更新日: これについては、他にも取り組んでいます。 2つのサブネットとSSHの要塞で動作する設定を取得できないようです。 *は2つのプライベートサブネットを作成します *バスルームを作成します *バスティオンを介して設定された各サブネット上でec2インスタンスをスピンします(バスルーム経由で任意のシェルコマンドを実行します) *インターネットを持っています 私はテラフォームを学び、プロトタイプを構築しようとしています:ゲートウェイが は* *は、ルートおよびセキュリティグループがAWS VPCのTerraformで2つのサブネット間をルーティングする方法は?
オリジナルポストに応じて設定されたプライベートサブネット上のホストのNATゲートウェイを備えるように構成しました。私はAWS VPCをTerraform経由で設定しています。 DMZサブネットに加えて、インターネットからのトラフィックを受信するパブリックサブネット「Web」があります。私はインターネットからアクセスできないプライベートサブネット「アプリ」を持っています。私はterraformがプライベート "app"サブネット上にインスタンスをプロビジョニングできるように、要塞ホストを設定しようとしています。私はまだこれを働かせることができませんでした。
私が要塞に向かっているとき、私は要塞ホストからプライベートサブネット内のインスタンスまでSSHすることはできません。私はルーティング問題があると思う。いくつかの例とドキュメントを使ってこのプロトタイプを構築しています。多くの例では、awsプロバイダを使用してわずかに異なるテクニックとテラフォームのルーティング定義が使用されています。
「ウェブ」サブネット上のインスタンスがアクセスできるように、これら3つのサブネット(パブリック 'web'、パブリック 'dmz' /バス停、プライベート 'app')を定義する理想的または適切な方法を提供できますかDMZ内の要塞ホストがプライベート「アプリ」サブネットにインスタンスをプロビジョニングできることを確認します。
私のconfigsのスニップは以下の通りです:
resource "aws_subnet" "dmz" {
vpc_id = "${aws_vpc.vpc-poc.id}"
cidr_block = "${var.cidr_block_dmz}"
}
resource "aws_route_table" "dmz" {
vpc_id = "${aws_vpc.vpc-poc.id}"
route {
cidr_block = "0.0.0.0/0"
gateway_id = "${aws_internet_gateway.gateway.id}"
}
}
resource "aws_route_table_association" "dmz" {
subnet_id = "${aws_subnet.dmz.id}"
route_table_id = "${aws_route_table.dmz.id}"
}
resource "aws_subnet" "web" {
vpc_id = "${aws_vpc.vpc-poc.id}"
cidr_block = "10.200.2.0/24"
}
resource "aws_route_table" "web" {
vpc_id = "${aws_vpc.vpc-poc.id}"
route {
cidr_block = "0.0.0.0/0"
instance_id = "${aws_instance.bastion.id}"
}
}
resource "aws_route_table_association" "web" {
subnet_id = "${aws_subnet.web.id}"
route_table_id = "${aws_route_table.web.id}"
}
resource "aws_subnet" "app" {
vpc_id = "${aws_vpc.vpc-poc.id}"
cidr_block = "10.200.3.0/24"
}
resource "aws_route_table" "app" {
vpc_id = "${aws_vpc.vpc-poc.id}"
route {
cidr_block = "0.0.0.0/0"
instance_id = "${aws_instance.bastion.id}"
}
}
resource "aws_route_table_association" "app" {
subnet_id = "${aws_subnet.app.id}"
route_table_id = "${aws_route_table.app.id}"
}
あなたはこれでより多くの助けが必要な場合は、私はルートはここ(アウトバウンドの欠如以外の問題であるとは考えていないとしても、いずれかのセキュリティグループ/ NACLsなどを表示するために与えられたあなたのTFファイルを展開する必要があります。あなたの砦のボックスがNATゲートウェイとしても機能している場合を除き、プライベートサブネットでのWebアクセス) – ydaetskcoR