跨区域安全亚马逊ec2

Question

目前，由于在允许使用amazon 2‘S安全组访问端口时，无法指定来自另一个区域的安全组，因此我们不得不将每个单独的IP插入到它需要访问的安全组中。我可以看到这个过程变得很难跟踪(它已经有了)。

我的想法是做一些类似于在Amazon之间所能做的事情(我们现在不能切换到VPC，因为目前的迁移可能有点大)，所以在每个区域都有一个服务器充当网关，所有来自跨区域服务器的请求都在其中。然后，这个网关将请求重定向到适当的端点。这样，安全组对于跨区域服务器只需要一个IP，而不是每个服务器需要一个IP。

这是一个有效的技术吗？还有其他更好的方法吗？

Answer 1

我们最近在我们的(主要是) VPC环境中解决了同样的问题。我们有VPC实例运行在我们-东-1，美国-西-1，和我们-西-2。以下是Amazon的文档：

http://aws.amazon.com/articles/0639686206802544

使用上面的VPN解决方案，源地址将保持VPC (私有IP)或在您的情况下EC2 (公共IP)的地址。根本没有纳特。因此，您将完全得不到VPN的好处。

我认为考虑到您没有VPC，此时不应该尝试这种方法。相反，为所有新实例设置一个切换到VPC，然后设置VPN并继续使用它们。