amazon-web-services - 尽管按照规则配置了 NAT、Internet 网关，AWS VPC 仍无法访问 Internet

Question

我对那个有点迷茫 - 我已经遵循了 AWS 文档，似乎我找不到更多的东西。情况总结是，我在 VPC 中有一个 EC2 实例，尽管按照 Amazon AWS 说明为 VPC 设置 NAT，但它无法访问 Internet。详情如下:

我有一个带有一个子网 (CIDR 10.0.0.0/24) 和一个 EC2 实例的 VPC(它只有 VPC 内的私有(private) IP 地址，10.0.0.168)

我创建了一个 Internet 网关并将其附加到上述 VPC。

我为入站和出站流量创建了一个所有流量允许为 0.0.0.0/0 的网络 ACL，并将 ACL 附加到 VPC 的唯一子网。

VPC 子网安全组还允许 0.0.0.0/0 的所有流量进出

我创建了一个 NAT 网关，它在 VPC (10.0.0.95) 内有一个私有(private) IP 地址和一个公共(public)弹性 IP 地址(假设是 18.154.34.97，但我认为这无关紧要)。此 NAT 网关连接到 VPC 的唯一子网。

我创建了与 VPC 的子网 (10.0.0.0/24) 关联的路由表，其中包含两个条目:

    Destination     Target
    10.0.0.0/24     local
    0.0.0.0/0       nat-gateway-id

为了访问 VPC，我创建了一个地址范围为 10.1.0.0/22 的客户端 VPN 端点，并将其与正确的 VPN 子网关联。

我可以使用 OpenVPN 连接到客户端 VPN 端点并通过 ssh 连接到 EC2 实例。但是，从那个实例我无法访问互联网。同样，当连接到此客户端 VPN 端点时，我的本地计算机也无法访问 Internet。我曾尝试 ping VPC (10.0.0.95) 内的 NAT 地址，但从任何一台机器都无法访问它。

一切都是我在使用可达性分析器时设置了绿色、事件等，我得到以下信息:

Route table rtb-(...) does not have an applicable route to igw-(...)

我将事物路由到 NAT，而不是 Internet 网关，因为我知道当我仅在 VPC 内拥有私有(private) IP 地址时，这是解决此问题的正确方法。

Traffic cannot reach the internet through internet gateway igw-(...) because the source address is not paired with a public IP address. To add or edit an IPv4 public IP address to the source, you can use an Elastic IP address.

如果我正确理解 NAT，它会在从 VPC 内实例之一接收数据后成为 Internet 网关的源地址。此 NAT 具有公共(public)弹性 IP 地址。

Internet gateway igw-(...) cannot accept traffic with spoofed addresses from the VPC.

它不应该获得任何此类流量，因为它应该通过 NAT，对吗？
我失去了我在这里错过的东西......

Answer 1

您需要拥有 两个子网 .一公一私。
公有子网
公共(public)子网可以有 启用公网 IP 放。它应该有 NAT网关和路由表:

 Destination     Target
    10.0.0.0/24     local
    0.0.0.0/0       internet-gateway

私有(private)子网
您的私有(private) 实例应该在私有(private)子网中。子网应该有路由表:

    Destination     Target
    10.0.0.0/24     local
    0.0.0.0/0       nat-gateway-id

NACL
最好离开 默认 NACL 像他们那样。很容易把它们弄乱。您应该能够仅使用安全组来控制对您的实例的访问。