Ich bin verwirrt über das Internet-Gateway in AWS. Wenn dort steht, dass Sie für den Internetzugriff Ihres VPC ein IGW benötigen, warum haben Sie dann automatisch Zugriff auf das Internet, wenn Sie eine EC2-Instanz mit einem EIP erstellen?
Dann habe ich noch folgende Frage, die ich mir bisher nicht beantworten konnte:
Warum haben Sie dann automatisch Zugriff auf das Internet, wenn Sie in AWS eine EC2-Instanz erstellen (die im Standard-VPC erstellt wird) und eine elastische IP zuweisen, wenn in der AWS-Dokumentation steht, dass Sie für den Internetzugang Ihres VPC ein Internet-Gateway benötigen?
Antwort1
Ein VPC benötigt ein Internet-Gateway (IGW), um mit dem Internet zu kommunizieren. Ein Virtual Private Gateway (VPN-Endpunkt) ermöglicht Ihnen die Kommunikation mit anderen Netzwerken wie Unternehmensnetzwerken über ein VPN, das Ihnen möglicherweise eine Internetverbindung ermöglicht. VPC-Endpunkte und PrivateLink bieten Ihnen andere eingeschränkte Konnektivität, wie beispielsweise eine private Konnektivität zu S3, die normalerweise über das Internet erfolgt.
Sie können eine öffentliche IP-Adresse automatisch zuweisen lassen, ohne ein Internet-Gateway zu haben. Wenn Sie versuchen, Ihrer Instanz eine Elastic IP zuzuweisen, wenn die VPC kein Internet-Gateway hat, wird dies nicht zugelassen - die Fehlermeldung lautet
Das Netzwerk vpc-05054501693f2f5fb ist an kein Internet-Gateway angeschlossen
Wenn Sie versuchen, ein Internet-Gateway von einem VPC zu trennen, das über eine Instanz mit einer EIP verfügt, erhalten Sie diese Fehlermeldung.
Ich habe das alles gerade getestet, um ganz sicher zu gehen. Es hat nur zehn Minuten gedauert, ein VPC zu erstellen und ein bisschen herumzuspielen. Das ist das Tolle an Cloud/AWS, es ist im Allgemeinen einfach, Dinge durch Ausprobieren herauszufinden. Es hat mich wahrscheinlich 0,05 $ gekostet.
Antwort2
Für den direkten Internetzugriff von einer Instanz innerhalb einer VPC benötigen Sie:
- Ein an die VPC angeschlossenes Internet-Gateway (IGW)
- Ein Subnetz mit einer Routentabelle, die eine Standardroute (0.0.0.0/0) über das IGW hat (bekannt als „öffentliches Subnetz“)
- Eine öffentliche IP oder eine elastische IP, die an die Instanz angehängt ist (beachten Sie, dass Sie für den Zugriff auf das Internet keine elastische IP benötigen, Instanzen können dynamische, nicht elastische IPs haben)
- Eine an die Instanz angehängte Sicherheitsgruppe, die den ausgehenden Datenverkehr zulässt (was standardmäßig der Fall ist)
- Netzwerk-ACLs, die dem Subnetz zugeordnet sind, das den Datenverkehr zulässt (was standardmäßig der Fall ist)
Diese fünf Punkte sind eine gute Checkliste, die Sie durchgehen können, wenn Sie jemals Probleme mit der direkten Internetverbindung zu einer Instanz in einem öffentlichen Subnetz haben.
Beachten Sie, dass Sie in Ihrer Frage die Bereitstellung im „Standard-VPC“ erwähnt haben – das Standard-VPC verfügt bereits über ein Internet-Gateway und Subnetze mit einer entsprechenden Routentabellenkonfiguration – Sie hätten also keines konfigurieren müssen.
Sie können auch indirekt von einem „privaten Subnetz“ aus auf das Internet zugreifen – das ist ein Subnetz, das keine Standardroute über das IGW hat. Es gibt viele Möglichkeiten, dies zu tun, aber eine typische Möglichkeit besteht darin, einen NAT-Gateway-Dienst in einem separaten öffentlichen Subnetz bereitzustellen (d. h. ein Subnetz mit einer Routentabelle, die eine Standardroute über das IGW hat) und dann eine neue Routentabelle für Ihr privates Subnetz mit einer Standardroute (0.0.0.0/0) über das NAT-Gateway zu definieren. Dies ermöglicht dann den ausgehenden Zugriff auf das Internet nicht direkt, sondern über das NAT-Gateway. Instanzen im privaten Subnetz haben zu diesem Zeitpunkt überhaupt keine öffentliche oder elastische IP.
Weitere Details finden Sie hier:Internet-Gateways
Und hier:NAT-Gateways