Wie kann ich eine Amazon EC2-Instanz in einer VPC (Virtual Private Cloud) ohne NAT konfigurieren?

406
Amos Shapira

Ich brauche einen Server im Netzwerk, der eine direkte öffentliche IP-Adresse hat, nicht hinter NAT.

Ich möchte Amazon EC2 wegen seiner Flexibilität und meiner Vertrautheit damit nutzen.

Soweit ich bisher lesen kann, können alle aktuellen AWS-Konten Amazon EC2-Instanzen nur innerhalb von VPCs (Virtual Private Cloud) mit NAT-Gateways starten. Es gibt keine Option zum Starten von "Classic EC2", bei dem die Instanz direkt vorhanden ist öffentliche IP-Adresse zugewiesen.

Ich habe mir Elastic IP's und Elastic Network Interfaces angeschaut, aber anscheinend haben sie nur eine gewisse Kontrolle über die öffentliche IP-Zuweisung.

Gibt es eine Möglichkeit, das zu erreichen, was ich brauche, oder sollte ich nach einer anderen Hosting-Lösung suchen?

0

1 Antwort auf die Frage

1
JakeGould

Sie fragen das:

Gibt es eine Möglichkeit, das zu erreichen, was ich brauche, oder sollte ich nach einer anderen Hosting-Lösung suchen?

Ich fürchte, Sie können das mit Amazon EC2 nicht mehr machen. Hier ist ein Auszug aus der Seite "Amazon EC2 Instance IP Addressing" ; Kühne Betonung ist Geist:

Sie können die öffentliche IP-Adresse nach dem Start nicht manuell von Ihrer Instanz trennen. Stattdessen wird es in bestimmten Fällen automatisch freigegeben, danach können Sie es nicht wiederverwenden. Weitere Informationen finden Sie unter Öffentliche IP-Adressen und Externe DNS-Hostnamen. Wenn Sie eine dauerhafte öffentliche IP-Adresse benötigen, die Sie nach Belieben zuordnen oder trennen können, weisen Sie der Instanz nach dem Start stattdessen eine Elastic-IP-Adresse zu. Weitere Informationen finden Sie unter Elastische IP-Adressen.

Dies bedeutet im Wesentlichen, dass der Amazon EC2-Pool letztendlich aus NAT besteht und alle Verbindungen über DHCP hergestellt werden. Dies ist die einzige Möglichkeit, statische IP-Adressen zu erhalten - oder, wie sie es als "persistent" bezeichnen, über ihren Elastic IP-Adressdienst.

Weitere Informationen zu elastischen IP-Adressen und zur Verwendung von VPCs finden Sie in diesem Dokument .

Danke @JakeGould. Ich vermute, das war die Antwort, die ich gehofft hatte, nicht zu hören;). Ich mache mir keine Sorgen über die dauerhafte IP-Adresse, sondern mehr darüber, dass der Netzwerkverkehr vollständig zum Server übertragen wird. Ich habe EIP nur in der Hoffnung ausprobiert, in der Hoffnung, dass ich das NAT vermeiden kann. Nachdem ich diese Frage geschrieben hatte, wurde mir klar, dass ich auch auf meinem NAT-Laptop zu Hause den gewünschten Verkehrsfluss erzielen kann. Das Internet Gateway hat etwas, was den von mir gewünschten Datenverkehr blockiert. Amos Shapira vor 8 Jahren 0
@AmosShapira ** „… freier Netzwerkverkehr zum Server.“ ** Ihr Anliegen ist daher die interne VPC-Adresse und die Unfähigkeit, sie zwischen den Instanzen auf dieser internen Schnittstelle zu blockieren. JakeGould vor 8 Jahren 0
Nein, das ist nicht meine Sache. Sicherheit ist kein Problem, wenn ich experimentiere. Zum Beispiel experimentiere ich mit Tools wie tcptraceroute und sehe, dass ich auf meinem Laptop eine Antwort von allen Hops zwischen mir und beispielsweise google.com port 80 erhalten kann, aber tcptraceroute auf einem EC2-Server viele Hops vermisst. Ich vermute, dass dies am Internet Gateway liegt. Amos Shapira vor 8 Jahren 0
@AmosShapira Du meinst Hops, die nicht mit einer IP wie "???" mit leeren Ergebnissen und solchen antworten? JakeGould vor 8 Jahren 0
richtig (außer, dass auf meinem Ubuntu-Server fehlende Hops durch "*" für jeden nicht beantworteten Test dargestellt werden). Amos Shapira vor 8 Jahren 0
Übrigens - Ich lese über GCE und sehe, dass sie eine Option für "Protokollweiterleitung" bieten, die sich anhört, was ich verwenden könnte, wenn der Standard-Lastausgleich nicht ausreicht: https://cloud.google.com/compute/ docs / Protokoll-Weiterleitung / Amos Shapira vor 8 Jahren 0
@AmosShapira Ich verwende [`mtr`] (http://ss64.com/bash/mtr.html) (Mein Traceroute), damit` ??? `mein` * `Äquivalent ist. Viel Glück dabei! JakeGould vor 8 Jahren 0
@AmosShapira fehlende Hops auf einer Traceroute bedeuten nicht, dass etwas gefiltert wird. Sie sehen ein Problem, bei dem kein Problem vorliegt, oder Sie diagnostizieren das Problem falsch, wenn ein Problem vorliegt. Das Internet Gateway-Objekt blockiert den Verkehr nicht. Auch die klassischen EC2-Instanzen wurden auf dieselbe Weise behandelt. Die Maschine selbst hatte nur eine private Adresse. Sie sollten erläutern, welcher Verkehr, den Sie für blockiert halten möchten. Michael - sqlbot vor 8 Jahren 1

Verwandte Probleme