AWS VPC Internet Gateway und AWS Services

7

Mache ich etwas falsch oder können die AWS VPC ec2-Instanzen keinen der von AWS verwalteten Dienste (s3 / sns / sqs) erreichen, ohne eine öffentliche Route zum Internet Gateway im Routetabelle zu haben?

Mir wurde hier mitgeteilt, dass die Standardroutentabelle von Aws vpc in CloudFormation standardmäßig keine öffentliche Route hat, sodass die VPC "geschützt" werden kann.

Aber wenn ich ohne eine öffentliche Route nicht auf AWS-Services zugreifen kann ... Das macht den Zweck zunichte, da ich praktisch allen Routentabellen eine öffentliche Route hinzufügen würde?

Sleeper Smith
quelle

Antworten:

9

Mache ich etwas falsch oder können die AWS VPC ec2-Instanzen keinen der von AWS verwalteten Dienste (s3 / sns / sqs) erreichen, ohne eine öffentliche Route zum Internet Gateway im Routetabelle zu haben?

Das ist richtig. Wenn Sie diese Dienste verwenden müssen, benötigen Ihre Instanzen EIPs oder öffentliche IPs, oder Sie benötigen einen NAT-Host in Ihrer VPC. Eine VPC ist wirklich privat und funktioniert auf die gleiche Weise wie ein gut gepflegtes Unternehmensnetzwerk: Sie lässt nur Datenverkehr zu, den Sie ausdrücklich zulassen.

Es ist bemerkenswert: Managed Services wie RDS, ElastiCache, Redshift, etc., können in der Tat in Ihrer VPC laufen.

EEAA
quelle
Diese Antwort war richtig, als sie geschrieben wurde, aber nicht mehr. Auf S3, SNS und SQS kann jetzt von VPCs ohne öffentliche IPs oder NAT über VPC-Endpunkte zugegriffen werden .
Markusk
7

AWS hat VPC-Endpunkte für verschiedene Dienste hinzugefügt, darunter S3 (2015), EC2 (2017), SNS (2018) und SQS (2018), mit denen Sie diese Dienste ohne öffentlichen Internetzugang verwenden können.

Markusk
quelle
gutes Update. Ich kann es kaum erwarten, bis alle Service-Endpunkte verfügbar sind> :)
Sleeper Smith
1

VPC mit öffentlichen und privaten Subnetzen (NAT)

Die Konfiguration für dieses Szenario umfasst eine virtuelle private Cloud (VPC) mit einem öffentlichen Subnetz und einem privaten Subnetz. Wir empfehlen dieses Szenario, wenn Sie eine öffentlich zugängliche Webanwendung ausführen und gleichzeitig Back-End-Server verwalten möchten, auf die nicht öffentlich zugegriffen werden kann. Ein häufiges Beispiel ist eine mehrschichtige Website mit den Webservern in einem öffentlichen Subnetz und den Datenbankservern in einem privaten Subnetz. Sie können Sicherheit und Routing einrichten, damit die Webserver mit den Datenbankservern kommunizieren können.

Die Instanzen im öffentlichen Subnetz können eingehenden Datenverkehr direkt aus dem Internet empfangen, während die Instanzen im privaten Subnetz dies nicht können. Die Instanzen im öffentlichen Subnetz können ausgehenden Datenverkehr direkt ins Internet senden, während die Instanzen im privaten Subnetz dies nicht können. Stattdessen können die Instanzen im privaten Subnetz mithilfe eines NAT-Gateways (Network Address Translation), das sich im öffentlichen Subnetz befindet, auf das Internet zugreifen. Die Datenbankserver können über das NAT-Gateway eine Verbindung zum Internet für Softwareupdates herstellen, das Internet kann jedoch keine Verbindungen zu den Datenbankservern herstellen.

Hinweis

Sie können auch den VPC-Assistenten verwenden, um eine VPC mit einer NAT-Instanz zu konfigurieren. Wir empfehlen jedoch, ein NAT-Gateway zu verwenden. Weitere Informationen finden Sie unter NAT-Gateways.

Siddharth Sharma
quelle
0

Normalerweise kann die Lambda-Funktion nicht auf private Netzwerke innerhalb von VPCs zugreifen. Sie können jedoch eingerichtet werden und haben Zugriff auf das private Netzwerk. Festlegen der Lambda-Funktionen für den Zugriff auf eine private VPC

Mit der folgenden Methode können Sie Lambda dann als Proxy für alles verwenden, was sich im privaten Netzwerk befindet. Auf diese Weise müssen Sie keinen öffentlichen Zugriff auf Ihre Ressourcen gewähren. Sie generieren ein öffentliches API-Gateway, das über die Lambda-Proxys Zugriff auf die internen privaten Ressourcen bietet.

Festlegen von Lambda als API-Gateway-Proxy

Beachten Sie auch, dass Sie selbst bei einem öffentlichen Netzwerk mit einem öffentlichen Gateway den Datenverkehr in jeder Ihrer Ressourcen mithilfe von Sicherheitsgruppen und Netzwerk-ACLs begrenzen. Sie haben also am wenigsten ein Setup, das ziemlich kontrolliert ist.

YairCarel
quelle
Bitte posten Sie keine Nur-Link-Antworten, um Link-Rot zu verhindern. Fügen Sie stattdessen die relevantesten Informationen aus dem Link zu Ihrer Antwort hinzu oder veröffentlichen Sie den Link alternativ als Kommentar anstelle einer Antwort. Weitere Informationen finden Sie in diesem Hilfeartikel.
Sven