Создание конечной точки AWS SQS для VPC

У меня две подсети в VPC. Одна - это общедоступная подсеть, а другая - частная подсеть. Все экземпляры EC2 в общедоступной и частной подсети должны иметь доступ к SQS, даже если Интернет недоступен.

Есть ли такой способ, как DNS-фильтрация / IP-фильтрация SQS для исходящего трафика, чтобы экземпляры EC2 могли получить доступ только к сервису AWS SQS (например, SQS) в VPC, без назначения экземпляров общедоступного IP-адреса?

(Короче говоря, я хочу создать конечную точку VPC, подобную функциональности для SQS, чтобы SQS был доступен в VPC, но Интернет не обязательно был доступен)

Например: "ping sqs.us-east-1.amazonaws.com" должен работать "ping google.com" не должен работать


amazon-web-services vpc amazon-vpc amazon-sqs
person Subbu    schedule 29.11.2018    source источник
comment
aws не предоставляет прямую конечную точку vpc для SQS, однако вы можете создать частную службу шлюза api, которая не будет доступна для общедоступных, и шлюз api может быть интегрирован в SQS, дайте мне знать, если решит вашу проблему   -  person varnit    schedule 29.11.2018
comment
Когда вы говорите, что даже если Интернет недоступен, будет ли у VPC Интернет-шлюз? Вас беспокоит, что возможности Интернет-шлюза не работают, или вы пытаетесь обеспечить полную безопасность VPC?   -  person John Rotenstein    schedule 29.11.2018
comment
@JohnRotenstein: Я имел в виду, я хочу, чтобы VPC был полностью безопасным.   -  person Subbu    schedule 30.11.2018

Ответы (1)


arrow_upward
0
arrow_downward

Вы можете создать шлюз NAT в общедоступной подсети, который позволит экземплярам Amazon EC2 в частной подсети подключаться к Интернету.

Это обеспечивает только исходящее соединение, поэтому экземпляры EC2 в частной подсети недоступны из Интернета. Экземпляры в частной подсети не будут иметь общедоступного IP-адреса (только NAT-шлюз будет иметь его).

person John Rotenstein    schedule 01.12.2018
comment
Да, но будет ли это означать, что если Интернет недоступен, то SQS также недоступен? - person Subbu; 03.12.2018
comment
Разве мы не можем сделать DNS-фильтрацию или IP-фильтрацию, чтобы разрешить только службу SQS из частной подсети? - person Subbu; 03.12.2018
comment
Я до сих пор не понимаю, что вы имеете в виду, если Интернет недоступен. Вы должны настроить его на доступность, чтобы экземпляры могли получить доступ к SQS. С моим предложением выше, экземпляры останутся в безопасности. Если это не соответствует вашим требованиям, отредактируйте свой вопрос и предоставьте более подробную информацию о том, что вы пытаетесь сделать, что вы пробовали до сих пор и с какими трудностями вы столкнулись. Спасибо. - person John Rotenstein; 04.12.2018