Solución:
Puerta de enlace de Internet
Una puerta de enlace de Internet es una conexión lógica entre una Amazon VPC e Internet. Está no un dispositivo físico. Solo se puede asociar uno a cada VPC. Lo hace no limitar el ancho de banda de la conectividad a Internet. (La única limitación en el ancho de banda es el tamaño de la instancia Amazon EC2 y se aplica a todo el tráfico, interno a la VPC y fuera de Internet).
Si una VPC no tener una puerta de enlace de Internet, luego los recursos en la VPC no se puede acceder desde Internet (a menos que el tráfico fluya a través de una red corporativa y VPN / Direct Connect).
Una subred se considera una Subred pública si tiene una tabla de ruta que dirige el tráfico a Internet Gateway.
Instancia NAT
Una instancia NAT es una instancia Amazon EC2 configurada para reenviar tráfico a Internet. Se puede iniciar desde una AMI existente o se puede configurar a través de datos de usuario como este:
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -j MASQUERADE
/sbin/iptables-save > /etc/sysconfig/iptables
mkdir -p /etc/sysctl.d/
cat <<EOF > /etc/sysctl.d/nat.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0
EOF
Las instancias en una subred privada que desean acceder a Internet pueden reenviar su tráfico vinculado a Internet a la instancia NAT a través de una configuración de tabla de ruta. La instancia NAT luego hará la solicitud a Internet (ya que está en una subred pública) y la respuesta se reenviará a la instancia privada.
El tráfico enviado a una instancia de NAT normalmente se enviará a una dirección IP que no está asociada con la propia instancia de NAT (estará destinada a un servidor en Internet). Por lo tanto, es importante apagar el Verificación de origen / destino en la instancia NAT, de lo contrario, se bloqueará el tráfico.
Puerta de enlace NAT
AWS presentó un Servicio de puerta de enlace NAT que puede tomar el lugar de una instancia NAT. Los beneficios de utilizar un servicio de puerta de enlace NAT son:
- Es un servicio completamente administrado: solo créelo y funciona automáticamente, incluida la conmutación por error
- Puede explotar hasta 10 Gbps (una instancia NAT está limitada al ancho de banda asociado con el tipo de instancia EC2)
Sin embargo:
- Grupos de seguridad no poder estar asociado con una puerta de enlace NAT
- Necesitará uno en cada zona de disponibilidad, ya que solo operan en una única zona de disponibilidad.
En cuanto a la puerta de enlace NAT frente a la instancia NAT, cualquiera de las dos funcionará. Una instancia NAT puede ser un poco más barata, pero AWS administra la puerta de enlace NAT en su totalidad, por lo que tiene la ventaja de no necesitar mantener una instancia EC2 solo para NAT.
Sin embargo, para las instancias que necesitan estar disponibles para Internet, las instancias / puerta de enlace NAT no son lo que está buscando. Una NAT permitirá que las instancias privadas (sin una IP pública) accedan a Internet, pero no al revés. Por lo tanto, para las instancias EC2 que deben estar disponibles en Internet, debe asignar una IP pública. Existe una solución alternativa si realmente necesita mantener privadas las instancias EC2: puede usar un equilibrador de carga elástico para enviar las solicitudes por proxy.
Pasarelas de Internet
Internet Gateway es la forma en que su VPC se conecta a Internet. Utiliza una puerta de enlace de Internet con una tabla de rutas para indicarle a la VPC cómo llega el tráfico de Internet a Internet.
Una puerta de enlace de Internet aparece en la VPC como solo un nombre. Amazon administra la puerta de enlace y no hay nada en lo que realmente tenga voz y voto (aparte de usarlo o no; recuerde que es posible que desee una subred completamente segmentada que no pueda acceder a Internet en absoluto).
Una subred pública es una subred que tiene tráfico de Internet enrutado a través de Internet Gateway de AWS. Cualquier instancia dentro de una subred pública puede tener una IP pública asignada (por ejemplo, una instancia EC2 con la “dirección IP pública asociada” habilitada).
Una subred privada significa que las instancias no son de acceso público desde Internet. NO tienen una dirección IP pública. Por ejemplo, no puede acceder a ellos directamente a través de SSH. Sin embargo, las instancias en subredes privadas aún pueden acceder a Internet por sí mismas (es decir, mediante el uso de una puerta de enlace NAT).
La puerta de enlace de Internet se utiliza para conectar un vpc a Internet y la puerta de enlace NAT se utiliza para conectar la subred privada a Internet (lo que significa que el tráfico que llega a la instancia de la subred privada se reenviará a la puerta de enlace NAT). necesita reenviar el tráfico en la tabla de ruta a NAT
Tabla de ruta 0.0.0.0/0