我用一个公有子网和一个私有子网创build了一个VPC。 私有子网不能直接访问外部networking。 因此,在公有子网中有一个NAT服务器,用于将私有子网的所有出站stream量转发到外部networking。 目前,我可以从公有子网到私有子网,也可以从NAT到私有子网的SSH。 但是,我想要的是从任何机器(家用笔记本电脑,办公机器和移动)到私有子网中的实例的SSH。 我已经做了一些研究,我可以设置NAT框转发SSH到私有子网中的实例。 但是我没有这个运气。 任何人都可以列出我需要设置,使之成为可能。 命名是: 笔记本电脑(VPC之外的任何设备) NAT(公有子网中的NAT服务器) 目的地(我想要连接的私人子网中的服务器) 不确定以下是限制与否: “目的地”没有公共IP,只有一个子网ip,例如10.0.0.1“目的地”不能通过nat的公共连接到“nat”。 有几个“目标”服务器,我需要为每个服务器设置一个? 谢谢
现在, 亚马逊已经扩展了对VPC的IPv6支持,包括eu-west-1在内的全球大部分地区,我试图让我的实例连接起来。 不幸的是我不能路由工作。 我遵循迁移指南中的步骤,即我已经将IPv6 CIDR关联到我们的VPC,将其一部分分配给我们的“公共”子网,更新了VPC路由表以通过igw发送::/0互联网网关),确保将路由表分配给公有子网,并从控制台为新的Ubuntu 16.04实例分配IPv6地址。 然后,我通过将iface eth0 inet6 dhcp添加到networking设置并重新启动,将Ubuntuconfiguration为通过DHCPv6获取分配的地址。 当我重新启动实例时,启动需要几分钟的时间,但最终我可以login并显示ip as显示configuration的IPv4和全局IPv6地址。 但是,v6networking不工作: # ping6 www.google.com connect: Network is unreachable 路由表确实缺less默认路由: # ip -6 route 2001:DB8:1234:1234:1234:1234:1234:1234 dev eth0 proto kernel metric 256 fe80::/64 dev eth0 proto kernel metric 256 mtu 9001 手动添加默认的v6路由,通过ip -6 route add default dev eth0导致一个路由表,看起来是正确的: # ip -6 route 2001:DB8:1234:1234:1234:1234:1234:1234 dev eth0 […]
我正在尝试在Amazon Linux上使用OpenVPN将本地LAN连接到EC2上的VPC。 我有从OpenVPN实例到LAN上的任何机器的stream量,但VPC上的其他机器没有看到来自LAN的stream量。 这是一个networking的修剪版本: Local network / EC2 VPC, 10.2.0.*/255.255.255.0 10.1.0.*/ ,' 255.255.255.0 ,' .' | +—————+ | | OpenVPN on | | | firewall XXX | +—————+ | 10.1.0.1 | XXXX | OpenVPN server| +——`.——-+ \ XX 10.2.0.10 `-. +————-+ \ '. +—————+ `-. Second server +——–`.—+ | | 10.2.0.12 | |Local server | […]
我有一个包含2个实例的私有子网的Amazon VPC设置。 其中一个redis运行在它上面,另一个我想用来连接到redis服务器的实例。 我有redis实例侦听端口6123.当我在Redis实例本地连接,一切正常,但是当我尝试从子网上的其他实例连接时,我得到: Connection refused – Unable to connect to Redis 我设置了两个单独的VPC安全组,一个用于redis服务器,允许端口6123上的入站连接使用另一个实例的安全组作为源。 同样,我向另一个实例的安全组添加了一条规则,以允许端口6123上的出站stream量到redis实例(使用redis实例的安全组作为目标)。 有什么我忘记在这里? 另一个我必须补充的规则? 或者我需要设置一个特殊的路线? 谢谢你的帮助/指导,汤姆
我在VPC的Amazon EC2内部有一组服务器。 在这个VPC内部,我有一个私有子网和一个公有子网。 在公共子网中,我在t2.micro实例上build立了一个基本上运行这个NAT脚本的NAT机器,将规则注入到iptables中。 从私人子网内的机器上从互联网上下载文件可以正常工作。 但是,我将直接从我的NAT机器上的外部高带宽FTP服务器上的文件的下载速度与我私有子网内的机器(通过同一个NAT机器)的下载速度进行了比较。 有一个非常显着的差异:从NAT机器大约10MB / s,从私有子网内的机器下载1MB / s。 NAT机器上没有CPU使用,所以这不是瓶颈。 当用较大的机器(具有“中等networking性能”的m3.medium和具有“高networking性能”的m3.xlarge)尝试相同的testing时,我也不能获得大于2.5MB / s的下载速度。 这是一个一般的NAT问题,可以(也应该)调整? performance下降从何而来? 更新 通过一些testing,我可以缩小这个问题的范围。 从2013年起,当我使用Ubuntu 12.04或Amazon Linux NAT机器时,即使在最小的t2.micro实例上,一切运行也能顺利进行,并获得完整的下载速度。 无论我使用PV还是HVM机器都无关紧要。 这个问题似乎与内核有关。 这些旧机器具有内核版本3.4.x,而较新的Amazon Linux NAT机器或Ubunut 14.XX具有内核版本3.14.XX。 有什么方法可以调整较新的机器吗?
我有一个这样的小脚本来configurationiptables: #!/bin/bash PRE_STR="iptables -t nat -A PREROUTING -p tcp -j DNAT" FOR_STR="iptables -A FORWARD -p tcp -j ACCEPT" ##################################### # instances CM="10.0.1.137" MASTER="10.0.1.149" MYSQL="10.0.1.83" REPORTING="10.0.1.85" ##################################### # Clear Iptables iptables -F iptables -t nat -F ##################################### # Forward to enable Internet on private nodes iptables -t nat -A POSTROUTING -j MASQUERADE ##################################### # Port forwarding […]
我开始了解VPC,但没有看到一个好的内部DNS解决scheme。 例如,我们使用VPC中的其他服务器连接的非RDS数据库服务器。 我想通过名称来连接,而不是IP。 部分是这样,我可以得到一个内部10.xxx地址,这大概是更快。 大多数情况下,它使configuration更容易,更清晰,更灵活。 在过去的一段时间(大约在2008年),VPC之前,我有一台运行MaraDNS的服务器,我们在启动和更改实例时会更新,这是一个很大的麻烦,特别是因为服务器会获得自己的DHCP分配的内部地址当他们重新启动,只是因为这是另一件事处理。 我运行不同系统的一些同事认为我是一个傻瓜,他们只是更新了/ etc / hosts文件(这很好,直到出现故障,所有的服务器都返回了新的IP地址)。 我应该看看Route53(我们正在做我们所有的公共DNS),还是有我缺less的东西? 更新:2017年 – 内部DNS现在是Route 53的function。Woot!