AWS ELB und Nat Gateway nicht gut zusammen

Question

Ich habe eine grundlegende VPC mit zwei Linux EC2-Instanzen mit Apache, die hinter einem klassischen ELB leben.

Ich möchte DynamoDB aus der Web-App verwenden, die erfordert, dass die EC2-Instanzen einen ausgehenden Internetzugang haben, da der DynamoDB-Endpunkt nicht über das Backend verfügbar ist.

Ich benutze die ELB, um zu verhindern, dass eine öffentliche IP-Adresse an die EC2-Instanzen angehängt wird, also würde ich sie lieber nicht einfach anhängen, um Zugang zu DynamoDB zu erhalten.

An diesem Punkt bleibe ich stecken.

Ich habe die neue Funktion NAT Gateway eingerichtet, um den Zugriff auf den öffentlichen DynamoDB-Endpunkt zu ermöglichen. Dies funktioniert gut, wenn es konfiguriert ist, was bedeutet, dass die Webanwendung erfolgreich eine Verbindung mit dem DynamoDB-Endpunkt herstellen kann, ABER jedoch den eingehenden Datenverkehr über den ELB unterbricht.

Wenn das Nat-Gateway konfiguriert ist, ist das Standard-Gateway des Subnetzes der EC2-Instanzen das Nat-Gateway.

ELB erfordert, dass ein Internet-Gateway für das Routing zur Arbeit vorhanden ist ... so ist es ein Haken 22, dass ich nicht sicher bin, wie man arbeitet.

Zusammenfassend möchte ich externen Zugriff auf Webserver über ELB bieten und ich möchte, dass die Webserver über ein Nat-Gateway Zugriff auf den DynamoDB-Endpunkt haben. Ohne den Webserver-Instanzen eine öffentliche Schnittstelle zuweisen zu müssen.

Weiß jemand, ob das funktionieren kann? Scheint ziemlich Standard-Setup. Eine Referenzarchitektur oder Tutorial wäre großartig.

Vielen Dank

Answer 1

Sie müssen (mindestens) zwei Subnetze für diese Einrichtung:

Ein öffentliches Subnetz mit 0.0.0.0/0 Weg zum Internet-Gateway (und natürlich Local Route für VPC CIDR), und ein privates Subnetz mit 0.0.0.0/0 Route zu Elastic-Schnittstelle Ihrer NAT-Instanz (und lokale Route für VPC CIDR).

Platzieren Sie Ihre NAT-Instanz und ELB im öffentlichen Subnetz und platzieren Sie Ihre Server in das private Subnetz .