Mache ich etwas falsch oder können die AWS VPC ec2-Instanzen keinen der von AWS verwalteten Dienste (s3 / sns / sqs) erreichen, ohne eine öffentliche Route zum Internet Gateway im Routetabelle zu haben?
Mir wurde hier mitgeteilt, dass die Standardroutentabelle von Aws vpc in CloudFormation standardmäßig keine öffentliche Route hat, sodass die VPC "geschützt" werden kann.
Aber wenn ich ohne eine öffentliche Route nicht auf AWS-Services zugreifen kann ... Das macht den Zweck zunichte, da ich praktisch allen Routentabellen eine öffentliche Route hinzufügen würde?
quelle
AWS hat VPC-Endpunkte für verschiedene Dienste hinzugefügt, darunter S3 (2015), EC2 (2017), SNS (2018) und SQS (2018), mit denen Sie diese Dienste ohne öffentlichen Internetzugang verwenden können.
quelle
VPC mit öffentlichen und privaten Subnetzen (NAT)
Die Konfiguration für dieses Szenario umfasst eine virtuelle private Cloud (VPC) mit einem öffentlichen Subnetz und einem privaten Subnetz. Wir empfehlen dieses Szenario, wenn Sie eine öffentlich zugängliche Webanwendung ausführen und gleichzeitig Back-End-Server verwalten möchten, auf die nicht öffentlich zugegriffen werden kann. Ein häufiges Beispiel ist eine mehrschichtige Website mit den Webservern in einem öffentlichen Subnetz und den Datenbankservern in einem privaten Subnetz. Sie können Sicherheit und Routing einrichten, damit die Webserver mit den Datenbankservern kommunizieren können.
Die Instanzen im öffentlichen Subnetz können eingehenden Datenverkehr direkt aus dem Internet empfangen, während die Instanzen im privaten Subnetz dies nicht können. Die Instanzen im öffentlichen Subnetz können ausgehenden Datenverkehr direkt ins Internet senden, während die Instanzen im privaten Subnetz dies nicht können. Stattdessen können die Instanzen im privaten Subnetz mithilfe eines NAT-Gateways (Network Address Translation), das sich im öffentlichen Subnetz befindet, auf das Internet zugreifen. Die Datenbankserver können über das NAT-Gateway eine Verbindung zum Internet für Softwareupdates herstellen, das Internet kann jedoch keine Verbindungen zu den Datenbankservern herstellen.
Hinweis
Sie können auch den VPC-Assistenten verwenden, um eine VPC mit einer NAT-Instanz zu konfigurieren. Wir empfehlen jedoch, ein NAT-Gateway zu verwenden. Weitere Informationen finden Sie unter NAT-Gateways.
quelle
Normalerweise kann die Lambda-Funktion nicht auf private Netzwerke innerhalb von VPCs zugreifen. Sie können jedoch eingerichtet werden und haben Zugriff auf das private Netzwerk. Festlegen der Lambda-Funktionen für den Zugriff auf eine private VPC
Mit der folgenden Methode können Sie Lambda dann als Proxy für alles verwenden, was sich im privaten Netzwerk befindet. Auf diese Weise müssen Sie keinen öffentlichen Zugriff auf Ihre Ressourcen gewähren. Sie generieren ein öffentliches API-Gateway, das über die Lambda-Proxys Zugriff auf die internen privaten Ressourcen bietet.
Festlegen von Lambda als API-Gateway-Proxy
Beachten Sie auch, dass Sie selbst bei einem öffentlichen Netzwerk mit einem öffentlichen Gateway den Datenverkehr in jeder Ihrer Ressourcen mithilfe von Sicherheitsgruppen und Netzwerk-ACLs begrenzen. Sie haben also am wenigsten ein Setup, das ziemlich kontrolliert ist.
quelle