我收到一位外部客户的询问,该客户将我们的 NAT 网关列入白名单,以便访问他们的系统和供应商系统。他们说,他们的一些供应商限制了他们可以列入白名单的 IP 数量。他们询问我们是否可以为每个区域提供单个 IP,而不是多个 IP。 现在,显然我可以只对整个 VPC 使用单个 NAT 网关,问题就解决了。然而,这会损害我们构建高可用性解决方案的承诺。因此,我不得不寻找一种解决方案,既允许使用单个出口 IP,又保持在多个可用区中运行 NAT 的冗余性。 我尝试研究解决方案,其中最突出的两项技术是 Gateway Load Balancer 和 Transit Gat...
只是想知道,有没有办法从 AWS 中所有传出的网络请求中删除标头? 我有一个包含公有子网和私有子网的 VPC,在公有子网中有一个 NAT 网关。此 VPC 中的 Lambda 正在使用标头对内部和外部服务进行网络调用,X-Amzn-Trace-Id我想知道是否有办法仅针对传出调用删除此标头,以便它们不会转到外部服务。也许在 NAT 网关附近? ...
自上周以来,NAT 网关的使用量猛增。由于 AWS 账单现在相当高,我的任务是找到根本原因。 我首先采取的行动是询问其他人。没有人知道任何部署可能会导致此问题。 然后,我启用了流日志并使用 CloudWatch Insights 对访问 NAT 网关的 IP 进行排序,按数据量排序。大约有 6 个 IP 都解析到 CloudFront。我尝试匹配nslookup我们traceroute拥有的每个发行版以及我们管理的其他账户,但我无法匹配任何 IP。尝试对 API 网关中的 API 执行相同操作。同样没有成功。 我还能做什么来找出影响 NAT 网关的原因?该问...
我的团队目前承受着 NAT 网关成本的负担,我们希望切换到 VPC 网关端点以降低与所有 EC2-S3 通信相关的成本。 同时, 我们希望保留 NAT 网关,用于除 S3 之外的任何其他通信。我的问题是 我们如何确保来自 EC2 的 S3 通信通过 VPC Endpoint 网关,但所有其他流量都使用 NAT 网关 换句话说 如果配置了 S3 端点和 NAT 网关,会发生什么情况?流量是从 NAT/Internet 网关还是 S3 端点流出? 我们如何才能使其具有选择性? ...
我有可通过 ALB 访问的 Elastic Beanstalk 实例公有子网并希望为他们分配一个 IP 地址(合作伙伴要求我们将一个 IP 列入白名单以访问他们的服务) 我已经关注https://medium.com/@obezuk/how-to-use-elastic-beanstalk-with-an-ip-whitelisted-api-69a6f8b5f844IE 创建新的子网、NAT 网关和路由表 将新 NAT 子网的所有流量路由到 NAT 路由表中的互联网网关 在主路由表中路由来自托管 EC2 实例的公共子网的所有流量 但没有流量到达我的 E...
我们正处于集成过程中,公司要求将静态 IP 地址列入白名单。AWS 建议的解决方案是创建使用新子网的新 ECS。是否可以更改现有集群中的子网?我们必须在新集群中重新部署所有内容吗?由于重新部署对我们来说是一个有风险的过程,因此我们需要一个更简单的解决方案。 ...
我正在运行一个部署在节点(在公共子网中)上的 EKS 集群,该集群有两个命名空间,每个命名空间中都有一个 pod 运行。我已在同一个子网上创建了两个 NAT 网关。我想将 pod A 的出站流量路由到 NAT 网关 A,将 pod b 的出站流量路由到 NAT 网关 B。我很清楚这种用例很特殊,NAT 网关不应该以这种方式使用,但我的情况需要这样的解决方案 我的方法是修改 pod 的 IP 路由表,添加指向相应 NAT 网关私有 IP 的默认网关。它看起来像 **For pod A** *ip route add default via <NAT1's...
问题 是否可以仅使用 NAT 从私有子网访问互联网,而无需与其 VPC 关联的互联网网关? 背景 具有公有子网和私有子网的 VPC (NAT)如下所述。仅凭这句话,就可以得出一个合理的结论:它只需要 NAT 即可访问 Internet,而无需在其 VPC 上附加 Internet 网关。 具有自己的弹性 IPv4 地址的 NAT 网关。私有子网中的实例可以通过 IPv4 上的 NAT 网关向 Internet 发送请求(例如,软件更新)。 我认为,任何从 VPC 到达互联网的流量都需要互联网网关,但文档并没有明确说明,因此令人困惑。 ...
这和这和这 与我的问题非常相关。虽然它似乎已经回答了很多人的问题,但我仍然很难理解这种设置是特定于 AWS 还是一般网络。如果是后者,那么我需要重新回顾我的基础知识。我已经怀疑了,因此才提出这个问题。 我的理解 如果专用网络连接到互联网,则其主机需要具有公共 IP,以便在互联网上唯一可识别。所有到互联网的流量(入站或出站)都通过此公共 IP 地址进行。此网络的主机连接到互联网时会获得公共 IP。从此主机发出到 www.google.com 的数据包将包含主机的专用地址,而该地址最终将被 NAT 设备(安装在路由器/默认网关上)替换为其公共 IP 地址...
我正在通过 Terraform 构建 AWS VPC 网络实验室。 我想添加一个 NAT 网关,以便我的私有网络实例可以访问互联网进行软件更新。 来自 Terraform规格您可以看到“allocation_id”是必需属性: assignment_id -(必需)网关的弹性 IP 地址的分配 ID。 也在 AWS 中进行了检查规格- 在步骤 1 中: NAT 网关需要公共子网中的弹性 IP 地址... 我的问题是:为什么 NAT 网关不能使用简单的non static IPv4 address? 这其中的逻辑原因是什么?(从技...
根据此回答,从功能上来说,路由器和网关是相同的设备。 在 AWS 世界中,我们互联网网关, NAT 网关和 路由器 这三者难道不一样吗? ...
我在 VPC 的私有子网内托管了一个 AWS RDS。在创建具有公有子网和私有子网的 VPC 时,我必须创建一个 NAT 实例。我知道 NAT 实例主要用于私有实例连接到互联网。 NAT 实例对于 RDS 是否也必不可少?RDS 的维护和更新是否也通过 NAT 实例?我只有私有子网中的 RDS,所有其他 EC2 实例都在公共子网中。如果 RDS 不使用 NAT 实例,我可以继续停止该实例,对吗? 任何帮助将不胜感激。 ...
我正在为一家初创公司建立基础设施,该基础设施几乎不会有太多流量,但在需要时应该能够扩展。 我们倾向于使用 LB 进行设置,将流量分发到专用私有子网(超过 3 个可用区域)中的前端节点,这些节点又向其自己的专用私有子网上的后端节点发出请求,后端节点又向通过 atlas 和 vpc 对等管理的 mongodb 发出请求。 每个节点都需要互联网接入才能进行配置。后端节点还会向第三方服务发出请求,因此运行时也需要互联网接入。 我看到三种选择: 为每个可用区域中的每个私有子网设置一个 nat 网关。根据位置,每个可用区域每个子网的费用约为 30 美元。如果有...
我有一个带有 ec2 实例的公共子网。路由表0.0.0.0/0默认有 IGW(Internet 网关)。 我测试了向我的实例添加一个公共 IP 地址(104.27.142.41/32如 curl 所报告的ifconfig.co),当我 ssh 到该 ec2 时,它会返回这个 IP 地址,这正是我所期望的。 1) 我的问题是,由于 NAT 仅用于出站流量,当它向其他站点发送请求或引用时,它们如何通信? 2) 如果我将 IGW(互联网网关)切换到公共子网的 NAT,它会将所有出站流量屏蔽到 NAT IP 地址并且仍然能够与其他站点通信吗? ...
我在 3 个可用区中拥有多个 EC2 实例。我在这些实例上运行的应用程序正在与具有白名单机制的多个第三方应用程序通信。我知道我能够通过使用 NAT 网关使用静态 IP 地址(弹性 IP)与这些第三方应用程序通信。如果我这样做,那么我需要为每个第三方应用程序指定一个特定的路由才能使其工作。我想要实现的是静态传出 IP,而无需定义所有这些路由。因此基本上默认情况下通过 NAT 网关路由所有流量。我尝试了以下操作,但我无法再访问我的应用程序。(顺便说一下,所有这些 EC2 实例都位于应用程序 LoadBalancer 后面) 子网路由表: 10.0.0.0/1...