使用仅出口互联网网关允许出站 IPv6 流量
仅出口 Internet 网关是一种横向扩展、支持冗余且高度可用的 VPC 组件,它能够实现从 VPC 中的实例经由 IPv6 到 Internet 的出站通信,并防止 Internet 发起与您的实例的 IPv6 连接。
注意
仅出口 Internet 网关只适用于 IPv6 流量。要通过 IPv4 实现仅出站 Internet 通信,请改用 NAT 网关。有关更多信息,请参阅 NAT 网关。
仅出口互联网网关基础知识
IPv6 地址是全球唯一的,因此默认为公有。如果您希望实例能够访问 Internet,但又想要阻止 Internet 上的资源发起与您的实例的通信,则您可以使用仅出口 Internet 网关。为此,请在 VPC 中创建一个仅出口 Internet 网关,然后向路由表中添加一条将所有 IPv6 流量 (::/0) 或特定的 IPv6 地址范围指向仅出口 Internet 网关的路由。子网中与路由表关联的 IPv6 流量会被路由到仅出口 Internet 网关。
仅出口 Internet 网关是有状态的:它将来自子网中实例的流量转发到 Internet 或其他 Amazon 服务,然后将响应发回给实例。
仅出口 Internet 网关具有以下特性:
-
您无法将安全组与仅出口 Internet 网关关联。可以为私有子网中的实例使用安全组以便控制进出这些实例的流量。
-
您可以使用网络 ACL 控制仅出口 Internet 网关路由的进出子网的流量。
在下图中,VPC 同时具有 IPv4 和 IPv6 CIDR 块,子网同时具有 IPv4 和 IPv6 CIDR 块。此 VPC 拥有一个仅出口互联网网关。
以下是与该子网关联的路由表示例。有一条路由会将所有传出至互联网的所有 IPv6 流量(::/0)发送到仅出口互联网网关。
| 目标位置 | 目标 |
|---|---|
| 10.0.0.0/16 | 本地 |
| 2001:db8:1234:1a00:/64 | 本地 |
| ::/0 | eigw-id |
使用仅传出互联网网关
以下任务介绍如何为私有子网创建仅出口(出站)互联网网关,以及如何为该子网配置路由。
创建仅出口 Internet 网关
您可以使用 Amazon VPC 控制台为您的 VPC 创建一个仅出口互联网网关。
创建仅出口 Internet 网关
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 在导航窗格中,选择 Egress Only Internet Gateways。
选择 Create Egress Only Internet Gateway。
-
(可选)添加或删除标签。
[添加标签] 选择添加新标签,然后执行以下操作:
-
对于 Key(键),输入键名称。
-
对于值,输入键值。
[删除标签] 选择标签的“键”和“值”右侧的删除。
-
-
选择要在其中创建仅出口 Internet 网关的 VPC。
-
选择创建。
查看您的仅出口互联网网关
您可以在 Amazon VPC 控制台中查看有关仅出口互联网网关的信息。
查看有关仅出口 Internet 网关的信息
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Egress Only Internet Gateways。
-
选择仅出口 Internet 网关以在详细信息窗格中查看其信息。
创建自定义路由表
要将发往 VPC 外部的流量发送到仅出口 Internet 网关,您必须创建一个自定义路由表并添加将流量发送到该网关的路由,然后将其与您的子网关联。
创建自定义路由表并添加到仅出口 Internet 网关的路由
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,依次选择 Route Tables (路由表)、Create Route Table (创建路由表)。
-
在 Create Route Table (创建路由表) 对话框中,可以选择命名您的路由表,选择您的 VPC,然后选择 Yes, Create (是,创建)。
-
选择您刚刚创建的自定义路由表。详细信息窗格中会显示选项卡,以供您使用其路径、关联和路线传播。
-
在 Routes (路由) 选项卡中,选择 Edit routes (编辑路由),在 Destination (目的地) 框中指定
::/0,从 Target (目标) 列表中选择仅出口 Internet 网关 ID,然后选择 Save changes (保存更改)。 -
在 Subnet associations (子网关联) 选项卡上,选择 Edit subnet associations (编辑子网关联),然后选中子网对应的复选框。选择 Save。
或者,您也可以向与您的子网关联的现有路由表添加路由。选择您现有的路由表,然后按照上述步骤 5 和 6 为仅出口 Internet 网关添加路由。
有关路由表的更多信息,请参见配置路由表。
删除仅出口 Internet 网关
如果您不再需要某一仅出口 Internet 网关,则可将其删除。路由表中指向已删除的仅出口 Internet 网关的任何路由都将保持 blackhole 状态,直到您手动删除或更新路由。
删除仅出口 Internet 网关
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择仅出口互联网网关,然后选择仅出口互联网网关。
-
选择 Delete。
-
在确认对话框中选择 Delete Egress Only Internet Gateway。
API 和 CLI 概述
您可以使用命令行或 API 执行此页面上所说明的任务。有关命令行界面的更多信息以及可用 API 操作的列表,请参阅使用 Amazon VPC。
创建仅出口 Internet 网关
create-egress-only-internet-gateway (Amazon CLI)
New-EC2EgressOnlyInternetGateway (Amazon Tools for Windows PowerShell)
描述仅出口 Internet 网关
describe-egress-only-internet-gateways (Amazon CLI)
Get-EC2EgressOnlyInternetGatewayList (Amazon Tools for Windows PowerShell)
删除仅出口 Internet 网关
delete-egress-only-internet-gateway (Amazon CLI)
Remove-EC2EgressOnlyInternetGateway (Amazon Tools for Windows PowerShell)
定价
仅出口互联网网关不收取任何费用,但您需要为使用互联网网关的 EC2 实例支付数据传输费用。有关更多信息,请参阅 Amazon EC2 按需定价