我正在学习AWS以及如何为EC2实例配置网络并提出一些问题。我在t2.micro实例中使用CentOS 7。
私有IP绑定到实例中的NIC,如ifconfig -a所示。目的似乎是服务器的单点联系。添加另一个网络接口不会添加另一个NIC,如ifconfig -a所示。由于主网络接口不能是静态IP,因此大多数配置都需要辅助网络接口。例如,要将应用程序连接到数据库服务器,请使用分配给第二个网络接口的静态IP。我能正确理解吗?
公共IP显示在AWS控制台中,并提供了通过SSH连接到实例的方法,假设您配置了SG。公共IP还提供访问互联网以进行系统更新的方法。这似乎与NAT的AWS文档相矛盾。如果公共IP已经提供了Internet访问,为什么需要NAT(实例或网关)?这是参考文档引用的系统更新。
您可以使用NAT设备启用私有子网中的实例以连接到Internet(例如,用于软件更新)或其他AWS服务,但阻止Internet启动与Internet的连接实例。 NAT设备将流量从私有子网中的实例转发到Internet或其他AWS服务,然后将响应发送回实例。
Connect按钮是否仍然允许您连接到它以管理服务器?在什么情况下,实例不具有公共IP?如何连接到该实例来管理它?我已阅读NAT Gateway文档并了解其中的大部分内容。我很难理解在启用互联网访问时需要NAT网关或互联网网关的部分,默认情况下这似乎已启用。我错过了什么?
答案 0 :(得分:9)
我认为你的困惑源于你的第三个问题。公共IP并不总是分配给实例。公共IP是可以在公共VPC子网中启用或禁用的选项,而在私有VPC子网中,公共IP根本不是选项。对于没有公共IP的EC2实例,需要NAT网关(或NAT实例)才能访问VPC之外的任何内容。
您可能希望在私有子网中放置类似数据库服务器的内容,以便VPC外部的任何内容都无法访问它。但是,您可能希望数据库服务器能够访问Internet以下载修补程序或其他内容,或者您可能希望它访问AWS API以将备份复制到S3或其他内容,在这种情况下,您需要NAT网关才能为服务器提供对VPC外部资源的访问权限。