問題タブ [amazon-vpc]

AWS に、パブリック サブネットとプライベート サブネットを持つ VPC があります。それに OpenVPN サーバーを追加しました。VPN にログインしている限り、すべてに問題なくアクセスできます。VPC 内のサーバーが外部 REST API にアクセスできるように設定する必要があります。現在の ACL ルールは完全にオープンです。インバウンドとアウトバウンドの両方が次のようになります。

これらのポートで内部トラフィックのみを許可するようにセキュリティ グループを設定しています。

セキュリティ グループのアウトバウンド トラフィックでは、すべてが許可されます。したがって、アウトバウンドの http 要求は、セキュリティ グループと ACL によって許可されると思います。しかし、試してみるとwget google.com、ドメインは解決されていますが、google.com に接続するだけです。ルーティング テーブルを確認したところ、ローカルではないトラフィックはすべてゲートウェイに送信されます。

誰かがこれを設定する方法の正しい方向に私を向けることができますか? または、アウトバウンド トラフィックがない理由を教えてください。少なくとも、AWS の VPC でネットワーク トラフィックが制限される可能性がある他の場所を挙げてください。ありがとう

boto で VPC とセキュリティ グループを作成しています。スクリプトで要素を作成してタグ付けすると、要素がまだ準備されていないため、エラーが発生し続けます。手動で待つこともできますが、プルして実際に準備ができているかどうかを確認することを好みます。VPC またはサブネットには、次のようなものを使用できます。

いくつかのロジックと while ループを使用して、状態が かどうかを確認しavailableますrunning。get_all_security_groupsこれは、ほとんどの vpc / aws 要素で正常に機能しますが、セキュリティ グループなどの一部の要素は、状態属性が返された場合、または同等のものを持っていません。

これらの要素を使用する準備ができているかどうか、人々はどのように確認しますか?

特定の AWS VPC サブネットが「パブリック サブネット」であるかどうか、つまり、インターネットに直接アクセスできるかどうかを確認したいと考えています。私が理解しているように、これには、そのサブネットに関連付けられたルートテーブルがインターネットゲートウェイに関連付けられているかどうかを確認する必要があります。つまり、とのエントリが"destination_cidr_block"="0.0.0.0/0"あり"gateway_id"="igw-blahblah"ます。そこで、Ruby AWS SDK を使用して、次のようなことをしています。

アプローチとRuby SDKコードの両方の観点から、これを行うためのより良い方法があるかどうかを尋ねたい.

CloudFormation を使用してリソースを作成できること、および CloudFormation を使用して VPC とその中のリソースを作成することもできることがわかりました。

CloudFormation テンプレートを使用して、既存の VPC 内にスタックを作成できますか? たとえば、会社用の VPC があり、サービス セグメント、いくつかの運用セグメント (プライベートおよびパブリック)、およびおそらくいくつかの開発セグメントがあるとします。

VPC 内の独自の CloudFormation テンプレートを使用して、サービス、本番環境、開発環境の各サービス セットを定義したいと考えています。

それをしてもいいですか？