如何让AWS VPC EC2实例能够查看AWS API?

Modified on: Fri, 12 Jul 2019 05:00:02 +0800

我们正在通过CloudFormation在AWS VPC内部启动基础架构。

我们正在使用自动扩展组来启动VPC-EC2实例(因此,我们不会直接调出实例; ASG会对其进行管理)。

在PVC内部,EC2实例只有私有IP; 他们在没有进一步工作的情况下无法看到外面的世界

当这些实例启动时,我们有一些需要与各种AWS API通信的引导任务。我们还有一些需要AWS API流量的持续任务。

你是如何解决这个明显的鸡蛋问题?

我们读过:

  • NAT实例 - 但不要那么喜欢它,因为它是我们堆栈的另一层。
  • 为需要通话的每个VPC实例分配弹性IP - 但是a)它们都这样做,并且b)由于我们使用的是ASG,我们不知道在供应时分配EIP的实例,以及c)我们需要设置一些东西来监控这些ASG并在实例终止和替换时分配EIP
  • 启动实例(实际上,负载平衡对,可能跨越AZ)以充当所有API流量的AWS-API代理

我想我想知道是否有某种后门我们可以打开,允许我们的VPC EC2实例访问AWS API端点,但没有其他任何东西,对于廉价复杂的设置,不会添加另一个网络-hop层到我们的基础设施来提供请求。

最佳答案

您已经介绍了在私有子网中获取VPC实例与外界通信的主要方法。

  1. 将私有子网的Internet流量路由到连接到办公室的VPN隧道,然后可以访问互联网的其余部分。不理想,因为它需要一个永远在VPN隧道和办公室的额外跳跃。
  2. 醇>

    我建议使用NAT实例,这是建议的设置,用于访问私有子网内的计算机。它们是按子网配置的,因此您的计算机在启动时无需了解其配置。只需确保使用m1.large或更大的实例来获得更高的网络吞吐量(vs m1.small)

作者:Flashman

相关问答

添加新评论