ก่อนอื่นขออภัยหากฉันใช้คำศัพท์ผิดในโพสต์นี้ ฉันยังใหม่กับ AWS และเครือข่ายโดยทั่วไป
นี่คือปัญหาที่ฉันกำลังดำเนินการ: ฉันต้องการให้แอปพลิเคชันสร้างข้อมูลของฉันในเครือข่ายส่วนตัว (ซับเน็ตส่วนตัว) ส่งข้อมูลผ่าน Concentrator (อินสแตนซ์ ec2 อื่น) ที่อยู่ใน VPC เดียวกันกับแอปสร้างข้อมูลแต่อยู่ในซับเน็ตสาธารณะ . ฉันได้ติดตั้ง Strongswan บนหัวรวมและสร้างอุโมงค์ VPN ด้วยปลายทาง
นี่คือลักษณะของภาพ:
ตัวอย่างสถาปัตยกรรม
เล็กน้อยเกี่ยวกับสถาปัตยกรรม:
เครื่องเป้าหมายอยู่ในภูมิภาคเดียวกัน แต่มี VPC ต่างกันในบัญชีอื่น และมี ip 172.31.x.x
ขณะนี้แอปสร้างข้อมูลและเพื่อความปลอดภัยอยู่ในซับเน็ตส่วนตัวและไม่สามารถเข้าถึงได้โดยโลกสาธารณะ
จุดประสงค์เดียวของ Concentrator ในไดอะแกรมนี้คือเพื่อตั้งค่าอุโมงค์ VPN กับเครื่องเป้าหมายในขั้นต้น จากนั้นจึงจะสามารถส่งต่อข้อมูลจากแอป Data Generator ไปยังเครื่องเป้าหมายผ่านอุโมงค์ VPN
ฉันทำอะไรไปแล้วบ้าง:
ฉันได้ติดตั้ง strongswan บน Concentrator และทำตามคำแนะนำที่ฉันดาวน์โหลดจากไซต์ AWS ไปยังหน้า VPN ของไซต์ (โดยใช้ VPN ID สำหรับอันนี้โดยเฉพาะ) และสามารถส่ง ping ไปยัง 172.31.x.x จาก Concentrator และทำการ ping ได้สำเร็จ ดังนั้นขั้นตอนที่ 1 จึงสำเร็จและฉันสามารถตรวจสอบตารางเส้นทางได้โดยใช้คำสั่ง nestat -rn และดูการส่งต่อสำหรับปลายทาง 172.31.0.0 ถึง 0.0.0.0
ขั้นตอนที่ 2 คือการสร้างการเชื่อมต่อจากแอปสร้างข้อมูลไปยังศูนย์กลาง นี่เป็นเรื่องง่ายเนื่องจากอยู่ใน VPC เดียวกัน และการแก้ไขตารางเส้นทางของซับเน็ตควรทำให้สิ่งนี้เกิดขึ้น ฉันสามารถเชื่อมต่อกับหัววัดจากแอป Data เริ่มแรกฉันวางทั้งสองสิ่งนี้ในซับเน็ตสาธารณะเดียวกันเพื่อหลีกเลี่ยงการเปลี่ยนตารางเส้นทางและอื่นๆ (ตอนนี้ฉันไม่มีปัญหาใดๆ ในการวางไว้ในซับเน็ตเดียวกัน และฉันสามารถแก้ไขกลุ่มความปลอดภัยเพื่อป้องกันการเข้าถึงสิ่งนี้จาก IP ภายนอกใดๆ) ดังนั้นขั้นตอนที่ 2 จึงสำเร็จ
นี่คือสิ่งที่ฉันพยายามทำ: ฉันต้องการให้ Concentrator ฟังข้อมูลที่มาจากแอป Data Generator บนพอร์ตใดก็ได้ จากนั้นส่งต่อข้อมูลใดก็ตามที่ได้รับจาก Data Generator ไปยังเครื่องเป้าหมายผ่านอุโมงค์ VPN
สำหรับโซลูชันเริ่มต้น ฉันกำลังพยายามทำให้ ping จาก Data Generator ไปยังเครื่องเป้าหมายสำเร็จผ่าน Concentrator (ขณะนี้หมดเวลา)
ดังนั้น เมื่อฉันพูดว่า ping 172.31.x.x บนแอป Data มันจำเป็นต้องรู้ว่าต้องสื่อสารกับ Concentrator ก่อน จากนั้น Concentrator จะต้องเข้าใจว่าคำขอทั้งหมดที่มาจากแอป Data ต้องถูกส่งไปยังเครื่องเป้าหมายผ่านอุโมงค์ VPN และเมื่อ Concentrator ได้รับการตอบกลับจาก Target ผ่าน VPN จะต้องทราบว่าการตอบสนองเหล่านี้จาก Target จะต้องถูกส่งไปยังแอป Data
ฉันจะบรรลุสิ่งนี้ได้อย่างไร
ขอบคุณ