【发布时间】:2021-10-29 09:01:17
【问题描述】:
我正在开发一个具有自定义 VPC 和 2 个子网的应用程序。 1 个公共子网和 1 个私有子网。每个子网都有一个 ec2 实例。
公共实例通过互联网网关访问互联网,私有实例只能通过公共实例访问。
我正在尝试从位于私有子网中的 ec2 实例连接到 Internet。但是我无法连接。
我在公共子网中创建了公共 Nat 网关并更新了私有子网的路由表以将任何位置的流量路由到公共 nat 网关。
我使用 putty 连接到公共 ec2 实例,方法是使用 paegent 存储密钥并启用 ssh 代理转发。我能够连接到公共实例,然后连接到私有实例,并且在私有实例内部我能够找到转发的密钥。但是当我尝试 ping 到 google.com 时,我没有得到响应。
能否请您指出我错过的地方和内容?
【问题讨论】:
-
听起来你做的一切都是正确的。私有子网中的实例的 Internet 流量应由路由表定向到 NAT 网关,该网关应到达 Internet。据推测,私有 EC2 实例上的安全组在出站规则上具有默认的“全部允许”,而 NACL 根本没有更改?如果是这样,听起来你做的一切都是正确的!
-
我对私有子网和公有子网都使用了相同的 NACL,它允许入站和出站的所有流量规则。
-
私有实例的安全组但是没有任何出站规则。我是否需要在私有实例的安全组中添加出站规则以允许所有流量到任何地方?这不会危及私有实例的安全性吗?
标签: amazon-web-services networking amazon-ec2 amazon-vpc