有没有人能解释一下下面的情况?我通过Bastion主机连接到私有子网中的Ec2实例。然后,我创建了一个vpc网关端点来访问s3。我将所需的角色分配给ec2,并且完成了与s3的连接。我的问题是,私人子网中的Ec2实例如何从互联网下载一些东西?
VPC端点用于通过AWS网络而不是internet访问某个服务(在本例中为S3)。
如果你希望你的实例能够与internet通信,你需要在公共子网中配置NAT网关,并且你需要配置私有子网的路由表来将流量转发到NAT网关。
一个简单的解决方案是:
- 将所有内容放入公共子网
- 为Amazon EC2实例分配公共IP地址
- 使用安全组来保护Amazon EC2实例上的访问(即,只允许来自Bastion的入站连接)
有效的结果与使用私有子网相同,但是EC2实例将能够建立到Internet的出站连接(但不能建立入站连接,因此它仍然是安全的)。