所以我一直试图在AWS EC2上使用Windows Server 2016 docker,默认情况下,当docker容器试图访问互联网时,它使用1024或更高的短暂端口范围? 是否有任何使窗口docker使用主机使用的标准短暂(dynamic)端口范围? 编辑 – 窗口上的docker容器本身没有exception的短暂端口范围。 它是主机上的NATnetworking,似乎是在低端口上发送的。
我已经在3个不同的AWS地区的3个pipe理VPC之间build立了IPSEC隧道。 每个地区都有额外的VPCs(dev / prod)与pipe理VPCs对等。 它被设置在一个集线器/发言像这样: DEV DEV ^ ^ | | MGMT2<—–>MGMT1<—->MGMT3 MGMT1是主要的VPC。 我们可以ping其他MGMT VPCs。 但是,从MGMT1 – > MGMT3 – > DEV的路线似乎不可用。 我不能平。 我可以从MGMT3 – > DEV平。 这个事实使我相信所有的路线都是正确的。 然而,尽pipeMGMT1连接到MGMT3并且通过对等路由表了解DEV,但MGMT1并不知道DEV。 我错过了什么吗? 谢谢! 编辑:所有的安全组是非常宽容的,通过在MGMT层和MGMT到DEV在相同的区域内ping通的能力来表示。
我们的工作区configuration了简单的AD / VPC和多个子网,并configuration了访问我们的VPC的VPN。 我想知道如何限制只有当他们login到VPN的用户工作区/客户端的访问。 查看文档和testing,看起来工作区客户端通过工作区网关,而不是通过build立的VPN连接。 你知道是否有办法限制这种访问,所以只允许来自VPN VPC子网的连接到桌面? 我们这样做是为了限制访问/执行MFA对环境的要求。 谢谢Nick
将弹性IP(EIP)与接口(而不是实例本身)配对有什么优势? 我明白了networking接口的重要性 – 您可以根据需要关联和取消关联它们,而不会丢失configuration。 但是,通过将它与实例分离并将其与新实例关联起来,您可以轻松地做到这一点,而不会有任何障碍。
我在AWS EC2上有一个OpenVPN AC服务器。 我使用这个VPN访问我的AWS VPC(虚拟私有云),在那里我有一台服务器,我只需要通过这个通道访问。 一切正常,我的客户端连接到服务器,并通过VPN获取所有的通信。 我的问题是,我不希望任何我的EC2实例访问互联网。 除了我的VPC中的可用服务之外,他们不能访问任何网页或networking服务。
我有多个VPC的设置,A,B和X. 在A&X和B&X之间有一个对等的连接,X在这两种情况下都是Peered VPC。 我已经将A和B的CIDR块添加到x的路由表和安全组中,并且我已经将A添加到A和B. DNSparsing和主机名在所有3上都启用。 我的问题是A&X可以相互ping通(使用私有IP和内部负载均衡器),但B&X不能。 他们有相同的设置排除CIDR块,以确保它们不重叠。 有什么我失踪/忽略在这里?
我有几个ec2实例的VPC。 每个人都有一个公共的ip +能够通过本地10.0.0.0networking互相通信+通过互联网网关上网。 我只需要在NAT网关的后面放置几个这样的实例,为其分配弹性IP,所以当它们连接到某个外部服务时,它们具有相同的公共IP。 问题是,我无法find一种方法来将VPC的某些成员放在此NAT网关的后面。 一般来说,我可以编辑VPC的路由表,就是这样。 我无法find创build另一个VPC的方法,只包含第一个VPC的某些成员。 那么最好的办法是什么? PS它是一个NAT网关,而不是一个NAT实例。 因此,我为VPC创build了一个新的子网,创build了一个新的networking接口并将其连接到其中一个实例:实例从此子网获得了新的IP,新路由自动创build: # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default ip-10-0-1-1.ec2 0.0.0.0 UG 0 0 0 eth0 default ip-10-0-200-1.e 0.0.0.0 UG 10001 0 0 eth1 10.0.1.0 * 255.255.255.0 U 0 0 0 eth0 10.0.200.0 * 255.255.255.0 U 0 0 0 […]
我build立了一个连接到VPC和内部networking的VPN连接,现在我要有多个VPC连接到该VPN(内部networking)。 每个VPC都不能使用一个VPN。 所以我必须将多个VPC连接到一个VPN。 正如我search“过境VPC”( https://aws.amazon.com/blogs/aws/aws-solution-transit-vpc/ )是这种情况下的一个解决scheme。 我想知道这是否是最好的方法,如果有其他解决scheme? 有没有人有与“运输VPC”的经验,可以给我一些提示? 我将不胜感激您的帮助。
我有一个奇怪的情况,我不知道如何解决。 通常这可以通过子网ACL来实现 – 但是它们不是有状态的。 我需要“回复”build立的数据包,以允许返回(如典型的防火墙) 我有一个公共和私人子网。 公众需要连接到互联网,所以我有出站允许0.0.0.0/0,但我想限制出站的特定子网(例如10.100.1.0/24和10.150.2.0/24) 我当然可以在ACL中设置它,因为它允许“拒绝”,但是它不允许回复数据包,因为它不是有状态的。 是在其他内部子网上用“入站”规则来控制这个唯一的select吗? 对于我们不同的networking来说,这样做会有更多的规则,因为只要将其限制在出站networking上就会更清洁。 任何想法都是受欢迎的,包括重新devise整个事情(这是绿地) 下面的评论要求进一步澄清环境需求,所以这里是要求我build立的环境: 把它想象成一个地方和DMZ: 公共子网10.200.0.0/24中的实例无法启动到私有子网10.100.0 / 24的新的出站连接。 私有子网10.100.0.0/24中的实例可以启动到公有子网的新的出站连接(ssh,部署代码等)。 公共子网需要自由发起到互联网的出站stream量 由于ACL的限制,如果我阻止从public> private出站,它将不允许返回数据包(因为它不是有状态的) 现在我唯一能想到的是在实例本身中依赖于iptables和windows防火墙,这是可能的,但是很难pipe理。 另一个想法是在EC2(更多$$)内部署软件防火墙,以有状态的方式允许/拒绝stream量。 另一台机器来pipe理。 另一个想法是让安全组拒绝来自公有子网的入站stream量进入专用子网的stream量,这个子网必须在私有子网内的所有实例上被允许。 问题是安全组没有拒绝规则。 再次不理想。 要么具有有状态ACL,要么允许安全组拒绝规则将完全解决问题。 不幸的是,在当前的AWS基础架构中都不可能。
我的DNS指向一个EC2弹性IP,我想开始使用新的VPC弹性IP。 是否可以将EC2弹性IP路由到AWS内的新VPC弹性IP,以便在更新DNS时旧IP将继续工作?