AWS公有子网、NAT网关，为啥不能一起用？

2024-08-19 09:26:11 15

所有的网络问题都可归结于，我是谁，从哪儿来，到哪儿去的终极哲学问题

最近有朋友来自灵魂深处的拷问，为什么同一个VPC内的公有子网下的主机不能走NAT网关。为什么，这到底是为什么啊……

公有子网和私有子网

公有子网：公有子网就是默认网关是Internet 网关的子网，可以与互联网直接相连。私有子网：私有子网只能通过NAT实例或者NAT 网关与互联网相连。

其实吧，有个简单的理解方式，即：公有子网类似机房的dmz区域，而私有子网类似机房的内网。

AWS官网提供了一张非常简明清晰的图片，有了这张图片，就不难理解，朋友的问题了。

如图所示，如果想要让公有子网的机器走NAT网关，那么公有子网的机器网络流向是：

ec2 -> natgw

这个时候，我们需要修改子网配置，让子网的默认流量走NAT网关，路由表如下：

Destination Target 10.0.0.0/16 local 0.0.0.0/0 nat-gateway-id

经过此项操作后，看起来合情合理，但是不要忘了，我们的NAT网关获取到的其实是子网内部的IP

那么，我们此时的NAT网关的网络流量走向其实是：

nat-gateway -> nat-getway

这样就出现了路由回环了，自然是无法畅通了

想要解决这个问题，在不重建主机的情况下，只能将NAT网关放到另外的VPC中了。

未查询到任何数据！