Лучший способ подключения экземпляров AWS EC2 во избежание сбоя подключения при смене IP-адреса

Question

У меня есть четыре экземпляра EC2, три из которых работают с API-интерфейсами, а другой - с пользовательским интерфейсом. Экземпляр пользовательского интерфейса получает данные через вызовы API для других экземпляров. Сейчас все работает нормально, потому что я использую publi c IP, предоставленный для каждого сервиса EC2 для вызова API. Но что такое mi cocern, если паблис c ip службы изменится (по какой-либо причине)? тогда мое приложение go не работает, потому что пользовательский интерфейс не может получить данные от служб. После небольшого исследования я обнаружил, что appers - это решение: используйте vp c для подключения экземпляров EC2 через частный ip (потому что это stati c) и связали экземпляр UI с IP-адресом Elasti c (без проблем). Вот). Соу, у меня есть некоторые проблемы:

1) Я делаю тест, помещая все экземпляры в один и тот же vp c (и sub net), но когда я выполняю эхо-запрос от одного к другому, эхо-запросы не выполняются. Это мой подход, верно? или я что-то упустил?

2) Я прочитал несколько других вариантов, но я не уверен, что лучше: Может быть, я должен использовать шлюз Api ?. Или NAT Gateway?

3) Какова стандартная практика общения экземпляров EC2 конфиденциально?

Answer 1

1) Я делаю тест, помещая все экземпляры в один и тот же vp c (и sub net), но когда я выполняю ping от одного к другому, эхо-запросы не выполняются. Это мой подход, верно? или я что-то упустил?

Из соображений безопасности AWS блокирует трафик ICMP c с помощью группы безопасности. Включите Ping traffi c (ICMP) в группе безопасности с IP-адресов, которые вы пытаетесь подключить, лучше разрешить весь блок CIDR для VP C для всех траффиков c, это сделает вашу жизнь намного проще , Пожалуйста, убедитесь, что вы делаете это только в тестовой среде.

2) Я прочитал несколько других вариантов, но я не уверен, что лучше: Может быть, я должен использовать шлюз Api? , Или NAT Gateway?

Кроме того, как вы упомянули, что вы обеспокоены тем, что IP-адрес экземпляра c изменится (определенно, если ваш экземпляр остановится / запустится по какой-либо причине ), но почему бы вам не использовать Elasti c IP для всех ваших экземпляров, которые могут быть включены в решение, но при использовании этого подхода все ваши экземпляры будут работать с inte rnet, так что переходите с частного IP это лучший вариант.

3) Какова стандартная практика общения экземпляров EC2 конфиденциально?

Это зависит от варианта использования. Если ваши экземпляры находятся в том же vp c, дополнительная настройка не требуется, вам нужно только убедиться, что группы безопасности, список управления доступом к сети и конфигурация брандмауэра верны. Если ваши экземпляры имеют разные VP C, вы можете использовать VP C Peering / Transit gateway.

Answer 2

1.) Вам необходимо обновить группы безопасности с разрешением на трафик ICMP c. Go к вашему VP C -> Выберите группы безопасности -> Выберите соответствующую группу безопасности -> Добавить правило входящих / исходящих сообщений для всех траффиков c с CIDR экземпляра su bnet.

2.) Лучше всего использовать внутреннюю сеть, если весь ваш трафик c будет внутренним.

Спасибо