Acesso à Internet de sub-rede pública VPC com o ELB conectado

Question

Acesso à Internet de sub-rede pública VPC com o ELB conectado

#1 resposta do (7 votos)

2

Estou tentando configurar um servidor da Web (nginx) que precisa de acesso à Internet, além de estar conectado a um ELB, mas estou tendo problemas para fazer com que essa solução funcione.

Detalhes:

3 sub-redes públicas
- a
- b
- c
3 sub-redes privadas
- a
- b
- c
1 ELB
- Isso inclui as três sub-redes públicas incluídas no pool padrão
1 instância do NAT na sub-rede pública

Os vários guias que considero úteis para colocar as sub-redes públicas conectadas ao ELB, apontando as sub-redes para o IGW. Essas configurações não levam em consideração a necessidade de acesso à Internet.

Quando eu altero a tabela de rotas para o único NIC do IGW para o nat, recebo acesso à Internet, mas perco a capacidade de conexão ao ELB e vice-versa, quando atualizo a tabela de rotas para usar o IGW que perco a capacidade de se conectar à internet.

Eu posso alocar um EIP e acessá-lo dessa maneira, mas esperava evitar expor esse servidor à Internet por meio de um endereço público, se possível.

O que eu estou pensando é que eu posso 1) adicionar um segundo NIC aos servidores da Web que precisam de acesso à Internet para que eles tenham uma perna por meio de uma instância NAT e também tenham uma perna na sub-rede pública para se conectar à carga balancer ou 2) Eu posso usar a instância nat como o gateway para a minha rede.

Alguém definiu algo semelhante a isso?

amazon-web-services amazon-elb amazon-vpc

por jmreicha 09.01.2015 / 03:57

1 resposta

Tags amazon-web-services amazon-elb amazon-vpc

Você pode me ajudar com meu planejamento de capacidade? O método de postfix + sasl rimap retira o nome de domínio do usuário

score 7 · Accepted Answer

Você está perdendo um ponto aqui.

É uma máquina que tem um IP público, que vai em uma sub-rede pública e usa o IGW como sua rota padrão.

Se ele não tiver um IP público, ele entrará em uma sub-rede privada e usará uma instância do NAT como sua rota padrão.

É isso. Fim da história.

Se você tem servidores web sem endereços públicos, por trás de um ELB ... então o próprio ELB entra na sub-rede pública , mas as instâncias vão na sub-rede privada .

As sub-redes nas quais um ELB é provisionado não têm nada a ver com as sub-redes nas quais as instâncias que estão sendo balanceadas são provisionadas.

É contra-intuitivo, mas é verdade mesmo assim.

O VPC não é uma LAN, portanto, o tráfego entre sub-redes não "passa por um roteador" no mesmo sentido que faria em uma LAN, portanto, não há ineficiência com essa abordagem.