? ? ? ? 應(yīng)用場景:在私有子網(wǎng)中啟動(dòng)了EC2實(shí)例山孔,從外部不能直接訪問該EC2實(shí)例,但是需要定期的對這個(gè)EC2實(shí)例進(jìn)行版本升級(jí)或更新台颠。這時(shí)候,由于該EC2實(shí)例放在了私有子網(wǎng)中,既不能從外界接收流量串前,也不能自發(fā)的對外部發(fā)出訪問流量瘫里。這種情況下就需要使用NAT實(shí)例或者NAT網(wǎng)關(guān),將私有子網(wǎng)中的EC2實(shí)例發(fā)出的流量導(dǎo)向外網(wǎng)荡碾,從而接受外部數(shù)據(jù)谨读。
? ? ? ? 使用NAT實(shí)例的時(shí)候,需要將NAT實(shí)例放在共有子網(wǎng)中坛吁,并且授予一個(gè)共有IP地址劳殖,同時(shí)對該實(shí)例需要關(guān)閉更改源目標(biāo)檢查。普通的實(shí)例或者是作為流量的接收方拨脉,或者是作為流量的發(fā)出方哆姻,當(dāng)關(guān)閉更改源/目標(biāo)檢查后,該NAT實(shí)例就會(huì)像一個(gè)橋梁一樣玫膀,先把私有子網(wǎng)中實(shí)例上發(fā)出的流量導(dǎo)出矛缨,然后接受外網(wǎng)的數(shù)據(jù),最后傳送給私有子網(wǎng)中的實(shí)例帖旨。并且NAT實(shí)例使用的安全組應(yīng)該允許接收從私有子網(wǎng)實(shí)例發(fā)出的流量箕昭,允許把從外網(wǎng)來的流量導(dǎo)出。
? ? ? ? NAT網(wǎng)關(guān)是AWS提供的NAT服務(wù)解阅,不需要客戶自己維護(hù)落竹,它提供更高的可用性以及高快帶性能,NAT網(wǎng)關(guān)具有暴發(fā)到10Gbps的快帶性能货抄。在創(chuàng)建NAT網(wǎng)關(guān)的時(shí)候筋量,它需要和一個(gè)Elastic IP彈性IP相綁定。NAT網(wǎng)關(guān)在某個(gè)可用區(qū)中創(chuàng)建之后碉熄,它會(huì)被自動(dòng)地創(chuàng)建另一個(gè)NAT網(wǎng)關(guān)在同一個(gè)可用區(qū)中,以此來保證NAT實(shí)例的高可用性肋拔。
? ? ? ? Bastion主機(jī)和NAT實(shí)例一樣锈津,是啟動(dòng)在共有子網(wǎng)的實(shí)例,是用來保護(hù)私有子網(wǎng)中實(shí)例的凉蜂。由于不能從外部訪問私有子網(wǎng)中的實(shí)例琼梆,需要利用Bastion主機(jī),先登錄到Bastion主機(jī)上窿吩,然后再轉(zhuǎn)到私有子網(wǎng)中的實(shí)例上茎杂。同時(shí)Bastion主機(jī)還可以起到抵擋對私有子網(wǎng)的實(shí)例攻擊的作用。
