嗨,我有一个简单的问题,
我尝试使用以下配置在AWS中构建1个ubuntu Web服务器实例: 1个Ubuntu实例,带有2个网络接口,1个接口用于公共(http和https)(eth0),另一个用于mgmt控制台(ssh:22)(eth1),每个接口都有弹性IP。
用于安全组配置:
eth0 have inbound for port 80 and 443 from any ip
while eth1 have inbound for port 22 from any ip
下面是我的界面 - VPC配置。
- public interface (eth0) and mgmt interface (eth1) is at the same VPC but different subnet.
eth0 is at public subnet with public route table (local and internet gateway)
eth1 is at private subnet with public route table (local and internet gateway) *later i will change with pvt subnet and allow access only through vpn.
所以现在的问题是: 以上是行不通的...任何想法为什么? 或者,如果你能看到我想要实现的目标,那么你有更好的想法或设计吗?
提前谢谢! 和
答案 0 :(得分:0)
你会遇到很多不必要的麻烦。除了公共地址(如果有公共地址),VPC中的实例仍然拥有私人地址,并且您将来可以使用该地址进行管理。
为http / s和ssh设置单独的地址不会增加安全性 - 它只会增加隐匿性。
为什么它不起作用的答案可能在于返回流量的非对称路由。禁用实例的IP源/目标检查可能会使其工作;否则你可能需要一些策略路由来让响应留在正确的接口上。
此外,具有指向Internet网关对象的默认路由的子网按照定义而不是私有子网。私有子网使用NAT实例作为其默认路由,公共地址不在私有子网上工作。