所以,我在SonicWall TZ105和我的AWS VPC之间configuration了一个VPN通道。 没有问题,它的效果很好,就它而言。
我不知道该怎么做,是让我的EC2实例进入我的VPC,访问互联网。 我希望我的EC2实例(只有私有IP)能够通过SonicWall路由stream量,并能够访问互联网。
我想我需要一些路由和NAT策略的组合,来做到这一点?
任何人都可以提供一个线索吗?
谢谢!
虽然你可能会或可能不会做所有的事情,但你的设置基本上与VPC场景3相同。
简而言之…
创build一个新的VPC路由表。
设置其默认路由(0.0.0.0/0)指向您的Sonicwall,它将在VPC内部分配一个虚拟专用网关标识符 – 看起来像vgw-xxxxxxxx 。
将没有公共IP地址的实例所在的子网与这个新的路由表关联起来。
您不需要在AWS端configuration任何路由,以允许来自隧道的stream量到达实例。 这在VPC中始终是可能的 – 就路由而言,VPN是可信的,所以将入站stream量路由到实例所在的子网是隐含的。
这会将来自VPC实例的互联网绑定stream量从VPN连接中发出,其私有IP地址保持不变。 Sonicwall将需要configuration为对stream量进行必要的networking地址转换,以便使用Sonicwall的公共IP地址访问互联网 – 在macros大计划中,希望这是该设置中最直接的一部分。
见http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html
请注意,如果您现在或未来希望VPC中的EC2实例拥有AWS分配的公有IP地址,则需要将这些实例放置在VPC中的不同子网上。 这些子网(称为公共子网)使用VPC的Internet网关对象( igw-xxxxxxxx )进行互联网访问和访问。
还要注意的是,如果您正在使用AWS服务,如DynamoDB,SNS,SQS等,您可能需要在VPC中使用NAT实例或NAT网关,以允许某种级别的出站Internetstream量通过您的VPN将path短路因为几乎所有的AWS服务,即使在该地区内,都要求您的实例能够访问“Internet”以获得它们。 (S3是一个例外,它允许创build一个VPC“端点”,以避免访问Internet)。 如果您通过回拨您的VPN连接来访问这些服务,则会增加成本和延迟,因为您将通过将其路由到AWS区域之外并返回,从而不必要地支付双向stream量。
最后,请注意,在排除故障时,您会发现默认情况下,VPC中的DNSparsing始终有效,即使路由的其余部分完全和绝对错误…因为DNSparsing由VPC内的一些隐藏的networking魔法。 不要让DNS工作的事实混淆你。 (例如:“主机x解决了问题,但是我实际上无法ping通” – 是的,它几乎肯定会解决的,这个事实并不一定就你的networkingconfiguration说什么。)