Study Notes - VPC - FAQ


整理 VPC 一些常見的問答。


FAQ

Q: 如何將兩個 VPC 串接

Q: 兩個雲的 VPC 可以串接?

可以,只要牽涉 存取管控資料交換,一定要考慮 CIDR 、路由規劃的問題。

GPC VPC 串接,參閱:Building a VPN Between GCP and AWS

Q: 如何限制 VPC Peering 之間的存取控制?

可以利用以下這方式管控:

  • Route Table: 控制目標要走哪一個 gateway / peering connections
  • Network ACLs: 限制進出的 port, 有點像是 iptable, 但是控制的是針對 subnet
  • Security Groups: 管理 EC2 或者 EC2-Based 的資源進出。

流程上參考下圖:

VPC or Subnet 的 CIDR Bloakc Size 可以調整?

怎麼知道目標會走哪一個 route table?

看 subnet 設定在哪一個 route table. route table 跟 subnet 關係是一對一,也就是一個 subnet 只允許在一張 route table.

現有的 EC2 Instance ENI 可否更換 subnet?

  • 可以更換在同一個 AZ 的 Subnet,不同 AZ 則不可以。
  • 第一張 Primary NI 不可以 detach.

Network ACL 和 Security Group 有什麼不一樣?

  • Network ACLs:
    • 針對 VPC Subnet
    • 可以控制 Inbound / Outbound
    • 有 Allow / Deny
    • NACL 沒有狀態性 (Stateless),換言之 In/Out 都要個別設定
  • Security Group:
    • 針對 EC2 Instance / ENI
    • 可以控制 Inbound / Outbound (同 ACLs)
    • 只有 Allow, 沒有 Deny
    • SG 有狀態性 (Stateful),換言之只要設定 In/Out 其一即可

詳細比較參閱:

Private Subnet 裡的 EC2 突然無法對外連線了?

  1. 確認 Instance 的 Security Group 設定正確
  2. 確認 Instance 網卡 ENI 的 Security Group 設定正確. 如果有第二張網卡,那也要檢查.
  3. 找到 Instance 的 subnet 掛在哪一張 Route Table,確認 NAT Gateway 也在裡面.
  4. 找到 NAT Gateway 之後,找到他所屬的 Subnet 的 Route Table ,確認 Internet Gateway 在裡面

Public Subnet 裡的 EC2 無法對外連線了?

  1. 確認 Instance 本身有 EIP
  2. 檢查 Security Group, 確認 Outbound 正確
  3. 檢查 Subnet 的 Route Table,確認裡面 destination 有 Internet Gateway

VPC NAT Gateway 是否有單點 (SPOF) 問題?

建立 NAT Gateway 時,要選擇 Subnet,就等於表示此 Gateway 在 Subnet 所在的 AZ。如果此 AZ 出問題,Route Table 共用此 Gateway,其他的 AZ 將無法出去。參考:NAT Gateway Basics 以下的描述:

If you have resources in multiple Availability Zones and they share one NAT gateway, in the event that the NAT gateway’s Availability Zone is down, resources in the other Availability Zones lose Internet access. To create an Availability Zone-independent architecture, create a NAT gateway in each Availability Zone and configure your routing to ensure that resources use the NAT gateway in the same Availability Zone.

詳細介紹參見: Migrate to AWS NAT Gateway


延伸閱讀

系列文章

站內延伸


Comments