Show Table of Contents
25.3.5. 关于 EC2 里的路由
所有的 Amazon EC2 服务器默认都激活了一个
source/destination checking 路由功能。这个功能将发送到服务器的目的地和主机的 IP 地址不一致的数据包丢弃。如果连接代理到 JON 服务器的 VPN 方案包括了一个路由器,您需要关闭这个功能,或者将服务器作为路由器或 VPN 网关。这个配置设置可以通过 Amazon AWS 控制台进行访问。虚拟私有云(Virtual Private Cloud,VPC)里也要求禁用 source/destination checking。
某些 VPN 配置默认将普通的流量通过机构 VPN 进行路由。我们推荐您避免这样做,因为这可能是较慢和低效的配置方式。
虽然使用正确的地址模式并不是 JON 专有的需要担心的事情,但较差的模式可能会有不良影响。Amazon EC2 从
10.0.0.0/8 开始分配 IP 地址。实例通常也具有一个公用 IP 地址,但只有相同可用性区内部 IP 地址上的网络流量才是自由的。要避免在私有网络里使用 10.0.0.0/8 段的地址,您需要考虑几件事情。
- 在创建 VPC 时,不要分配已经用在私有网络里的地址以避免连接性问题。
- 如果某个实例需要访问可用性区的本地资源,请确保使用 Amazon EC2 私有地址且流量不通过 VPN 来路由。
- 如果 Amazon EC2 实例将访问机构私有网络地址的一个小的子集(如只有 JON 服务器),只有这些地址应该通过 VPN 进行路由。这增强了安全性并降低了 Amazon EC2 或私有网络地址空间冲突的机会。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.