aws(学习笔记第七课) 私有子网使用NAT服务器

已于 2024-10-20 10:01:04 修改
阅读量1.2k 收藏 17
点赞数 14
分类专栏: aws 文章标签: aws 学习 笔记
于 2024-10-20 09:57:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sealaugh1980/article/details/143084045
版权

aws(学习笔记第七课)

  • AWS的私有子网使用NAT服务器

学习内容:

  • AWS的私有子网使用NAT服务器

1. AWS的私有子网使用NAT服务器

在上面的例子的网络构成图中,可能会发现一个问题。就是Private SubnetApache server无法访问互联网。比如,当需要软件更新的时候,或者访问其他web service的时候,不能实现互联网访问。那么有实现同时让Apache Server躲在堡垒机后面(没有公网IP地址),还能兼顾访问互联网吗,这个解决方案就是NAT服务。

在这里插入图片描述

  1. 首先学习什么是NAT

    • 学习参考

    • NAT的概念
      网络地址转换(NAT)是一种网络技术,用于在不同网络之间转换IP地址。它主要解决了IPv4地址短缺的问题,同时也可以增强网络安全性和提高网络性能。通过在路由器或防火墙设备上配置NAT,可以实现私有网络和公共网络之间的IP地址转换,从而隐藏内部网络的真实拓扑结构。

      • 静态NAT
        静态 NAT:一对一映射,将一个私有IP地址映射到一个公共IP地址。在这里插入图片描述
      • 动态NAT
        动态分配公共IP地址给私有IP地址,使得多个私有IP地址可以共享少量公共IP地址。在这里插入图片描述

    • SNATDNAT

      • SNAT
        SNAT 又称源地址转换。源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。
        • 数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP。
        • 当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。
      • DNAT
        DNAT 又称目标地址转换。将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问。
        • 数据包从外网发送到内网时,DNAT会把数据包的目标地址由公网IP转换成私网IP。
        • 当相应的数据包从内网发送到公网时,会把数据包的源地址由私网IP转换为公网IP。

    • AWS中的NAT实现

      • 实现之后的网络结构
        在这个结构中,位于私有子网的Apache Server没有直接访问互联网的路由,如果访问互联网0.0.0.0的场合,将其路由到公网的NAT Server,这样经过NAT Server的网络转换,同样能访问互联网。
        在这里插入图片描述

    • 定义NAT Server以及Apache Server的路由指向

      • 定义NAT Server所在的subnet

        		"SubnetPublicNAT": {
         
			"Type": "AWS::EC2::Subnet",
			"Properties": {
         
				"AvailabilityZone": {
         "Fn::Select": ["0", {
         "Fn::GetAZs": ""}]},
				"CidrBlock": "10.0.0.0/24",
				"VpcId": {
         "Ref": "VPC"}
			}
		},
		"RouteTablePublicNAT": {
         
			"Type": "AWS::EC2::RouteTable",
			"Properties": {
         
				"VpcId": {
         "Ref": "VPC"}
			}
		},
		"RouteTableAssociationPublicNAT": {
         
			"Type": "AWS::EC2::SubnetRouteTableAssociation",
			"Properties": {
         
				"SubnetId": {
         "Ref": "SubnetPublicNAT"},
				"RouteTableId": {
         "Ref": "RouteTablePublicNAT"}
			}
		},
		"RoutePublicNATToInternet": {
         
			"Type": "AWS::EC2::Route",
			"Properties": {
         
				"RouteTableId": {
         "Ref": "RouteTablePublicNAT"},
				"DestinationCidrBlock": "0.0.0.0/0",
				"GatewayId": {
         "Ref": "InternetGateway"}
			},
			"DependsOn": "VPCGatewayAttachment"
		},
		"NetworkAclPublicNAT": {
         
			"Type": "AWS::EC2::NetworkAcl",
			"Properties": {
         
				"VpcId": {
         "Ref": "VPC"}
			}
		},
		"SubnetNetworkAclAssociationPublicNAT": {
         
			"Type": "AWS::EC2::SubnetNetworkAclAssociation",
			"Properties": {
         
				"SubnetId": {
         "Ref": "SubnetPublicNAT"},
				"NetworkAclId": {
         "Ref": "NetworkAclPublicNAT"}
			}
		},
		"NetworkAclEntryInPublicNATHTTP": {
         
			"Type": "AWS::EC2::NetworkAclEntry",
			"Properties": {
         
				"NetworkAclId": {
         "Ref": "NetworkAclPublicNAT"},
				"RuleNumber": "100",
				"Protocol": "6",
				"PortRange": {
         
					"From": "80",
					"To": "80"
				},
				"RuleAction": "allow",
				"Egress": "false",
				"CidrBlock": "10.0.0.0/16"
			}
		},
		"NetworkAclEntryInPublicNATHTTPS": {
         
			"Type": "AWS::EC2::NetworkAclEntry",
			"Properties": {
         
				"NetworkAclId": {
         "Ref": "NetworkAclPublicNAT"},
				"RuleNumber": "110",
				"Protocol": "6",
				"PortRange": {
         
					"From": "443",
					"To": "443"
				},
				"RuleAction": "allow",
				"Egress": "false",
				"CidrBlock": "10.0.0.0/16"
			}
		},
		"NetworkAclEntryInPublicNATEphemeralPorts": {
         
			"Type": "AWS::EC2::NetworkAclEntry",
			"Properties": {
         
				"NetworkAclId": {
         "Ref": "NetworkAclPublicNAT"},
				"RuleNumber": "200",
				"Protocol": "6",
				"PortRange": {
         
					"From": "1024",
					"To": "65535"
				},
				"RuleAction": "allow",
				"Egress": "false",
				"CidrBlock": "0.0.0.0/0"
			}
		},
		"NetworkAclEntryOutPublicNATHTTP": {
         
			"Type": "AWS::EC2::NetworkAclEntry",
			"Properties": {
         
				"NetworkAclId": {
         "Ref": "NetworkAclPublicNAT"},
				"RuleNumber": "100",
				"Protocol": "6",
				"PortRange": {
         
					"From": "80",
					"To": "80"
				},
				"RuleAction": "allow",
				"Egress": "true",
				"CidrBlock": "0.0.0.0/0"
			}
		},
		"NetworkAclEntryOutPublicNATHTTPS": {
         
			"Type": "AWS::EC2::NetworkAclEntry",
			"Properties": {
         
				"NetworkAclId": {
         "Ref": "NetworkAclPublicNAT"},
				"RuleNumber": "110",
				"Protocol": "6",
				"PortRange": {
         
					"From": "443",
					"To": "443"
				},
				"RuleAction": "allow",
				"Egress": "true",
				"CidrBlock": "0.0.0.0/0"
			}
		},
		"NetworkAclEntryOutPublicNATEphemeralPorts": {
         
			"Type": "AWS::EC2::NetworkAclEntry",
			"Properties": {
         
				"NetworkAclId": {
         "Ref": "NetworkAclPublicNAT"},
				"RuleNumber": "200",
				"Protocol": "6",
				"PortRange": {
         
					"From": "1024",
					"To": "65535"
				},
				"RuleAction": "allow",
				"Egress": "true",
				"CidrBlock": "0.0.0.0/0"
			}
		},

      • 定义NAT Server

        		"NatServer": {
         
			"Type": "AWS::EC2::Instance",
			"Properties": {
         
				"ImageId": {
         "Fn::FindInMap": ["EC2RegionMap", {
         "Ref": "AWS::Region"}, "AmazonLinuxNATAMIHVMEBSBacked64bit"]},
				"InstanceType": "t2.micro",
				"KeyName": {
         "Ref": "KeyName"},
				"NetworkInterfaces": [{
         
					"AssociatePublicIpAddress": "true",
					"DeleteOnTermination": "true",
					"SubnetId": {
         "Ref": "SubnetPublicNAT"},
					"DeviceIndex": "0",
					"GroupSet": [{
         "Ref": "SecurityGroup"}]
				}],
				"SourceDestCheck": "false",
				"UserData": {
         "Fn::Base64": {
         "Fn::Join": ["", [
					"#!/bin/bash -ex\n",
					"/opt/aws/bin/cfn-signal --stack ", {
         "Ref": "AWS::StackName"}, " --resource NatServer --region ", {
         "Ref": "AWS::Region"}, "\n"
				]]}}
			},
			"DependsOn": "VPCGatewayAttachment"
		},

      • Apache Server的互联网0.0.0.0的连接路由指向NAT Server

        		"RoutePrivateApacheToInternet": {
         
			"Type"
最低0.47元/天 解锁文章
AWS 中文入门开发教学 22- NAT 还是真贵 - 注意了,不要无意中被氪金
weixin_43487849的博客
08-26 203
知识点 NAT使用注意点 -> 用完就删 实战演习 确认NAT费用 用完赶紧删除
aws vpc nat_将NAT添加到您的AWS VPC
danpob13624的博客
04-30 369
aws vpc nat 在上一篇文章中,我描述了如何使用AWS设置具有私有和公共子网的VPC 。 在帖子中,我展示了一个基本配置,在该配置中,我们看到专用子网中的实例无法访问Internet,例如,运行“ yum update”是必需的。 在本文中,我将向您展示一种解决方法,可以通过在VPC中添加NAT实例并使私有子网中的EC2实例使用该实例来访问Internet资源。 这是我在上一篇文章中...
AWS NAT Gateway 使用简记
艾希射日
04-06 1万+
最近项目遇到个需求,需要将后端的服务器出口统一成一个 IP,服务器AWS 上,这个可以用 AWSNAT Gateway 实现,调研实施的过程中发现如果对 AWS 相关概念的话不熟悉还是会绕点路的,简单整理下 NAT Gateway 的使用,希望对需要的小伙伴有帮助。 一. 相关概念简介 1. NAT Gateway NAT Gateway(网络地址转换网关) 主要用来对一组私有子网内的服...
AWS ***************NAT
tycoon的专栏
08-08 1349
NAT 实例 您在 Virtual Private Cloud (VPC) 内的私有子网内启动的实例无法与 Internet 通信。您可以选择使用在您的 VPC 的公有子网内的网络地址转换 (NAT) 实例来启动私有子网中的实例,以启动到 Internet 的出站数据流,以及拒绝接收由 Internet 中其他用户启动的入站数据流。
AWS中创建NAT节点
weixin_34161064的博客
01-18 509
NAT, Network Address Translation,即网络地址转换。当内部网络的主机想要访问外网,但是又不想直接暴露给公网,可以通过NAT节点来访问外网。这样做有两个好处,第一是内网的主机无需拥有公网IP就可访问网络(NAT节点需要公网IP),节约了公网IP;第二是内网的主机由于没有公网IP,所以公网的电脑无法访问到它,这样就可以隐藏自己。一个很经典的示例是假如你有一台数据库服务...
NAT添加到您的AWS VPC
danpob13624的博客
04-06 273
在上一篇文章中,我介绍了如何通过AWS设置具有私有和公共子网的VPC 。 在帖子中,我展示了一个基本配置,在该配置中,我们看到专用子网中的实例无法访问Internet,例如,这对于运行“ yum update”是必需的。 在本文中,我将向您展示一种解决方法,方法是在VPC中添加一个NAT实例,并使私有子网中的EC2实例使用该实例访问Internet资源。 这是我在上一篇文章中使用的图表: ...
aws(学习笔记第六课) AWS的虚拟私有,共有子网以及ACL,定义公网碉堡主机子网以及varnish反向代理
最新发布
sealaugh32的专栏
10-14 1073
整体网络拓扑(这里右边的共有子网使用varnish进行反向代理,公开私有子网的逐步创建VPC以及其他服务创建VPC和IGW"VPC": {},},},创建堡垒机子网(共有子网)BastionCidrBlock是定义,堡垒机子网能够访问internet。,定义internet的其他主机能够访问使用22端口访问(入站规则,,定义VPC主机能够访问使用随机端口访问(入站规则,,定义堡垒子网的主机能够通过22端口访问其他主机(出站规则,,定义internet的主机,能够访问使用随机端口访问(出站规则,
2019 AWS认证解决方案架构师学习笔记精要
笔记中涉及了VPC(虚拟私有云)、子网、路由表、NAT网关等网络构建组件,以及AWS Direct Connect、API网关等内容分发技术。 7. 管理与监控工具 为了确保AWS服务的稳定运行,学习笔记介绍了各种管理和监控工具,例如...
AWS学习笔记——Chapter3 Virtual Private Cloud
坚果壳的学习之旅
11-07 806
Virtual Private Cloud You can do the following things by having a virtual private network: ·       Have some of the applications running in the cloud within VPC and some ...
AWS Technical Essentials + Architecting on AWS 培训概要笔记
Zcoder`Blog
04-29 6243
目录 一、AWS简介与历史 二、AWS Region、AZ、Edge Location 三、安全性、身份和访问管理IAM 1. AWS CloudTrail 四、AWS存储服务 1. Amazon S3 2. Amazon EBS 3.Amazon EFS 4.EC2实例存储 五、AWS数据库服务 1. 区别SQL和NoSQL数据库 2. Amazon RDS 3....
AWS私有子网访问互联网之-NAT网关
qq522044637的博客
08-20 4688
NAT网关基础 NAT 网关是一种网络地址转换 (NAT) 服务。您可以使用 NAT 网关,以便私有子网中的实例可以连接到 VPC 外部的服务,但外部服务无法启动与这些实例的连接。 NAT 网关将实例的源 IPv4 地址替换为 NAT 网关的私有 IP 地址。向实例发送响应流量时,NAT 设备会将地址转换回原始源 IPv4 地址。 在创建 NAT 网关时,您指定以下连接类型之一: 公开–(默认)私有子网中的实例可以通过公共 NAT 网关连接到互联网,但不能接收来自互联网的未经请求的入站连接。您.
AWS-创建具有公有子网和私有子网的VPC
kozazyh的专栏
05-13 9060
如果您希望运行面向公众的 Web 应用程序,并同时保留不可公开访问的后端服务器,我们建议您配置包括一个有公有子网和私有子网的 Virtual Private Cloud (VPC)。常用例子是一个多层网站,其 Web 服务器位于公有子网之内,数据库服务器则位于私有子网之内。您可以设置安全性和路由,以使 Web 服务器能够与数据库服务器建立通信。 公有子网中的实例可直接...
关于AWS VPC NAT Gateway,看这篇文章就够了
华 英雄
03-26 7295
轻松上手云计算:AWS网络环境-VPC进阶篇 前文中我们讲到了 AWS 的网络环境 VPC,以及组成 VPC 的公有子网、私有子网。公有子网中的实例可直接与 Internet 通信,而私有子网不能。公有子网和私有子网是如何划分的呢? 公有子网和私有子网由何而来 AWS 中并没有一个属性来直接标识一个子网是公有子网还是私有子网,那么公有子网和私有子网由何而来? 对此需要先了解三个概念:路由表...
aws-vpc-nat网关(私有子网访问Internet)
大鹅的博客
11-01 1391
ssh测试 :(可以通过同一vpc,有公网的机器ssh 密钥文件的方式登录私网机器)查看私网机器出网ip 即为nat网关地址。记得安全组放开,以及子网的acl策略。
AWS 认证考试系列 - 知识点 - nat网关介绍
customservice的博客
05-17 459
AWSNAT网关(NAT Gateway)是一种托管式网络地址转换(NAT)服务,可为私有云中的 EC2 实例提供互联网连接。NAT网关使私有子网中的实例可以直接与互联网进行通信,而无需暴露其公共 IP 地址。NAT网关将流量路由到互联网并对响应流量进行 NAT,以确保发往私有子网中的实例的流量只通过单个专用 IP 地址进行传输。此外,AWSNAT网关还支持多AZ的高可用性,确保服务的连续性和稳定性。AWSNAT网关是一种强大且稳定的服务,可以帮助您构建更加安全和可靠的云基础架构。
AWS NAT gateway、NAT intance 以及与ELB的比较
Tom098的博客
05-29 1906
NAT gateway 属于AWS managed service,支持高可用,支持最高可达10G的带宽。但是它只能处于一个AZ、一个subnet中。而ELB天生支持处于多个AZ,多个Subnet中,所以高可用角度看,ELB更高。 另外, NAT gateway和NAT instance用于从private subnet产生的流量访问internet, 而ELB用于从Internet产生的访问流量,进入vpc的private 或者 public subnet。 另外IGW(Internet gatewa
AWS入门实践-如何在AWS云上创建一个内外网隔离的生产环境
weixin_39108752的博客
04-12 2757
AWS 上建立一个内外网分离的生产环境,可以减少应用服务的暴露面,有效的保证你的应用服务器的安全。通常我们会将web应用放在外网的子网内,数据库服务器等放在内网的子网。我们将按照下图来部署动手实践环境,实现在public subnet的EC2虚拟机可以直接通过互联网可以访问,在Private subnet的EC2虚拟机不能通过互联网直接访问,但是却可以在内部来访问互联网安装应用等等。
企业级负载均衡解决方案之九:AWS CLB/ALB/NLB
热门推荐
cloudvtech的博客
06-02 1万+
一、前言
Terraform模块在AWS中配置公共和私有子网
标题中提到的“terraform-aws-dynamic-subnets”是一个Terraform模块,它专门用于在已有的Amazon Web Services (AWS) Virtual Private Cloud (VPC)环境中创建和管理公用(public)和专用(private)子网。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值