Você precisa ou não de um IGW para obter acesso à Internet se criar uma instância EC2 com um EIP

Você precisa ou não de um IGW para obter acesso à Internet se criar uma instância EC2 com um EIP

Estou confuso sobre o Internet Gateway na AWS, se diz que para que seu VPC acesse a internet você precisa de um IGW, então quando você cria uma instância EC2 com um EIP você automaticamente tem acesso à internet.

Então tenho esta pergunta que não consegui responder:

Por que então quando você cria uma instância EC2 (que é criada na VPC padrão) na AWS e atribui um IP elástico você automaticamente tem acesso à internet se na documentação da AWS diz que para que sua VPC tenha acesso à internet você precisa de um gateway de Internet?

Responder1

Uma VPC requer um Internet Gateway (IGW) para se comunicar com a Internet. Um gateway privado virtual (endpoint VPN) pode permitir que você se comunique com outras redes, como redes corporativas, por meio de uma VPN, o que poderia fornecer uma conexão à Internet. Os VPC endpoints e o PrivateLink oferecem outra conectividade limitada, como conectividade privada ao S3, que geralmente passa pela Internet.

Você pode ter um endereço IP público atribuído automaticamente sem ter um gateway de Internet. Se você tentar atribuir um IP elástico à sua instância quando a VPC não tiver um gateway de Internet, ela não permitirá - a mensagem de erro é

A rede vpc-05054501693f2f5fb não está conectada a nenhum gateway de Internet

Se você tentar desconectar um gateway de Internet de uma VPC que possui uma instância com um EIP, você receberá esta mensagem de erro.

Erro de desconexão

Acabei de testar tudo isso para ter certeza. Demorou apenas dez minutos para criar uma VPC e mexer um pouco. Essa é a grande vantagem da nuvem/AWS: geralmente é fácil resolver as coisas experimentando-as. Provavelmente me custou US$ 0,05.

Responder2

Para acessar a internet diretamente de uma instância dentro de uma VPC você precisa:

  1. Um gateway de Internet (IGW) conectado à VPC
  2. Uma sub-rede com uma tabela de rotas que possui uma rota padrão (0.0.0.0/0) através do IGW (conhecida como 'sub-rede pública')
  3. Um IP público ou um IP elástico anexado à instância (observe que você não precisa de um IP elástico para acessar a Internet, as instâncias podem ter IPs não elásticos dinâmicos)
  4. Um grupo de segurança anexado à instância que permite o tráfego de saída (o que acontece por padrão)
  5. ACLs de rede associadas à sub-rede que permite o tráfego (o que é feito por padrão)

Esses cinco pontos são uma boa lista de verificação se você tiver problemas com a conectividade direta da Internet a uma instância em uma sub-rede pública.

Observe que em sua pergunta você mencionou a implantação no 'VPC padrão' - o VPC padrão já possui um gateway de Internet e sub-redes com uma configuração de tabela de rotas apropriada - portanto, você não precisaria configurar um.

Você também pode acessar a Internet indiretamente a partir de uma 'sub-rede privada' - que é uma sub-rede que não possui uma rota padrão através do IGW. Há muitas maneiras de fazer isso, mas uma maneira típica é implantar um serviço NAT Gateway em uma sub-rede pública separada (ou seja, uma sub-rede com uma tabela de rotas que tenha uma rota padrão através do IGW) e, em seguida, definir uma nova tabela de rotas para sua sub-rede privada com uma rota padrão (0.0.0.0/0) através do gateway NAT. Isso permite o acesso de saída à Internet não diretamente, mas através do gateway NAT. As instâncias na sub-rede privada não possuem um IP público ou elástico nesse momento.

Mais detalhes podem ser encontrados aqui:Gateways de Internet

E aqui:Gateways NAT

informação relacionada