Вопросы Теги

AWS интернет-шлюз VPC и сервисы AWS

@Eric CentOS repos по умолчанию не содержит libguestfs инструменты - однако epel репозиторий, делает. В этом случае то, что я обычно делал бы, настраивается epel репозиторий, но затем отключите его и только позвольте ему установить определенные пакеты пакетов.. Как так:

  1. об/мин-ivh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm
  2. отключите репозиторий установкой "enabled=0" в каждом разделе/etc/yum.repos.d/epel.repo
  3. конфетка –enablerepo=epel установка

Тем не менее я не уверен точно, в каком из пакетов Вы будете нуждаться. http://libguestfs.org/, кажется, предлагает установить "*guestf*", но это больше, чем, вероятно, установит намного больше, чем Вам действительно нужно.

7
задан 13 April 2017 в 15:14
4 ответа

Я что-то делаю неправильно или экземпляры AWS VPC ec2 не могут доступ к любому из управляемых сервисов AWS (s3 / sns / sqs) без общедоступного маршрут к Интернет-шлюзу в таблице маршрутизации?

Верно. Если вам нужно использовать эти службы, вашим экземплярам потребуются EIP или общедоступные IP-адреса, либо вам понадобится хост NAT в вашем VPC. VPC является действительно частным и работает так же, как и хорошо обслуживаемая корпоративная сеть: разрешает только трафик, который явно разрешен вами.

Стоит отметить: управляемые службы, такие как RDS, Elasticache, Redshift и т. д., действительно может работать в вашем VPC.

9
ответ дан 2 December 2019 в 23:18

AWS добавила конечные точки VPC для различных сервисов, включая S3 (2015), EC2 (2017), SNS (2018) и SQS (2018), что позволяет использовать эти сервисы без общедоступного Интернета. доступ.

7
ответ дан 2 December 2019 в 23:18

VPC с общедоступными и частными подсетями (NAT)

Конфигурация для этого сценария включает виртуальное частное облако (VPC) с общедоступной подсетью и частной подсетью. Мы рекомендуем этот сценарий, если вы хотите запустить общедоступное веб-приложение, сохраняя при этом внутренние серверы, которые не являются общедоступными. Типичный пример - многоуровневый веб-сайт, где веб-серверы находятся в общедоступной подсети, а серверы баз данных - в частной подсети. Вы можете настроить безопасность и маршрутизацию, чтобы веб-серверы могли взаимодействовать с серверами баз данных.

Экземпляры в общедоступной подсети могут получать входящий трафик непосредственно из Интернета, тогда как экземпляры в частной подсети - нет. Экземпляры в общедоступной подсети могут отправлять исходящий трафик непосредственно в Интернет, а экземпляры в частной подсети - нет. Вместо этого экземпляры в частной подсети могут получить доступ к Интернету с помощью шлюза преобразования сетевых адресов (NAT), который находится в общедоступной подсети. Серверы баз данных могут подключаться к Интернету для обновлений программного обеспечения с помощью шлюза NAT, но Интернет не может инициировать подключения к серверам баз данных.

Примечание

Вы также можете использовать мастер VPC для настройки VPC с экземпляром NAT; однако мы рекомендуем использовать шлюз NAT. Для получения дополнительной информации см. Шлюзы NAT.

1
ответ дан 2 December 2019 в 23:18

Обычно функция лямбда не может получить доступ к частным сетям внутри VPC. Но их можно настроить, имея доступ к частной сети. Настройка функций Lambda для доступа к частному VPC

Затем с помощью следующего метода вы можете использовать Lambda в качестве прокси для всего, что находится внутри частной сети. Таким образом, вам не нужно предоставлять публичный доступ к вашим ресурсам. Вы создаете публичный шлюз API, и он через прокси-серверы Lambda обеспечивает доступ к внутренним частным ресурсам.

Установка Lambda в качестве прокси-сервера шлюза API

Также важно помнить, что даже если у вас есть общедоступная сеть с общедоступным gateway вы ограничиваете трафик на каждом из ваших ресурсов, используя группы безопасности и сетевые ACL. Таким образом, вы получите как минимум управляемую установку.

0
ответ дан 2 December 2019 в 23:18

Теги

Похожие вопросы