У меня есть группа веб-серверов AWS, которым нужно будет заняться инициированием и передачей TCP через VPN третьей стороне. Не спрашивайте меня, почему VPN является выбранным третьей стороной решением; это вне моего контроля. Отдельные серверы в группе не сохраняются; они то появляются, то исчезают с релизами. Между тем, третьей стороне требуются статические IP-адреса, среди прочего.
Общая идея заключается в том, чтобы настроить сервер шлюза (или, что реалистично, несколько серверов шлюза, чтобы он мог обрабатывать наш цикл выпуска) в качестве клиентов VPN и завершить VPN там. Наши веб-серверы будут знать только о серверах шлюза VPN; сторонние серверы будут знать только о серверах шлюза; серверы шлюза соответствующим образом ретранслируют все, отправляя это через VPN или обычный TCP, в зависимости от ситуации.
Вопрос, конечно, в том, как лучше всего справиться с ретрансляцией. Шлюзовым сервером будет Ubuntu 12.04 или 14.04. Я надеюсь, что смогу справиться с этим с помощью UFW и OpenVPN — UFW обрабатывает перенаправление IP и передает его соответствующим интерфейсам, в то время как OpenVPN по сути оборачивает сетевой интерфейс. Реалистична ли такая схема?
решение1
Правильный способ сделать это — использоватьAmazon VPCи запустите в нем свои экземпляры, используя частные адреса — полная процедура настройки выходит за рамки ответа ServerFault, но ваш VPC будет закрытой областью Amazon.
При желании вы можете настроить свои экземпляры с публичными IP-адресами, если вам нужно, чтобы серверы были общедоступными, но в вашем вопросе публичный доступ не упоминается.
После того, как вы создали VPC, вы можете использоватьVPN-подключение Amazonдля прямого подключения стороннего маршрутизатора к Amazon VPC и статической маршрутизации всего трафика для подсетей вашего VPC через туннель.