Так в итоге их две должно быть?

да

тебе хватит главной и второй для ната таблиц на самом деле

Но ведь нат гейтвей включает в себя только одну подсеть

А мне надо чтобы elb мог конектиться в обе AZ

тогда обе подсети роуть в igw, либо тебе надо было 4 сети )

В смысле 4?

ну 2 сети публичные в них ходит elb, еще 2 приватные в них никто неходит

Не, еще 2 подсети я создовать явно не хочу. Есть варианты сделать это приближенно как это работает с дефолтной?)

Ну т.е. если есть вариант как то все зароутить в igw то я бы согласился )

да роуть все в igw

Но мне же еще нужен нат ведь... Так?

неа, необязательно

IGW perform network address translation (NAT) for instances that have been assigned public IP addresses.

Хуета какая то ) В общем там где у меня igw в раутинг таблице для моей новой VPC я назначил явно 2 подсети /22 и все равно исходящий трафик не пашет

Выше же вроде мы решили что нужен nat чтобы трафик начал ходить изнутри наружу, не?

Но на данный момент я смог зайти через бастион на тот инстанс по ssh. Они оба в новой VPC

покажи роуты в этой таблице

так по ссх заходишь это хорошо

исходящий трафик откуда и куда ?

чз elb ?

у меня есть бастион инстанс с эластик ip публичным. Вот на него захожу а с него по внутренней сети на тот инстанс

Но на него я попадаю, а вот в мир он не ходит уже

Кстати на бастионе трафик в мир ходит успешно

так и должно быть

пока тот инстанс без белого ипа в сети с igw на нем небудет доступа куда-либо

Чет какой то треш. Ниужели такую обыденную задачу нельзя решить просто? Амазон меня начинает утомлять

ну она решаеться использованием разных сетей

сделай перерыв подумай и перечитай наш диалог

Хорошо, у меня есть мой бастион, он и так уже имеет белый ип

Можно ли его и сделать натом? Это было бы логично

можно

в роут таблицу можно добавлять хосты тоже

Т.е. в Target надо захуярить IP бастиона и научить его перенаправлять трафик?

там ид инстанса или сетевухи емнип

да

Не, эт херовый вариант. Ибо инстанс будет бателнеком тут

Получается остается только вариант с 4мя сетями и двумя натами?

либо elb только в 1 аз ходит

Как же у амазона та так сделано.

На самом деле вот схема с 4мя сетями немного не понятна мне. Ну т.е. 2 сети зачем мне — ясно. А еще 2? Типа прокси сеть на которую я повешу нат? или...

да

как вариант еще мы где-то acl пропустили

ACL я смотрел — там 2 подсети прописано с идентичными правилами.

nacl и секурити группы тоже ?

В sg там весь исходящий трафик разрешен

В nacl тоже

Auto-assign Public IP: yes вот что у тебя в дефолтных подсетях

поэтому там и работает

чз igw

Пагади, где ты это нашел?

vpc - subnets тыкаешь по подсети

у инстанса может быть 2 типа публичных ипов, 1 эластик, а другой временный до ребута живущий

ААААааааааааааааа теперь я понял какого хера у меня у инстансов появлялись белые адреса даже когда я в ансибле прописывал "no" на выдачу адреса.

Кажется это коррелирует с тем что ты мне щас сказал )

:)

Теперь дилемма, че делать

Мне на самом деле оч не нравится что у меня у "приватных" инстансов у каждого выдан публичный адрес

можно отключить эту опцию у подсети

?

С одной стороны можно и забить большой болт, но чувство того, что, что-то сделано не правильно явно есть

Но тогда весь исходящий трафик събется )

ну 4 подсети, либо эластики

Я согласен на 4 подсети только до сих пор не понял как это сделать

ERROR: S client not available

Точнее, я не совсем понимаю одного — могу ли я все инстансы размещать в сети, которая будет "публичная" ?

Или как вобще это все будет рабоать. Просто до этого в амазоне у меня была стандартная сетка и я думал — о нихуя как в амазоне все просто и заебись работает. Ага ёпта. Просто.

можешь, но на них тогда паблик ип должен быть

Т.е. шило на мыло получается. Тогда получается если инстанс будет жить в приватной сети то я не смогу на него натравить elb

ну да т.к балансер ты тоже в аз соответствующей создаешь

считай это набор инстансов но ты их невидишь

Нет, балансер может быть мульаз

чет нету мысль сказал

А нахер тогда мне сдалась приватная сеть, если я даже не могу apt-get'ом воспользоваться внутри нее? ?

Вопрос в принципе про идеологию

Поднять локальную репу

?

А ну да, это все упрощает конечно-же

а похоже я всеже ошибся насчет elb, его можно прокидывать в приватную сеть. только создан он должен быть в публичных аз

https://itellity.wordpress.com/2014/09/11/creating-an-elb-load-balancer-with-private-subnet-instances-in-a-vpc/

Да тут проблема не в elb то по сути, а в том, что я на убунте нихрена поставить не смогу )

вешай ип ставь что надо, отрывай

А потом снимать?

в приватную сеть опять же нат гв вешать надо, и кажеться мы идем по кругу

?

Ссаный амазон

O_o

Может я просто дебил, или совсем неквалифиированный, но мне вот это вот все кажется таким оверкилом ради такой простой задачи. Вот почему им обязательно надо заставлять вешать внешник на инстанс? Я может что-то не знаю в сетях? Но ведь я бы мог dhoptions прописать гейтвей какого-нибудь амазоновского шлюза, который я бы создал.

Да тот же igw.

Мне то всего навсего надо маленькую сеточку, которая бы могла в интернет ходить в том числе

еще раз хочешь приватную сеточку ходящую в инет, делай для нее роут таблицу с nat-gw

просто инструмент комплексный и позволяет решить много сложных задач, поэтому и и оверкил когда надо 3 инстанса пустить в инет

Да, но мне еще нужно чтобы на ту же сеточку можно было поесить пару внешников на пару инстансов

а вот это уже нельзя

В таком случае вариант с нат-гв работать не будет

сделай еще 1 сеть в которую и вешай, тебе приватных ипов жалко ? )

Просто тут помимо меня есть еще и другие коллеги. Если уж я тут уже на стену лезу то они вены вскроют сразу увидев новую топологию проектов в амазоне.