甚至不必创建新的 DHCP 选项集。
EC2 中的 NAT 实例与任何其他实例完全相同。它只是恰好执行 NAT。
在您的特定情况下,您还需要确保与每个子网关联的路由表具有通过该 NAT 实例的 RFC1918 IP 地址到“内部”网络的静态路由。它还需要自己的 EIP,因为 VPC 之间的通信就像通过互联网通信一样。
不过,听起来你可能正在尝试在同一 VPC 中的不同子网之间进行 NAT。不要这样做;这通常不是一个好主意,而且会浪费金钱。
如果您在 VPC 内部但在子网之间执行操作,管理安全隔离的正确方法是使用具有入口和出口规则的安全组来应用安全约束。并不是说 NAT 为您提供了安全性,但许多人滥用它。您不需要使用 NAT,因为您的 VPC 的 RFC1918 地址空间在您的 VPC 内是可路由的。每个子网的默认网关都知道将 VPC 内的 RFC1918 IP 地址路由到正确的子网。
答案2
您可以使用另一个 NAT 服务器进行类似的设置。
假设您将把新的 NAT 放在与原始 NAT 相同的子网中,您可以设置一个与原始(内部)子网完全相同的新子网 - 只需确保在设置路由表和安全组时使用新的 NAT。