无法让 AWS NAT 网关为具有 IP 白名单的 API 工作

Question

我们的目标是让我们的 Elastic Beanstalk 设置通过 NAT 网关路由流量，因为我们需要连接到需要 IP 白名单的 API 的某些流量。我没有对当前设置进行修改，而是创建了一个单独/隔离的 VPC 和 EC2 实例来熟悉和测试设置。但是，我还没有让设置按预期工作。

这里是设置

• VPC (vpc-77049811)，CIDR 为 10.0.0.0/16
• 分配给上述 VPC 的 Internet 网关 (igw-4d4b212a)
• CIDR 为 10.0.1.0/24 的子网 (subnet-096d8a53)
• NAT 网关 (nat-00bb49204627de7e6) 连接到上述子网并分配了弹性 IP
• 附加到提到的 VPC 并与提到的子网关联的路由表
• 1x EC2 实例分配给 VPC 及其自己的弹性 IP 和禁用的源/目标检查

路由表设置

10.0.0.0/16     local
0.0.0.0/0       igw-4d4b212a

通过上述设置，可以登录服务器并发出 curl 请求以获取服务器的公共 IP 地址（curl icanhazip.com）。不过，只要我在路由表中添加一条规则，让 URL 的解析 IP 路由通过 NAT 网关，我就无法 ping 或请求 curl 请求，因为它会超时。

添加到路由表的规则不起作用

45.63.64.111/32     nat-00bb49204627de7e6
144.202.71.30/32    nat-00bb49204627de7e6

不确定我是否在这里忽略了某些内容，或者我误解了 NAT 网关的概念和用例？

Answer 1

您似乎误解了 NAT 的用途。

其目的是为私有子网中的实例提供出站 Internet 访问，而不允许任何入站连接 - 即路由表没有以下条目的子网：

0.0.0.0/0       igw-4d4b212a

如果您想限制从您的 EC2 实例对特定 IP 地址的访问，请将您的 NAT 放入公共子网，创建一个私有子网，然后将您的实例放入私有子网中。然后将两条路由添加到与私有子网关联的路由表中：

45.63.64.111/32     nat-00bb49204627de7e6
144.202.71.30/32    nat-00bb49204627de7e6

如果您只想将您的 EC2 实例的访问权限限制为几个 IP 地址，则只能为这些地址创建路由：

45.63.64.111/32     igw-4d4b212a
144.202.71.30/32    igw-4d4b212a

请注意，使用最后一个选项，如果您在安全组中打开了规则，则可以从 Internet 访问您的实例。

Answer 2

这是公共 IP 45.63.64.111。您需要 IGW 才能访问此流量。

1. 您可以通过直接将流量重定向到 IGW 来做到这一点 或
2. 您可以通过定向到 NAT，然后进一步将该流量定向到 IGW 来做到这一点

缺少指向 IGW 的部分。

Nat 网关用于私有子网中的 EC2（没有附加 IGW）。在上述场景中，EC2 位于公共子网中，因此理想情况下它不需要 NAT。

这是我使用 NAT 时要做的事情- 1. 将 EC2 置于私有子目录中。并有一个路由表，其中所有传出流量都到 nat-gateway。 2. 位于公有子网的 Nat-gateway 会将您的流量转发给 IGW。