我正在为以下场景设计网络流-
- VPC 1 - 在私有子网中托管服务器和应用程序
- VPC 2 - 在私有子网中托管服务器和应用程序
- 管理 VPC(#3)- 在公共子网中托管 VPN 连接
- 管理 VPC 与 VPC1 和 VPC2 均具有对等连接
我现在在笔记本电脑上连接到客户端 VPN,这是我进入管理 VPC 的路由。由于 VPC1 和 VPC2 已与管理 VPC 对等,我可以从笔记本电脑访问这些 VPC 中的服务吗?
答案1
AWS 网络
AWS 网络不是可传递的。通常,如果不进行明确规定,您无法在网络之间跳转。您必须在所连接的 VPC 中有一个目标,并且您可以从该目标连接到任何对等网络。
如果您的管理 VPC 与 VPC1 和 VPC2 对等,则您无法使用客户端 VPN 直接从笔记本电脑访问 VPC 1/2。要获得访问权限,您需要将堡垒服务器或类似服务(AWS Appstream、AWS 工作区等)放入管理 VPC。
建议 - 多账户架构
这种设置通常使用多账户架构来完成,以提供额外的隔离。
您可以将 AWS Control Tower 设置为最佳实践环境以帮助您入门,然后在专用网络账户或管理账户中设置 AWS Transit Gateway,以便在账户/VPC 之间进行通信。客户端 VPN 可以设置在与 Transit Gateway 相同的账户中,如果配置正确,可以提供对所有账户/VPC 的访问权限,但这会带来更大的安全风险 - 堡垒有助于隔离。
如果您不需要公共互联网入口,您可以通过在帐户中放置 NAT 网关来获得额外的控制权,或者通过放置 squid 代理来限制您的服务器可以连接的站点 - 例如操作系统更新站点。
这可能比您当前的设置花费更多。这更像是一种企业战略,其中安全性和合规性比总成本更重要。