Tham gia Đăng nhập
Điểm:1
avatar Server

Hạn chế lưu lượng giữa các AWS VPC

lá cờ za
Ralf

Tôi có hai VPC: A và B.

Tôi muốn bất kỳ nút nào trong A có thể mở kết nối TCP tới bất kỳ nút nào trong B, nhưng không phải là cách khác. Bất kỳ nút nào trong B cũng phải có khả năng mở các kết nối gửi đi tới các máy chủ internet công cộng. cách tốt nhất để đạt được điều này là gì?

Trường hợp sử dụng: VPC A chứa nhiều dịch vụ nội bộ nhạy cảm và VPC B chứa các nút chạy mã hoàn toàn không đáng tin cậy. VPC A cần thực hiện các yêu cầu HTTP tới VPC B, nhưng không có dịch vụ nội bộ nào được hiển thị.

VPC ngang hàng cho phép kết nối trực tiếp giữa bất kỳ nút nào trong A và B - điều này không thể bị hạn chế ở cấp độ định tuyến. Các nhóm bảo mật có thể được sử dụng để chặn các kết nối gửi đi nhưng hơi phức tạp để định cấu hình vì không có quy tắc TỪ CHỐI.

ACL mạng không hữu ích ở đây, vì lưu lượng quay lại phải được phép quay lại từ B -> A.

Có sự lựa chọn nào khác không? Một cái gì đó giống như cổng NAT, chỉ cho phép mở kết nối theo một hướng? AWS hỗ trợ các cổng NAT riêng, nhưng tôi không thể tìm thấy bất kỳ tài liệu nào về cấu hình như thế này.

86
0 + 0
Điểm:3
Tim avatar Server
lá cờ gp
Tim

Tôi đã không đọc chi tiết câu trả lời của bạn nhưng có vẻ hơi sai. Tôi hoàn toàn không biết tại sao bạn lại sử dụng cổng NAT, chúng hoàn toàn là để cho phép các phiên bản trong mạng con riêng tư truy cập internet.

Chìa khóa ở đây là giao tiếp một hướng gợi ý mạnh mẽ rằng các nhóm bảo mật là câu trả lời. Giải pháp của tôi (không cần suy nghĩ quá nhiều sẽ là):

  • VPC ngang hàng giữa hai VPC, phạm vi CIDR khác nhau
  • Bảng định tuyến trong cả hai VPC để cho phép liên lạc
  • Các nhóm bảo mật trong VPC A để cho phép lưu lượng truy cập đi vào phạm vi CIDR của VPC B, nhưng không cho phép vào. Điều này sẽ cho phép lưu lượng truy cập ra ngoài và lưu lượng truy cập quay lại nhưng không cho phép lưu lượng truy cập được khởi tạo trong VPC A
  • Các nhóm bảo mật trong VPC B cho phép lưu lượng đến từ VPC A CIDR, nhưng không cho phép gửi đi. Điều này cho phép lưu lượng truy cập vào và cho phép nó quay trở lại nhưng không cho phép lưu lượng truy cập bắt đầu từ A đến B
  • Cổng Internet trong VPC B. Nếu bạn không cần internet để truy cập vào VPC B thì bạn có thể sử dụng cổng NAT trong VPC B.
0 + 0
lá cờ za
Ralf
Phần khó nhất trong thiết lập này là "Các nhóm bảo mật trong VPC B cho phép lưu lượng truy cập đến từ VPC A CIDR, nhưng không cho phép gửi đi". Tôi cần cho phép lưu lượng truy cập đi vào internet công cộng từ VPC B chứ không phải VPC A. Vì không có quy tắc "DENY" nào trong các nhóm bảo mật nên tôi có giải pháp cho phép lưu lượng truy cập đi vào danh sách 33 khối CIDR _nên_ bao gồm tất cả các truy cập internet công cộng. Các cổng NAT dường như hoạt động hoàn toàn tốt đối với lưu lượng truy cập nội bộ, ngay cả khi đó không phải là một thiết lập phổ biến.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Tôi thực sự khuyên bạn nên thực hiện một số khóa đào tạo về AWS hoặc ít nhất là đọc một số thông tin về các nhóm bảo mật. Đây không phải là một kịch bản khó, bạn đã giải quyết nó theo một cách khá kỳ lạ có thể gây ra hậu quả và sẽ khiến bạn tốn nhiều phí dữ liệu/NAT hơn. Tôi được đào tạo/chứng chỉ/có kinh nghiệm khá tốt với AWS. Tôi không biết rằng cổng NAT có thể làm bất cứ điều gì khác ngoài việc cung cấp quyền truy cập internet mạng con riêng - có vẻ như bạn đang sử dụng cổng này để vượt qua bản chất không chuyển tiếp của AWS VPC. Đây thực sự là một vấn đề đơn giản và có thể được giải quyết bằng một giải pháp đơn giản.
0
Hồi đáp
lá cờ za
Ralf
Cổng NAT không thêm chi phí và chi phí (không đáng kể cho trường hợp sử dụng này). Nó có thể khác thường, nhưng nó thêm các tùy chọn cho các lớp bảo mật bổ sung ở cấp độ mạng con, thay vì chỉ các nhóm bảo mật. Theo cách tương tự, trong các tình huống điển hình hơn mà bạn có thể sử dụng mạng con công khai và bảo vệ mạng đó bằng các nhóm bảo mật, bạn sẽ được cách ly tốt hơn với mạng con riêng + cổng NAT để truy cập internet. Điều tương tự cũng áp dụng ở đây ở một mức độ lớn.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Ok, bất cứ điều gì làm việc cho bạn. Có thể lưu ý rằng tôi chưa bao giờ nghe nói về NAT Gateway được sử dụng như vậy trước đây và có thể có những nhược điểm không rõ ràng. Bạn không thực sự sử dụng phương pháp hay nhất, nhưng nếu nó phù hợp với bạn thì thật tuyệt.
0
Hồi đáp
Điểm:0
avatar Server
lá cờ za
Ralf

Có vẻ như điều này có thể hoạt động bằng cách thêm một cổng NAT riêng trong một mạng con chuyên dụng.

Thiết lập này dường như hoạt động:

VPC MỘT: 10.1.0.0/16

Mạng con A1: 10.1.1.0/24. Mạng con chính chứa các nút trong A.
Mạng con A2: 10.1.2.0/24. Mạng con dành riêng cho cổng NAT.

VPC B: 10.2.0.0/16

Mạng con B1: 10.2.3.0/24: Mạng con chính chứa các nút trong B.

Cổng NAT riêng trong mạng con A2. (tự nhiên-1)
VPC ngang hàng giữa VPC A và B. (pcx-1)

Bảng lộ trình cho A1:

10.1.0.0/16 (A): cục bộ
10.2.3.0/24 (B1): nat-1

Bảng lộ trình cho A2:

10.1.0.0/16 (A): cục bộ
10.2.3.0/24 (B1): pcx-1

Bảng lộ trình cho B1:

10.2.0.0/16 (B): cục bộ
10.1.2.0/24 (A2): pcx-1

Vì không có tuyến đường trực tiếp giữa A1 và B1 nên tất cả lưu lượng phải đi qua cổng NAT.Và cổng NAT chỉ cho phép các kết nối đến từ cùng một VPC, vì vậy không có cách nào để một nút trong B1 mở kết nối tới một nút trong A1.

Các nhóm bảo mật và ACL mạng có thể được sử dụng làm các lớp bảo mật bổ sung ở đây và cấu hình sẽ khá đơn giản với sự phân chia này trong các mạng con. Nhưng nó cũng sẽ là dư thừa, vì không có tuyến đường nào từ B1 đến A1.

0 + 0
Oscar De León avatar
lá cờ la
Oscar De León
Nếu không có tuyến đường nào từ B đến A thì bạn sẽ không nhận được bất kỳ dữ liệu trả về nào. "Nó sẽ không biết đi đâu". Câu trả lời của Tim là đúng điểm.
0
Hồi đáp
lá cờ za
Ralf
Không có tuyến đường _direct_ từ B1 đến A1. Có một tuyến đường từ B1 đến A2 và lưu lượng truy cập quay trở lại qua cổng NAT đó.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.