EC2私有实例的互联网访问答案

【问题标题】：Internet access for EC2 private instanceEC2私有实例的互联网访问
【发布时间】：2017-08-11 21:54:30
【问题描述】：

我们想知道是否可以让我们的本地防火墙成为 AWS VPC 中私有实例的 NAT 实例，用于出站互联网访问（例如获取更新）？

我们目前已实施 AWS VPC 场景 4。

谢谢！！

【问题讨论】：

请在您的问题中包含所有必要的详细信息。什么是“VPC 场景 4”？
你好，马特！ VPC 场景 4 是仅具有私有子网和硬件 VPN 访问的 AWS VPC - docs.aws.amazon.com/AmazonVPC/latest/UserGuide/…
在您的问题中包含所有必要的详细信息。 AWS 文档链接将来可能会更改（不再起作用），或者由于文档的更改，“场景 4”可能会变为“场景 5”。

【解决方案1】：

对于Scenario 4: VPC with a Private Subnet Only and Hardware VPN Access，所有出站（非 VPC）流量都必须通过客户网关到达本地。因此，如果您想访问互联网，流量会通过本地，然后从本地/企业网络出站。

简而言之：如果您想从 AWS VPC 访问任何 AWS 端点，则必须通过公司/客户网络。您必须在本地防火墙中允许出站。没有其他选择。

【讨论】：

你好你好！目前，在我的路由表中，我已经指定了所有流量（0.0.0.0/0）去虚拟私有网关，在我的本地网关（又名防火墙）上，定义了一个 SNAT 规则，其中 - 来自 AWS 的任何流量EC2 实例 - 使用 HTTP 端口 - 转到任何 ipv4 - 将源更改为我的网关的 IP 地址。从逻辑上讲，这对我来说很有意义，但这不起作用。真的不知道我在这里做错了什么。还是从技术上讲，无法从 VPC 场景 4 私有子网访问互联网？
可以连接到互联网，正如我提到的，流量通过您的公司网络路由（甚至到达 AWS 端点）。我们有完全相同的设置。您必须与您的 IT 团队合作，让来自 AWS 实例的流量进入互联网。如果映射正确，您为什么不查看 NAT 表，或者使用一些工具来跟踪流量并查看它被阻止的位置。
helloV，我们是一家小公司，我负责管理 IT 基础架构。您能否告知我们 SNAT 规则的正确参数？如前所述，当前参数如下：规则类型：SNAT 来自：AWS EC2 实例的流量使用服务：HTTP Going To：Any IPv4 Change Source To：WAN（地址）真的不知道我们在这里做错了什么！