In AWS habe ich eine IP-Adresse, die ich behalten muss. (Endbenutzer geben sie manuell für den DNS-Dienst ein)
Ich muss den DNS-Server von einer Standardinstanz auf eine VPC-Basisinstanz verschieben. Mir ist klar, dass ich die IP nicht direkt meiner VPC zuweisen kann, aber ich möchte Techniken verstehen, mit denen ich dies anderweitig tun kann.
Besteht beispielsweise die einzige Möglichkeit darin, einen klassischen Host mit zwei Netzwerkkarten einzurichten, von denen eine meine „externe“ IP und die andere meine interne ist, und dann eine Art Portweiterleitung durchzuführen?
Was habe ich gemacht
Ich habe experimentiert mit demVPC-Assistentund es scheint, dass die Option „öffentliche und private Subnetze“ eine Instanz einer NAT-Firewall bereitstellt, die sich auf einem virtuellen Host befindet. Was für eine Art von Software ist das und kann ich sie manuell in einer vorhandenen Konfiguration bereitstellen?
Gibt es eine alternative Möglichkeit, die Portweiterleitung wie beschrieben einzusetzen?
Antwort1
EC2 EIPs, ob in EC2 Classic oder in einem VPC, arbeiten über ein 1:1 NAT. Das heißt, die IP-Adresse wird Ihrem Host nie direkt zugewiesen. Der Datenverkehr zu/von der zugehörigen Instanz läuft vielmehr über die EC2 NAT-Infrastruktur.
Leider sind EIPs nicht zwischen EC2 Classic und VPC portierbar. Sie haben also Pech gehabt, wenn Sie gehofft hatten, diese IP irgendwie in eine VPC verschieben zu können.
In Bezug auf NAT-Hosts in einer VPC ist dies nur erforderlich, wenn Sie Hosts in der VPC haben, denen 1) kein EIP zugewiesen ist und die 2) Zugriff auf Ressourcen außerhalb Ihrer VPC benötigen. Wenn Sie Ihren Instanzen, die Zugriff auf externe Ressourcen benötigen, EIPs zuweisen, übernimmt AWS das NAT für Sie. Wenn Sie jedoch Instanzen haben, denen kein EIP zugewiesen ist und die externe Zugriffe benötigen, müssen Sie Ihren eigenen NAT-Server einrichten oder eines der vorkonfigurierten NAT-AMIs von Amazon verwenden. Diese sind nichts Besonderes – nur ein Linux-Server mit über iptables aktiviertem NAT und im Kernel aktivierter IP-Weiterleitung.
Antwort2
Sie können das EIP jetzt vom Standard- in den VPC-Bereich verschieben. Schauen Sie sich anhttp://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#migrating-eip
Antwort3
Es ist jetzt möglich, eine EIP vom Standardbereich in den VPC-Bereich zu migrieren, aber Sie müssen zuerst Ihre Elastic IP von Ihrer Instanz trennen (daher kommt es zu einer kurzen Ausfallzeit).
Anschließend können Sie die Elastic IP in den VPC-Bereich verschieben:
Leider kann der Übergang einige Minuten dauern und es kann so aussehen, als wäre es für einen Moment verschwunden (DetailsHier). Sobald es verschoben wurde, können Sie es Ihrer Instanz in VPC zuweisen.