接口端点 - 如何确保流量通过端点
Interface Endpoint - How to ensure traffic is going via the endpoint
我有一个使用 VPC 向导创建的 VPC
- 一个可用区
- 一个Public子网,一个私有子网
- 一个 NAT 网关
- S3 的一个网关端点
然后我为 EC2 手动创建了一个接口端点
我在私有子网中启动了一个 EC2,还在 public 子网中启动了一个堡垒主机(这样我就可以通过 ssh 连接到私有子网中的 EC2)
问题:在创建到 EC2 的接口端点后,我如何ensure/check流量通过端点而不是互联网?
有多种方法可以检查网关端点的这种行为 - as shown here
提前致谢。
感谢@Marcin 和@ErvinSzilagyi
原来我需要在我的 SG 中有相关的入站规则
- 根据正在使用的接口端点和端口,附加到 VPC 端点的安全组必须允许来自 VPC 私有子网的相关端口上的传入连接
在端口 443 (https) 上启用入站规则后,我可以进行这些测试以确认连接仅通过接口端点发生。
注意:我在下面展示了 awsbatch 的示例 - 可以对任何接口端点 (if trying a different endpoint like say smtp endpoint, make sure you change the appropriate port number in the command)
执行相同的操作
- sudo traceroute -n -T -p 443 batch.< region >.amazonaws.com
- sudo telnet batch.< region >.amazonaws.com 443
- sudo nslookup <批处理接口端点的 DNS 名称>
sudo traceroute -n -T -p 443 batch.< region >.amazonaws.com
1 * * *
2 * * *
3 * * *
4 < IP Address > 1.313 ms 1.587 ms 1.463 ms
sudo telnet batch..amazonaws.com 443
Trying IP Address ...
Connected to batch.< region > .amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
对于关闭 Telnet 连接很有用 link - 我在正确设置转义字符时遇到了问题:https://www.redhat.com/sysadmin/telnet-netcat-troubleshooting
现在,如果我执行 sudo nslookup < DNS Name of Batch Interface Endpoint > ,它会给我反映的 IP 地址以上 2 个命令和其他有用的信息。
其他有用的links:
- https://aws.amazon.com/premiumsupport/knowledge-center/vpc-fix-gateway-or-interface-endpoint/
- https://aws.amazon.com/premiumsupport/knowledge-center/security-network-acl-vpc-endpoint/
希望对大家有所帮助。
我有一个使用 VPC 向导创建的 VPC
- 一个可用区
- 一个Public子网,一个私有子网
- 一个 NAT 网关
- S3 的一个网关端点
然后我为 EC2 手动创建了一个接口端点
我在私有子网中启动了一个 EC2,还在 public 子网中启动了一个堡垒主机(这样我就可以通过 ssh 连接到私有子网中的 EC2)
问题:在创建到 EC2 的接口端点后,我如何ensure/check流量通过端点而不是互联网?
有多种方法可以检查网关端点的这种行为 - as shown here
提前致谢。
感谢@Marcin 和@ErvinSzilagyi
原来我需要在我的 SG 中有相关的入站规则
- 根据正在使用的接口端点和端口,附加到 VPC 端点的安全组必须允许来自 VPC 私有子网的相关端口上的传入连接
在端口 443 (https) 上启用入站规则后,我可以进行这些测试以确认连接仅通过接口端点发生。
注意:我在下面展示了 awsbatch 的示例 - 可以对任何接口端点 (if trying a different endpoint like say smtp endpoint, make sure you change the appropriate port number in the command)
- sudo traceroute -n -T -p 443 batch.< region >.amazonaws.com
- sudo telnet batch.< region >.amazonaws.com 443
- sudo nslookup <批处理接口端点的 DNS 名称>
sudo traceroute -n -T -p 443 batch.< region >.amazonaws.com
1 * * *
2 * * *
3 * * *
4 < IP Address > 1.313 ms 1.587 ms 1.463 ms
sudo telnet batch.
Trying IP Address ...
Connected to batch.< region > .amazonaws.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
对于关闭 Telnet 连接很有用 link - 我在正确设置转义字符时遇到了问题:https://www.redhat.com/sysadmin/telnet-netcat-troubleshooting
现在,如果我执行 sudo nslookup < DNS Name of Batch Interface Endpoint > ,它会给我反映的 IP 地址以上 2 个命令和其他有用的信息。
其他有用的links:
- https://aws.amazon.com/premiumsupport/knowledge-center/vpc-fix-gateway-or-interface-endpoint/
- https://aws.amazon.com/premiumsupport/knowledge-center/security-network-acl-vpc-endpoint/
希望对大家有所帮助。