私は、VPN 経由で TCP を開始し、第三者と通信する業務に携わる必要のある AWS Web サーバーのグループを持っています。第三者が VPN をソリューションとして選択した理由を聞かないでください。それは私の管理外です。グループ内の個々のサーバーは永続的ではなく、リリースごとに起動したり停止したりします。一方、第三者は、とりわけ静的 IP を必要とします。
一般的な考え方は、ゲートウェイ サーバー (現実的には、リリース サイクルを処理できるように 2、3 台のゲートウェイ サーバー) を VPN クライアントとして設定し、そこで VPN を終了することです。Web サーバーは VPN ゲートウェイ サーバーのみを認識し、サード パーティ サーバーはゲートウェイ サーバーのみを認識します。ゲートウェイ サーバーは、必要に応じてすべてを中継し、VPN またはプレーン TCP 経由で送信します。
問題は、もちろん、リレーを最も適切に処理する方法です。ゲートウェイ サーバーは Ubuntu 12.04 または 14.04 になります。UFW と OpenVPN でこれを処理できることを期待しています。UFW は IP リダイレクトを処理し、適切なインターフェイスに渡しますが、OpenVPN は基本的にネットワーク インターフェイスをラップします。これは現実的なスキームでしょうか?
答え1
正しい方法は、アマゾンVPCプライベート アドレスを使用して、その中でインスタンスを起動します。完全なセットアップ手順は ServerFault の回答の範囲外ですが、VPC は Amazon のロックされた領域になります。
サーバーをパブリックにアクセス可能にする必要がある場合は、オプションでパブリック IP アドレスを使用してインスタンスを設定できますが、質問にはパブリック アクセス性について言及されていません。
VPCを導入したら、AmazonのVPN接続サードパーティのルーターを Amazon VPC に直接接続し、VPC のサブネットのすべてのトラフィックをトンネル経由で静的にルーティングします。