尝试关注https://aws.amazon.com/premiumsupport/knowledge-center/nat-gateway-vpc-private-subnet/,我有以下组件:
- NAT 网关
nat-aaa subnet-aaa配置为主机的子网nat-aaa- 配置了路由的路由表
rtb-bbb:0.0.0.0/0->nat-aaa
- 配置子网
subnet-bbb以使用路由表rtb-bbb - EC2
id-ccc实例subnet-bbb
id-ccc有公共 IP,但是当我应用时subnet-bbb,我无法通过公共 IP 直接建立任何连接。是否需要额外的路由来rtb-bbb实现这一点?我的理解是,路由表更像是出站配置,而不是负责入站连接?
所有子网都使用相同的网络 ACL,这是允许所有入站的 VPC 默认设置。
答案1
您说得对,路由表只影响传出的数据包,而不影响传入的数据包。
具有公共 IP 的主机无法使用 NAT 网关。在这种情况下,您将获得非对称路由。来自客户端的数据包直接到达服务器,然后返回数据包穿过 NAT 实例并将其 IP 更改为 NAT 实例并返回到客户端。客户端无法理解该返回数据包,因为它与请求的连接无关。