AWS VPC Internet Gateway und AWS Services

Mache ich etwas falsch oder können die AWS VPC ec2-Instanzen keinen der von AWS verwalteten Dienste (s3 / sns / sqs) erreichen, ohne eine öffentliche Route zum Internet Gateway im Routetabelle zu haben?

Mir wurde hier mitgeteilt, dass die Standardroutentabelle von Aws vpc in CloudFormation standardmäßig keine öffentliche Route hat, sodass die VPC "geschützt" werden kann.

Aber wenn ich ohne eine öffentliche Route nicht auf AWS-Services zugreifen kann ... Das macht den Zweck zunichte, da ich praktisch allen Routentabellen eine öffentliche Route hinzufügen würde?

Mache ich etwas falsch oder können die AWS VPC ec2-Instanzen keinen der von AWS verwalteten Dienste (s3 / sns / sqs) erreichen, ohne eine öffentliche Route zum Internet Gateway im Routetabelle zu haben?

Das ist richtig. Wenn Sie diese Dienste verwenden müssen, benötigen Ihre Instanzen EIPs oder öffentliche IPs, oder Sie benötigen einen NAT-Host in Ihrer VPC. Eine VPC ist wirklich privat und funktioniert auf die gleiche Weise wie ein gut gepflegtes Unternehmensnetzwerk: Sie lässt nur Datenverkehr zu, den Sie ausdrücklich zulassen.

Es ist bemerkenswert: Managed Services wie RDS, ElastiCache, Redshift, etc., können in der Tat in Ihrer VPC laufen.

AWS hat VPC-Endpunkte für verschiedene Dienste hinzugefügt, darunter S3 (2015), EC2 (2017), SNS (2018) und SQS (2018), mit denen Sie diese Dienste ohne öffentlichen Internetzugang verwenden können.

• Neu - VPC-Endpunkt für Amazon S3 (AWS-Blog)
• Neu - AWS PrivateLink für AWS Services: Kinesis, Servicekatalog, EC2-Systemmanager, Amazon EC2-APIs und ELB-APIs in Ihrer VPC (AWS-Blog)
• Amazon Simple Notification Service (SNS) unterstützt jetzt AWS PrivateLink (Was ist neu in AWS? )
• Amazon SQS unterstützt jetzt Amazon VPC-Endpunkte mit AWS PrivateLink
• AWS VPC-Benutzerhandbuch: VPC-Endpunkte

VPC mit öffentlichen und privaten Subnetzen (NAT)

Die Konfiguration für dieses Szenario umfasst eine virtuelle private Cloud (VPC) mit einem öffentlichen Subnetz und einem privaten Subnetz. Wir empfehlen dieses Szenario, wenn Sie eine öffentlich zugängliche Webanwendung ausführen und gleichzeitig Back-End-Server verwalten möchten, auf die nicht öffentlich zugegriffen werden kann. Ein häufiges Beispiel ist eine mehrschichtige Website mit den Webservern in einem öffentlichen Subnetz und den Datenbankservern in einem privaten Subnetz. Sie können Sicherheit und Routing einrichten, damit die Webserver mit den Datenbankservern kommunizieren können.

Die Instanzen im öffentlichen Subnetz können eingehenden Datenverkehr direkt aus dem Internet empfangen, während die Instanzen im privaten Subnetz dies nicht können. Die Instanzen im öffentlichen Subnetz können ausgehenden Datenverkehr direkt ins Internet senden, während die Instanzen im privaten Subnetz dies nicht können. Stattdessen können die Instanzen im privaten Subnetz mithilfe eines NAT-Gateways (Network Address Translation), das sich im öffentlichen Subnetz befindet, auf das Internet zugreifen. Die Datenbankserver können über das NAT-Gateway eine Verbindung zum Internet für Softwareupdates herstellen, das Internet kann jedoch keine Verbindungen zu den Datenbankservern herstellen.

Hinweis

Sie können auch den VPC-Assistenten verwenden, um eine VPC mit einer NAT-Instanz zu konfigurieren. Wir empfehlen jedoch, ein NAT-Gateway zu verwenden. Weitere Informationen finden Sie unter NAT-Gateways.

Normalerweise kann die Lambda-Funktion nicht auf private Netzwerke innerhalb von VPCs zugreifen. Sie können jedoch eingerichtet werden und haben Zugriff auf das private Netzwerk. Festlegen der Lambda-Funktionen für den Zugriff auf eine private VPC

Mit der folgenden Methode können Sie Lambda dann als Proxy für alles verwenden, was sich im privaten Netzwerk befindet. Auf diese Weise müssen Sie keinen öffentlichen Zugriff auf Ihre Ressourcen gewähren. Sie generieren ein öffentliches API-Gateway, das über die Lambda-Proxys Zugriff auf die internen privaten Ressourcen bietet.

Festlegen von Lambda als API-Gateway-Proxy

Beachten Sie auch, dass Sie selbst bei einem öffentlichen Netzwerk mit einem öffentlichen Gateway den Datenverkehr in jeder Ihrer Ressourcen mithilfe von Sicherheitsgruppen und Netzwerk-ACLs begrenzen. Sie haben also am wenigsten ein Setup, das ziemlich kontrolliert ist.