首先,这只是我正在玩的一个测试场景,我知道不允许传递对等,但我仍然想知道在这种情况下有哪些技术解决方法可以强制传递对等。 主要问题: 我们有三个 VPC 具有 VPC Peering,例如 VPC A (10.10.0.0/16) <--> VPC B (10.20.0.0/16) <--> VPC C (10.30.0.0/16)。VPC A 中的客户端需要访问 VPC C 中的服务器,并且下面提到了一些更具体的要求。 主要要求: 如上所述,VPC 需要对等连接。 不得使用 Transit Gateway。 互联网流量仅需通过带有...
在新建的 AWS VPC(使用 Terraform 部署以尽量减少拼写错误)中,我有一个“DMZ”子网和一个内部子网。防火墙设备将两者连接起来,每个子网都有一个接口。两个接口都有 IPv4 和 IPv6 地址。IPv6 地址一个是本地链路地址,一个是全局地址。防火墙可以通过 IPv4 和 IPv6 访问 HTTPS URL,流量从 DMZ 接口路由出去。在内部区域中构建的测试服务器在内部子网中有一个接口,并且具有适当的 IPv4 和 IPv6 地址(一个是本地链路地址,一个是全局地址)。对于 IPv4 和 IPv6 路由表,服务器上的默认路由是防火墙内部接口...
我收到一位外部客户的询问,该客户将我们的 NAT 网关列入白名单,以便访问他们的系统和供应商系统。他们说,他们的一些供应商限制了他们可以列入白名单的 IP 数量。他们询问我们是否可以为每个区域提供单个 IP,而不是多个 IP。 现在,显然我可以只对整个 VPC 使用单个 NAT 网关,问题就解决了。然而,这会损害我们构建高可用性解决方案的承诺。因此,我不得不寻找一种解决方案,既允许使用单个出口 IP,又保持在多个可用区中运行 NAT 的冗余性。 我尝试研究解决方案,其中最突出的两项技术是 Gateway Load Balancer 和 Transit Gat...
我创建了一个安全组,然后想创建一个 VPC 并指定此 VPC 以使用此现有安全组。我在 AWS 的当前 VPC 表单中找不到指定安全组的选项。是否可以在 VPC 的创建表单中指定安全组,还是必须使用 Terraform/cloud formed? 如果这很重要,则区域是 eu-west-2。 动机:如果无法指定要使用的安全组,AWS 会自动创建一个默认安全组。这些“默认”安全组似乎不可删除,由于我缺乏经验,并且正在学习/试验,我现在有 5 个默认、未使用且看似不可删除的安全组。我担心这些会不断增加,导致我和客户团队越来越难以使用安全组列表。AWS 建议您将安...
我已经在我们的测试帐户中配置了 AWS 防火墙,基本遵循 AWS 记录的标准设置程序。从我们的私有子网,前往互联网的出站流量被导向防火墙子网,在那里我们有另一个路由表将流量引导通过防火墙并传出到 NAT 网关。NAT 网关存在于公共子网中,并且在该子网中有一个路由允许通过互联网网关将出站流量传出到互联网。在防火墙内,所有数据包的无状态默认规则是将它们引导到有状态规则组。没有其他无状态规则组。至于有状态规则组,有一个域列表规则组据称允许流量到“.google.com”。默认规则设置为丢弃已建立的连接。 这是我面临的问题,每当我启用“drop establish...
我目前有 2 个 VPC,每个 VPC1 和 VPC2 都有一个 InternetGateway。 我需要 VPC2 使用 VPC1 的公网 IP。 我宁愿尽可能少地修改 VPC1。 这两个 VPC 之间有大量流量。 我知道我可以在这两个 VPC 之间设置一个 TransitGateway,并让 VPC2 使用 VPC1 的 IGW。 是否可以让“非互联网”流量仍通过 VPC 对等连接以降低成本? 我不确定从 VPC1 到 VPC2 的返回路由对于对等连接和 TransitGateway 是否需要相同。 有什么方法可以实现这一点吗?还有其他选择吗? 非常...
我们有一个通过 alb dns CNAME 记录在 cloudflare 中注册的域名,并作为生产服务器托管在 windows 服务器中。 另一方面,我们在 Windows 服务器前面还有一个 Ubuntu 服务器。 我的问题是我们可以在检查域时屏蔽生产服务器 ip 或 alb dns ip 地址nslookup domainname吗? 当用户检查域名时,可以显示 ubuntu 服务器 ip 地址,DNSChecker or nslookup cmd而不是显示生产服务器 ip 地址或 alb dns ip 地址。有没有可能更改域名的 ip 地址,即使它...
这个问题最初发布到 stack overflow,他们建议我在这里重新发布(https://stackoverflow.com/questions/76715004/aws-nat-instance-setup)。 我目前正在学习 AWS 云,并决定构建以下架构作为挑战: 具有公有子网和私有子网的 VPC。公有子网可通过互联网网关访问互联网。 公共子网中的 NAT EC2 实例,应充当 NAT 网关,以允许私有子网中的实例访问互联网。 私有子网中的一个实例,用于测试互联网连接。 我有以下文档作为参考:https://docs.aws.amazon.c...
我在 VPC 和本地站点之间建立了动态 BGP VPN(本地站点使用 vyOS 路由器/VPN 集中器)。VPC 和本地子网中的服务器可以通过 VPN 直接通信。本地站点可以通过 IPSec VPN 访问一些远程目标,我需要 VPC 服务器能够访问这些远程目标。 我如何才能让这些远程目标直接供 VPC 中的服务器使用?我尝试在 VPC 中创建使用 AWS 虚拟专用网关的自定义路由,但我没有看到到达这些自定义目标的请求到达本地路由器上的 VTI 接口。其他流量(VPC 到本地子网)到达正常。请问我做错了什么? ...
我创建了一个新的 VPC ca-central。我遵循与其他地方相同的程序: 新的 VPC(这创建了完全开放的 acl) 三个子网,每个可用区一个,CIDR 适当分布 路由表上的所有子网 该路由表将 0.0.0.0/0 路由到互联网网关 实例使用 secGroup,该组开放 22 端口入站,所有流量出站 一切都正确连接到 vpc 我无法通过 ssh、spot 或 on-demand 连接到在那里创建的任何 T3 实例。我甚至尝试使用工厂 AIM for ubuntu 而不是我们的 AIM,结果还是一样。任何尝试都只是超时。为了进行测试,我允许 secGr...
我能够使用私有 IP 在我的 EC2 上 ping 并访问 SSH。 但是我想使用公共 IP(弹性 IP)访问 SSH。可以吗? 注意:我的 VPN 升级和 EC2 位于 1 VPC 以下 我已将公共 IP 添加到 VPN 授权和安全组 ...
免责声明:我的 AWS 网络技能只是基础技能。 我在私有子网中有一个 EC2 Windows 服务器实例。我通过 VPN 连接。为了进行测试,我将其放入允许所有 IPV4 TCP 流量的安全组中。我关闭了 Windows Defender 防火墙。我可以上网,因此我可以使用端口 80/443 出站。现在我想通过端口 25 连接到 email-smtp.us-east-1.amazonaws.com。 在 Powershell 中超时: test-netconnection email-smtp.us-east-1.amazonaws.com -port 25...
我正在用 AWS 客户端 VPN 替换在 EC2 实例上运行的 wiregaurd vpn,以便我可以将 MFA 与 Google 结合使用。我已经完成了大部分工作,但我还在设置 VPN 以使用我的 DNS 服务器。 关于我的配置: 将我的 VPC 的 CIDR 块设置为 173.0.0.0/16,因此我的 DNS 服务器应该位于 173.0.0.2。 aws 控制台将 VPN 的 DNS 服务器条目设置为 173.0.0.2 客户端与公共子网关联,以允许互联网流量流出(我可以 ping 谷歌的 IP,它会返回数据) 我已经设置了身份验证规则以允许 0.0...
我的团队目前承受着 NAT 网关成本的负担,我们希望切换到 VPC 网关端点以降低与所有 EC2-S3 通信相关的成本。 同时, 我们希望保留 NAT 网关,用于除 S3 之外的任何其他通信。我的问题是 我们如何确保来自 EC2 的 S3 通信通过 VPC Endpoint 网关,但所有其他流量都使用 NAT 网关 换句话说 如果配置了 S3 端点和 NAT 网关,会发生什么情况?流量是从 NAT/Internet 网关还是 S3 端点流出? 我们如何才能使其具有选择性? ...
我有一个 AWS EC2 实例网络。其中大多数实例使用默认 VPC 的 DNS 解析器来防止数据泄露并解析内部域(使用自定义 TLD)。一切正常。 但是,有一个(Ubuntu)实例需要使用通用的公共解析器才能访问整个互联网(例如 8.8.8.8) 我设法通过将 /etc/systemd/resolved.conf 替换为 [Resolve] DNS=8.8.8.8 208.67.222 并添加 /etc/systemd/resolved.conf.d/MYTLD.conf [Resolve] Domains=MYTLD DNS=10.6.0.2 重新启动...