Частная подсеть доступа к шлюзу API AWS

Question

В моем VPC есть публичные и Pvt-подсети.У меня есть некоторые службы, работающие на EC2 в подсети Pvt, к которым должны обращаться внешние / мобильные ресурсы.Как мне сделать это - VPCLink и NLB способ сделать это, или любым другим способом, создать некоторую точку доступа в публичной подсети (??).Лямбда, кажется, является ответом (почти для всего в AWS сейчас) - даже не уверен, как этот доступ работает для ресурсов в Pvt Subnet.

Также у той же Pvt Subnet есть доступ к внешним ресурсам (вне AWS) - каксделать это с помощью API Gateway?

Не совсем понятно, как API-шлюз (и Lambda) расположен по отношению к VPC и подсетям, и как функционирует контроль доступа к сети, могут ли они напрямую обращаться к подсетям Pvt или нет.В документации об этом ничего не говорится, речь идет только о IAM - , если кто-то может объяснить это .Обнаружено это на Lambda: AWS Lambda: Как настроить NAT-шлюз для лямбда-функции с доступом VPC .

В документации написано "API Gateway позволяет безопасноподключить ... общедоступные веб-службы , размещенные внутри или за пределами AWS ".Мои ресурсы в подсети Pvt не являются общедоступными - я полагаю.

Спасибо

Answer 1

С помощью Бена вот ответ Представление частных конечных точек Amazon API Gateway

Входящие: Доступ к службам, размещенным в частной подсети через API-шлюз

Интеграция конечных точек внутри частного VPC .Благодаря этой возможности вы теперь можете использовать свой внутренний сервер, работающий на EC2, внутри своего VPC без необходимости в общедоступных IP-адресах или балансировщике нагрузки.

Таким образом, API-шлюз может получить доступ к опубликованным конечным точкам, даже в частных подсетях.

OutBound: Доступ к службам, размещенным извне, из частной подсети через API-шлюз

Закрытые конечные точки API-шлюза становятся возможными через конечные точки VPC интерфейса AWS PrivateLink .Конечные точки интерфейса работают путем создания эластичных сетевых интерфейсов в подсетях, которые вы определяете внутри своего VPC.Эти сетевые интерфейсы затем обеспечивают доступ к сервисам, запущенным в других VPC, или к сервисам AWS, таким как API-шлюз.При настройке конечных точек интерфейса вы указываете, какой сервисный трафик должен проходить через них.При использовании частного DNS весь трафик этой службы направляется в конечную точку интерфейса, а не через маршрут по умолчанию, например через шлюз NAT или публичный IP-адрес.

Так что вам просто нужно создатьКонечная точка VPC в подсети Pvt для шлюза API .

Answer 2

Сервисы, которые вы используете в EC2, предлагают API?API Gateway предназначен для прокси-запросов API.Обычно он используется в сочетании с Lambda, чтобы позволить функциям Lambda обрабатывать HTTP-запросы.Шлюз API не требуется для вашего сервиса.Вы можете просто использовать Application Load Balancer (ALB) или Elastic Load Balancer (ELB).Они могут находиться в общедоступной подсети, пока ваша служба остается в частной подсети.Вы можете использовать группы безопасности и таблицы маршрутизации VPC, чтобы разрешить связь между вашим общедоступным ALB / ELB и вашей частной службой EC2.