25.3.5. 关于 EC2 里的路由

所有的 Amazon EC2 服务器默认都激活了一个 source/destination checking 路由功能。这个功能将发送到服务器的目的地和主机的 IP 地址不一致的数据包丢弃。如果连接代理到 JON 服务器的 VPN 方案包括了一个路由器,您需要关闭这个功能,或者将服务器作为路由器或 VPN 网关。这个配置设置可以通过 Amazon AWS 控制台进行访问。虚拟私有云(Virtual Private Cloud,VPC)里也要求禁用 source/destination checking
某些 VPN 配置默认将普通的流量通过机构 VPN 进行路由。我们推荐您避免这样做,因为这可能是较慢和低效的配置方式。
虽然使用正确的地址模式并不是 JON 专有的需要担心的事情,但较差的模式可能会有不良影响。Amazon EC2 从 10.0.0.0/8 开始分配 IP 地址。实例通常也具有一个公用 IP 地址,但只有相同可用性区内部 IP 地址上的网络流量才是自由的。要避免在私有网络里使用 10.0.0.0/8 段的地址,您需要考虑几件事情。
  • 在创建 VPC 时,不要分配已经用在私有网络里的地址以避免连接性问题。
  • 如果某个实例需要访问可用性区的本地资源,请确保使用 Amazon EC2 私有地址且流量不通过 VPN 来路由。
  • 如果 Amazon EC2 实例将访问机构私有网络地址的一个小的子集(如只有 JON 服务器),只有这些地址应该通过 VPN 进行路由。这增强了安全性并降低了 Amazon EC2 或私有网络地址空间冲突的机会。