如果我在 AWS 中的 VPC 内有一个私有子网,允许从我的子网到世界各地的流量(例如进入 Ubuntu 注册表以修补 EC2 实例中的某些内容)的唯一方法是使用 NAT 网关?
我想知道 EKS 集群安全设计。
为了允许流量进入集群,我必须使用负载均衡器,因此只有一个入口点,我将使用 nginx 入口或其他方式处理流量。
EKS 将启动的所有实例都将驻留在仅具有私有子网的 VPC 内。
在这种情况下,我的集群无法出去做任何事情。所以我必须分配一个具有弹性IP地址的NAT网关...
但是...这是允许我的子网访问外部世界的唯一方法吗(当然,无需将其变成带有互联网网关的公共子网)?
您必须使用某种网络地址转换 (NAT),以允许仅具有内部私有 IP 的资源通过公共 Internet IP 访问 Internet。您可以使用 EC2 实例构建自己的 NAT,或者可能在 AWS Marketplace 上找到一些预构建的 EC2 映像来实现此目的,但为此目的向您的 VPC 添加 Amazon 托管 NAT 网关要容易得多。
允许私有子网中的资源访问VPC之外的资源是NAT网关的全部目的。