amazon-web-services - AWS - 使用 EIP 访问私有(private)子网中的实例

Question

我想使用 EIP 访问我的私有(private)子网中的一些实例。有办法吗？我知道这没有多大意义。但是让我详细解释一下。

我有一个带有 2 个子网的 VPC。

1) 192.168.0.0/24(公共(public)子网)附加了 EIP

2)192.168.1.0/24(私有(private)子网)

这些之间有一个 NAT 实例，以允许私有(private)实例具有对 Internet 的出站访问权限。一切正常，如此处所述:http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

但是现在，暂时我需要使用 EIP 直接从 Internet 对私有(private)子网上的实例进行寻址。
这是否可以通过单独为该特定实例设置新的路由表来实现？还是别的什么？
以下是限制:

1) 私有(private)子网上的任何实例都不能有任何停机时间

2)因此不用说，我不能创建一个新的子网并将这些实例移到那里。

它应该像 -> Attach 一样简单。采用 。消除。
我现在唯一的另一种方法是在 iptables 上从公共(public)子网上的实例(具有 EIP)到私有(private)子网上的任何实例的某种端口转发......但这看起来很困惑。

还有其他方法吗？

Answer 1

当然，私有(private)子网中的东西在私有(private)子网中，因为它不应该可以从 Internet 访问。 :)

但是......我相信你有你的理由，所以这里是:

首先，不，您不能以简单的附加→使用→删除方式执行此操作，因为每个子网只有一个默认路由，并且指向igw。对象(公共(public)子网)或 NAT 实例(私有(private)子网)。如果您将弹性 IP 绑定(bind)到私有(private)子网中的计算机，则入站流量将到达实例，但出站回复流量将通过 NAT 实例路由回，这将丢弃或破坏它，因为您不能通过 NAT 进行不对称路由，这就是这里会发生的事情。

如果您的服务是 TCP 服务(http、远程桌面、yadda yadda)，那么这里有一个短期黑客可以很好地工作并避免 iptables 的麻烦并只公开您需要的特定服务:

在公共(public)子网中使用 ubuntu 12.04 LTS 启动一个新的微实例，并使用 EIP 和适当的安全组来允许入站 Internet 流量到所需端口。允许自己通过 ssh 访问新实例。允许从该机器访问内部机器。然后:

$ sudo apt-get update
$ sudo apt-get upgrade 
$ sudo apt-get install redir

假设您要将传入端口 80 流量发送到私有(private)实例上的端口 80:

$ sudo redir --lport=80 --cport=80 --caddr=[private instance ip] --syslog &

完毕。您将记录每次连接和断开连接以及系统日志中传输的端口号和字节。缺点是如果您的私有(private)主机正在查看连接机器的 IP，它将始终看到私有(private)网络实例的内部 IP。

如果您绑定(bind)到低于 1024 的端口，您只需使用 sudo 运行它，因为只有 root 可以绑定(bind)到较低的端口号。要停止它，找到 pid 并杀死它，或 sudo killall redir .

俏皮小 redir实用程序在用户空间发挥其魔力，使其比 iptables 更简单(恕我直言)。它在指定的 --lport 上设置一个监听套接字。港口。对于每个入站连接，它会自行 fork ，建立到 --caddr 的出站连接。在 --cport并将两个数据流联系在一起。它不知道流内部发生了什么，因此它应该适用于几乎任何 TCP。这也意味着您应该能够通过相当多的流量，尽管使用 Micro。

完成后，扔掉微实例，您的网络就会恢复正常。