în primul rând îmi pare rău dacă folosesc greșit terminologia din această postare. Sunt complet nou în ceea ce privește AWS și chestiile de rețea în general.
Iată problema la care lucrez: vreau ca aplicația mea de generare a datelor într-o rețea privată (subrețea privată) să trimită date printr-un concentrator (o altă instanță ec2) care se află în același VPC ca aplicația de generare a datelor, dar într-o subrețea publică . Am instalat Strongswan pe concentrator și am stabilit tunelul VPN cu destinația.
Iată cum ar arăta imaginea:
Exemplu de arhitectură
Un pic despre arhitectura:
Mașina țintă se află în aceeași regiune, dar un VPC diferit într-un cont diferit și are un ip 172.31.x.x
Aplicația de generare a datelor este în prezent și, din motive de securitate, se află într-o subrețea privată și nu este accesibilă lumii publice
Singurul scop al concentratorului din această diagramă este de a configura inițial un tunel VPN cu mașina țintă și apoi de a putea redirecționa datele din aplicația Data Generator către mașina țintă prin tunelul VPN
Ce am facut pana acum:
Am instalat strongswan pe Concentrator și am urmat instrucțiunile pe care le-am descărcat de pe pagina AWS de la site la site VPN (Folosind ID-ul VPN pentru acest anume) și am putut trimite un ping la 172.31.x.x din Concentrator și am primit ping-uri reușite. Deci, pasul 1 a avut succes și pot verifica tabelul de rute folosind comanda nestat -rn și pot vedea redirecționarea pentru destinația 172.31.0.0 la 0.0.0.0
Acum, pasul 2 a fost stabilirea unei conexiuni de la aplicația de generare a datelor la concentrator. Acest lucru a fost ușor, deoarece se află în același VPC și editarea tabelelor de rute ale subrețelei ar trebui să facă acest lucru să se întâmple. M-am putut conecta la concentrator din aplicația Data. Inițial le-am plasat pe ambele în aceeași subrețea publică pentru a evita schimbarea tabelelor de rute și altele (nu am nicio problemă să le plasez în aceeași subrețea acum și pot edita grupurile de securitate pentru a preveni accesul la aceasta de la orice IP extern). Deci pasul 2 a avut succes.
Acum, asta este ceea ce încerc să fac: vreau să fac Concentrator să asculte datele care vin din aplicația Data Generator pe orice port și apoi să transmită orice date pe care le primește de la Data Generator la mașina țintă prin tunelul VPN.
Pentru o soluție de pornire, încerc să realizez pur și simplu un ping de la generatorul de date la mașina țintă pentru a avea succes prin concentrator (în prezent expiră).
Deci, când spun ping 172.31.x.x în aplicația de date, trebuie să știe să comunice mai întâi cu concentratorul, apoi concentratorul trebuie să-și dea seama că toate solicitările care provin din aplicația de date trebuie trimise la mașina țintă prin tunelul VPN. Și atunci când concentratorul primește răspunsuri de la Target prin VPN, trebuie să își dea seama că toate aceste răspunsuri de la Target trebuie trimise la aplicația Data.
Cum pot realiza acest lucru?
Mulțumiri
