我正在考虑locking现有的AWS设置。 目前,所有内容都在一个默认的VPC(testing,分期,制作)以及所有公共子网内。
我的计划是利用公共和私有子网将3个环境分成3个不同的VPC。
我们还希望限制对服务器的访问,因为目前他们拥有公有IP,任何人都可以访问。 理想情况下,我只是做IP白名单,但是这是一个远程团队,他们在各地工作,所以我有dynamic的IPs来抗衡。
我的计划是使用一个OpenVPN实例,并让人们通过它连接。 从我非常有限的理解(软件工程师背景,非常有限的networking经验),这应该工作。
我的问题是 ,我们将有3个VPC,并且VPN实例将需要住在其中一个。 我应该如何通过VPN访问其他2个VPC? 这是最好的方法(直接访问),或者我应该每个VPC有一个VPN连接。 后者似乎矫枉过正,但我不确定。
谢谢。
编辑:或者另一个select是只有一个VPC,但隔离使用子网的testing,分段和生产? 我读到有几个人这样做,虽然不理想。
最好的select是实际利用AWS已经包含在他们的VPC设置的VPN。 从已经build立你想要做的事情说起。 假设您的用户连接到一个中央位置,如办公室或数据中心是一个选项。 如果不是,则下面的设置的扩展版本将工作,添加另一个VPN实例供人们连接。
如果您还需要VPC互相交谈,则您需要设置多个VPN实例,每个VPC至less一个,最好多个VPN实例,但要做到这一点,您需要另一个实例来控制故障转移并使用新path更新AWS的路由表。
选项1:
一个中央VPN服务器,供用户在AWS中连接到其上创build的隧道,以将stream量路由到其他VPC。 您将需要在单独的VPC中创buildVPN隧道的其他实例。
选项2:
供用户在AWS中连接的中央VPN服务器。 每个VPC使用一个或多个其他VPN实例设置隧道以连接到其他VPC。
备选案文3:
AWS VPNfunction连接到设置用户VPN的中心局或数据中心。 AWS中的一个或多个VPN实例,并且为VPC之间的连接build立了隧道。
亚马逊很遗憾没有VPC之间的VPN设置,所以在我build议使用隧道的情况下,至less每个隧道设置都需要一组实例。
实际上,我认为可以在此AWS文档中find答案: 包含到整个CIDR块的路由的configuration
在这个configuration之后,我能够运行一个VPN实例
在与具有我的VPN盒的子网相关联的路由表中添加对等连接的路由,与我想要访问的盒所在的对等VPC的子网上的相同方式相同
我能够ssh进入那些没有问题的框