Экземпляр AWS EC2 в частной подсети не может подключиться к Интернету через шлюз NAT

У меня есть два экземпляра EC2, один в общедоступной подсети (10.1.1.0/24) и один в частной подсети (10.1.2.0/24). Экземпляр EC2 в общедоступной подсети отлично работает с подключением к Интернету и настроенными службами.

В публичной подсети 10.1.1.0/24 настроен NAT-шлюз с эластичным IP-адресом. Маршрут по умолчанию в частной подсети - [0.0.0.0/0 - ›Шлюз NAT в публичной подсети]. У меня есть настраиваемый сетевой ACL в частной подсети, и я заметил, что источник и пункт назначения для правил для входящего / исходящего трафика установлены на 10.1.1.0/24 (общедоступная подсеть), внешнее подключение прерывается, но ssh работает. Подключение к Интернету восстанавливается только в том случае, если для источника / назначения установлено значение «любой». Я пытаюсь понять, какой именно источник / место назначения следует использовать в сетевых ACL в частной подсети для работы подключения к Интернету.


amazon-web-services amazon-ec2 aws-nat-gateway
person learner2606    schedule 14.09.2020    source источник
comment
Разрешили ли вы интернет-трафик (0.0.0.0/0) в вашем NACL? Если вы этого не разрешите, интернет-трафик не будет разрешен.   -  person Marcin    schedule 14.09.2020
comment
ПОЧЕМУ у вас настроен собственный NACL? В общем, лучше оставить для NACL значения по умолчанию, разрешающие все настройки, если нет особой необходимости (например, создание DMZ).   -  person John Rotenstein    schedule 14.09.2020

Ответы (1)


arrow_upward
0
arrow_downward

Чтобы разрешить экземпляру из частной подсети доступ к Интернету с использованием шлюза NAT, ваши NACL или SG должны разрешать Интернет-трафик. NAT не превращает интернет-трафик в частный трафик VPC. Поэтому, если вы удалите 0.0.0.0/0, подключение к Интернету прекратится.

Это объясняется в документации AWS по адресу Экземпляры не могут получить доступ к Интернету:

Убедитесь, что сетевые ACL, связанные с частной подсетью и общедоступными подсетями , не имеют правил, блокирующих входящий или исходящий интернет-трафик.

Следовательно, вы должны разрешить 0.0.0.0/0 (или некоторый диапазон IP-адресов, если вы хотите только часть интернет-трафика) в ваших NACL и SG для экземпляров в частной подсети.

В качестве примечания, обычно NACL не изменяются, и обычно используются настройки по умолчанию. Вместо этого группы безопасности - это первый выбор для управления доступом к экземплярам и из них.

person Marcin    schedule 14.09.2020