AWS - vpc: доступ к частной подсети из общедоступной подсети
Я создал общедоступную подсеть и частную подсеть, интернет-шлюз связал общедоступную подсеть. Теперь веб-сервер был подготовлен или установлен в частной подсети, но как нам получить доступ к любому контенту из частной подсети, почему был установлен сервер. в лекции? Кроме того, скажем, например, если я устанавливаю MySQL DB в частном порядке, как я могу получить доступ к базе данных извне? другими словами, как мне получить доступ к веб-серверу / БД, работающему в частной подсети, из общедоступного или http?
1 ответ
Если вы хотите получить доступ к своей частной подсети извне VPC, вам необходимо добавить хост-бастион в общедоступную подсеть. Хост-бастион должен иметь группу безопасности, которая разрешает соединения только с IP-адреса вашей персональной машины (если это то место, откуда вы получаете доступ). И группа безопасности страховки в частной подсети должна разрешать трафик от группы безопасности хоста-бастиона. (NACL частной подсети, по умолчанию разрешает все).
Если вы пытаетесь получить доступ к частной подсети из VPC. Тогда по умолчанию ничего настраивать не нужно. Поскольку частная подсеть NACL по умолчанию разрешает весь локальный трафик. (Группы безопасности по умолчанию запрещают весь трафик, поэтому убедитесь, что экземпляр dB, если он находится в группе безопасности, разрешает трафик из общедоступной подсети, в идеале ограничиваясь конкретным протоколом).
Вы можете получить доступ к своей частной подсети в ssh или rdp, используя хост-бастион, который вы должны установить в своей публичной подсети. Но вы должны хорошо настроить свои группы безопасности и свой NACL.
Для доступа в Интернет вашей частной подсети вы должны установить шлюз NAT в вашей общедоступной подсети (например, для вашей базы данных)
Для получения дополнительной информации, это интересная ссылка для вас:
https://cloudacademy.com/blog/aws-bastion-host-nat-instances-vpc-peering-security/
Надеюсь, это поможет