个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
更新:
除其他外,一直在努力解决这个问题。似乎无法获得带有两个子网和一个 SSH 堡垒的工作配置。为完整的 .tf 文件配置提供赏金:
* 创建两个私有(private)子网
* 创建一个堡垒
* 在通过堡垒配置的每个子网上旋转一个 ec2 实例(通过堡垒运行一些任意 shell 命令)
* 已配置互联网网关
* 对私有(private)子网上的主机有一个 nat 网关
* 具有相应配置的路由和安全组
原帖:
我正在尝试学习 Terraform 并构建原型(prototype)。我有一个通过 Terraform 配置的 AWS VPC。除了 DMZ 子网之外,我还有一个公共(public)子网“web”,它接收来自 Internet 的流量。我有一个无法从 Internet 访问的私有(private)子网“应用程序”。我正在尝试配置堡垒主机,以便 terraform 可以在私有(private)“应用程序”子网上配置实例。我还不能让它工作。
当我 ssh 进入堡垒时,我无法从堡垒主机通过 SSH 连接到私有(private)子网中的任何实例。我怀疑有路由问题。我一直在通过几个可用的示例和文档来构建这个原型(prototype)。许多示例通过 aws 提供程序使用略有不同的技术和 terraform 路由定义。
有人可以提供理想或正确的方法来定义这三个子网(公共(public)'web'、公共(public)'dmz' w/一个堡垒和私有(private)'app'),以便'web'子网上的实例可以访问'app'子网,并且 DMZ 中的堡垒主机可以在私有(private)“应用”子网中配置实例?
我的配置片段如下:
resource "aws_subnet" "dmz" {
vpc_id = "${aws_vpc.vpc-poc.id}"
cidr_block = "${var.cidr_block_dmz}"
}
resource "aws_route_table" "dmz" {
vpc_id = "${aws_vpc.vpc-poc.id}"
route {
cidr_block = "0.0.0.0/0"
gateway_id = "${aws_internet_gateway.gateway.id}"
}
}
resource "aws_route_table_association" "dmz" {
subnet_id = "${aws_subnet.dmz.id}"
route_table_id = "${aws_route_table.dmz.id}"
}
resource "aws_subnet" "web" {
vpc_id = "${aws_vpc.vpc-poc.id}"
cidr_block = "10.200.2.0/24"
}
resource "aws_route_table" "web" {
vpc_id = "${aws_vpc.vpc-poc.id}"
route {
cidr_block = "0.0.0.0/0"
instance_id = "${aws_instance.bastion.id}"
}
}
resource "aws_route_table_association" "web" {
subnet_id = "${aws_subnet.web.id}"
route_table_id = "${aws_route_table.web.id}"
}
resource "aws_subnet" "app" {
vpc_id = "${aws_vpc.vpc-poc.id}"
cidr_block = "10.200.3.0/24"
}
resource "aws_route_table" "app" {
vpc_id = "${aws_vpc.vpc-poc.id}"
route {
cidr_block = "0.0.0.0/0"
instance_id = "${aws_instance.bastion.id}"
}
}
resource "aws_route_table_association" "app" {
subnet_id = "${aws_subnet.app.id}"
route_table_id = "${aws_route_table.app.id}"
}
最佳答案
这是一个可以帮助你的片段。这是未经测试的,但是是从我在私有(private)子网中配置 VM 的一个 terraform 文件中提取的。我知道这适用于一个私有(private)子网,我尝试在这里实现两个,就像你原来的问题一样。
我跳过我的 NAT 实例以使用 Terraform 访问和配置私有(private)子网框。如果您的安全组设置正确,它确实可以工作。我做了一些实验。
/* VPC creation */
resource "aws_vpc" "vpc_poc" {
cidr_block = "10.200.0.0/16"
}
/* Internet gateway for the public subnets */
resource "aws_internet_gateway" "gateway" {
vpc_id = "${aws_vpc.vpc_poc.id}"
}
/* DMZ subnet - public */
resource "aws_subnet" "dmz" {
vpc_id = "${aws_vpc.vpc_poc.id}"
cidr_block = "10.200.1.0/24"
/* may help to be explicit here */
map_public_ip_on_launch = true
/* this is recommended in the docs */
depends_on = ["aws_internet_gateway.gateway"]
}
resource "aws_route_table" "dmz" {
vpc_id = "${aws_vpc.vpc_poc.id}"
route {
cidr_block = "0.0.0.0/0"
gateway_id = "${aws_internet_gateway.gateway.id}"
}
}
resource "aws_route_table_association" "dmz" {
subnet_id = "${aws_subnet.dmz.id}"
route_table_id = "${aws_route_table.dmz.id}"
}
/* Web subnet - public */
resource "aws_subnet" "web" {
vpc_id = "${aws_vpc.vpc_poc.id}"
cidr_block = "10.200.2.0/24"
map_public_ip_on_launch = true
depends_on = ["aws_internet_gateway.gateway"]
}
resource "aws_route_table" "web" {
vpc_id = "${aws_vpc.vpc_poc.id}"
route {
cidr_block = "0.0.0.0/0"
/* your public web subnet needs access to the gateway */
/* this was set to bastion before so you had a circular arg */
gateway_id = "${aws_internet_gateway.gateway.id}"
}
}
resource "aws_route_table_association" "web" {
subnet_id = "${aws_subnet.web.id}"
route_table_id = "${aws_route_table.web.id}"
}
/* App subnet - private */
resource "aws_subnet" "app" {
vpc_id = "${aws_vpc.vpc_poc.id}"
cidr_block = "10.200.3.0/24"
}
/* Create route for DMZ Bastion */
resource "aws_route_table" "app" {
vpc_id = "${aws_vpc.vpc_poc.id}"
route {
cidr_block = "0.0.0.0/0"
/* this send traffic to the bastion to pass off */
instance_id = "${aws_instance.nat_dmz.id}"
}
}
/* Create route for App Bastion */
resource "aws_route_table" "app" {
vpc_id = "${aws_vpc.vpc_poc.id}"
route {
cidr_block = "0.0.0.0/0"
/* this send traffic to the bastion to pass off */
instance_id = "${aws_instance.nat_web.id}"
}
}
resource "aws_route_table_association" "app" {
subnet_id = "${aws_subnet.app.id}"
route_table_id = "${aws_route_table.app.id}"
}
/* Default security group */
resource "aws_security_group" "default" {
name = "default-sg"
description = "Default security group that allows inbound and outbound traffic from all instances in the VPC"
vpc_id = "${aws_vpc.vpc_poc.id}"
ingress {
from_port = "0"
to_port = "0"
protocol = "-1"
self = true
}
egress {
from_port = "0"
to_port = "0"
protocol = "-1"
self = true
}
}
/* Security group for the nat server */
resource "aws_security_group" "nat" {
name = "nat-sg"
description = "Security group for nat instances that allows SSH and VPN traffic from internet. Also allows outbound HTTP[S]"
vpc_id = "${aws_vpc.vpc_poc.id}"
ingress {
from_port = 80
to_port = 80
protocol = "tcp"
/* this your private subnet cidr */
cidr_blocks = ["10.200.3.0/24"]
}
ingress {
from_port = 443
to_port = 443
protocol = "tcp"
/* this is your private subnet cidr */
cidr_blocks = ["10.200.3.0/24"]
}
ingress {
from_port = 22
to_port = 22
protocol = "tcp"
cidr_blocks = ["0.0.0.0/0"]
}
ingress {
from_port = -1
to_port = -1
protocol = "icmp"
cidr_blocks = ["0.0.0.0/0"]
}
egress {
from_port = 80
to_port = 80
protocol = "tcp"
cidr_blocks = ["0.0.0.0/0"]
}
egress {
from_port = 443
to_port = 443
protocol = "tcp"
cidr_blocks = ["0.0.0.0/0"]
}
egress {
from_port = 22
to_port = 22
protocol = "tcp"
/* this is the vpc cidr block */
cidr_blocks = ["10.200.0.0/16"]
}
egress {
from_port = -1
to_port = -1
protocol = "icmp"
cidr_blocks = ["0.0.0.0/0"]
}
}
/* Security group for the web */
resource "aws_security_group" "web" {
name = "web-sg"
description = "Security group for web that allows web traffic from internet"
vpc_id = "${aws_vpc.vpc_poc.id}"
ingress {
from_port = 80
to_port = 80
protocol = "tcp"
cidr_blocks = ["0.0.0.0/0"]
}
ingress {
from_port = 443
to_port = 443
protocol = "tcp"
cidr_blocks = ["0.0.0.0/0"]
}
}
/* Install deploy key for use with all of our provisioners */
resource "aws_key_pair" "deployer" {
key_name = "deployer-key"
public_key = "${file("~/.ssh/id_rsa")}"
}
/* Setup NAT in DMZ subnet */
resource "aws_instance" "nat_dmz" {
ami = "ami-67a54423"
availability_zone = "us-west-1a"
instance_type = "m1.small"
key_name = "${aws_key_pair.deployer.id}"
/* Notice we are assigning the security group here */
security_groups = ["${aws_security_group.nat.id}"]
/* this puts the instance in your public subnet, but translate to the private one */
subnet_id = "${aws_subnet.dmz.id}"
/* this is really important for nat instance */
source_dest_check = false
associate_public_ip_address = true
}
/* Give NAT EIP In DMZ */
resource "aws_eip" "nat_dmz" {
instance = "${aws_instance.nat_dmz.id}"
vpc = true
}
/* Setup NAT in Web subnet */
resource "aws_instance" "nat_web" {
ami = "ami-67a54423"
availability_zone = "us-west-1a"
instance_type = "m1.small"
key_name = "${aws_key_pair.deployer.id}"
/* Notice we are assigning the security group here */
security_groups = ["${aws_security_group.nat.id}"]
/* this puts the instance in your public subnet, but translate to the private one */
subnet_id = "${aws_subnet.web.id}"
/* this is really important for nat instance */
source_dest_check = false
associate_public_ip_address = true
}
/* Give NAT EIP In DMZ */
resource "aws_eip" "nat_web" {
instance = "${aws_instance.nat_web.id}"
vpc = true
}
/* Install server in private subnet and jump host to it with terraform */
resource "aws_instance" "private_box" {
ami = "ami-d1315fb1"
instance_type = "t2.large"
key_name = "${aws_key_pair.deployer.id}"
subnet_id = "${aws_subnet.api.id}"
associate_public_ip_address = false
/* this is what gives the box access to talk to the nat */
security_groups = ["${aws_security_group.nat.id}"]
connection {
/* connect through the nat instance to reach this box */
bastion_host = "${aws_eip.nat_dmz.public_ip}"
bastion_user = "ec2-user"
bastion_private_key = "${file("keys/terraform_rsa")}"
/* connect to box here */
user = "ec2-user"
host = "${self.private_ip}"
private_key = "${file("~/.ssh/id_rsa")}"
}
}
关于amazon-web-services - 如何在带有 Terraform 的 AWS VPC 中的两个子网之间进行路由?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35822830/
24
4
0
我在 dev vpc 中有一个 aws eks 集群,现在我在 test-vpc 中有几个 ec2 实例,所以现在我需要将 add test-vpc 实例添加到现有的现有集群中。我们可以吗? ? 仅供
我正在尝试使用 GCP 在我的项目网络和另一个项目之间配置 VPC 对等互连,但是我做不到,因为我没有在另一个项目上列出网络的权限。 resource "google_compute_network"
我想删除一个我不知道它是如何存在的 AWS VPC。当我尝试在 AWS 控制台中删除它时,它说: We could not delete the following VPC (vpc-0a72ac71
我正在为相应的 VPC 服务端点设置 VPC 端点。 我们的应用程序使用非区域或 特定于区域的名称(路由到 VPCe)。 我们在 VPCe 上设置了 3 个应用子网(对应 3 个 可用区 us-wes
在谷歌云上,我设置了三个新项目——开发、研究和生产。因此,然后创建了一个共享 VPC 主机和上面列出的三个服务项目。还打算为这些服务项目中的每一个提供单独的 VPC(以添加更多安全层),因此也打算现在
当尝试将服务项目中的 VPC 连接器与另一个项目(来自同一组织)中的共享 VPC 子网关联时,会出现以下错误: Unknown error. Original error message: Opera
我应该使用 AWS 默认 VPC,还是应该创建一个新 VPC? 创建一个新的有什么区别和优势? 或者,在女巫的情况下,我应该在两者之间进行选择吗? 最佳答案 默认 VPC 是公共(public) VP
创建 VPC 后,我如何通过 aws ec2 describe-vpcs 从特定 VPC 中 grep 只有 1 个 VPC-ID,以便 VPC ID 可以在下一步的脚本中传递,我知道我可以从该命令手
假设我有三个环境——开发、测试和生产。我相信我有两个关于如何在 AWS 中设置它们的选项: 每个环境创建一个 VPC,因此总共三个 VPC。然后在每个 VPC 中添加不同可用性区域中的子网以实现可用性
如何在现有 VPC 和子网之间执行 VPC 对等互连? 我有两个 VPC CIDR。第一个是 192.168.0.0/16,第二个是 10.0.0.0/16,现有子网 CIDR 192.168.1.0
我有一个组织帐户,其下有多个托管帐户。每个管理账户中都有多个 VPC。每个托管帐户中的一个 VPC 将具有“ServiceName”:“True”标签,而该帐户中的其他 VPC 将具有“Service
我对 AWS 很陌生,我正在尝试从云形成中启动一个安全组:我的参数中有这个 NetworkStackName: Description: "Network Stack Name which
我正在将我的 CDK 堆栈从 0.30.0 移植到 0.39.0。我的 AWS 账户有一个预定义的 VPC,我只是将它导入到堆栈中。相同的子网在 0.30.0 中工作正常,但我在 0.39.0 中收到
我正在尝试获取 PIV4_CIDR 对于给定的 VPC,首先使用 aws_vpcs 数据源识别 VPC 并从 ID 获取 CIDR - 是否可能? 只是一点背景知识,出于某种设计原因,我们在不同的 V
我正在使用数据资源 (Terraform .12) 在 vpc 中查找子网 ID 并最终创建 ec2 实例。 VPC 已成功创建,但出现以下错误: 错误:未找到 ID 为 vpc-03a7196723
如果我们在两端都有相同的 vpc cidr(不同的 aws 帐户)并且我们想要 VPC 对等,是否有任何解决方法?或者任何其他机制可以帮助我连接两个相同的 VPC CIDR 但在不同的 aws 帐户中
我在我的环境中遇到了一个问题。我有两个 VPC (A - B): - 一个 ec2 实例基于第一个 (VPC A)。- RDS基于第二个(VPC B)。 我有两个问题: 如何通过不同 VPC 中的 E
我有一个在 VPC 中运行的 lambda 函数。 我需要使用我拥有的服务名称在此 VPC 中创建一个终端节点。我已经创建了一个并通过控制台执行所有操作来测试 lambda 与服务的连接。但现在我需要
我一直致力于创建一个 VPC 对等连接,该连接可以使用 cloudformation 从 eu-west-1 与 us-east-1 进行对等。这是目前的云信息: AWSTemplateFormatV
我有一个具有 VPC 访问权限的 Elasticsearch 域(即没有公共(public)访问权限)。我想从另一个 VPC 中的实例访问终端节点。我已经在两个 VPC 之间创建了对等连接,但是由于无
我是一名优秀的程序员,十分优秀!