Amazon web services 用于传出internet连接的AWS NAT网关与公共IP

我正在学习AWS以及如何为EC2实例配置网络，并有几个问题。我在t2.micro实例中使用CentOS 7

私有IP绑定到实例中的NIC，如

ifconfig-a

所示。其目的似乎是为服务器提供一个单一的联系点。添加另一个网络接口不会添加另一个NIC，如

ifconfig-a

所示。由于主网络接口不能是静态IP，因此大多数配置都需要辅助网络接口。例如，要将应用程序连接到数据库服务器，请使用分配给第二个网络接口的静态IP。我理解正确吗

公共IP显示在AWS控制台中，并提供通过SSH连接到实例的方法（假设您配置了SG）。公共IP还提供了访问internet进行系统更新的方法。这似乎与美国焊接学会的相关文件相矛盾。如果公共IP已经提供internet访问，为什么需要NAT（实例或网关）？这是指文档中引用的系统更新

您可以使用NAT设备使专用子网中的实例能够连接到Internet（例如，对于软件更新）或其他AWS服务，但阻止Internet启动与实例的连接。NAT设备将流量从专用子网中的实例转发到Internet或其他AWS服务，然后将响应发送回实例

是否始终为每个实例分配公共IP和私有IP？我还没有经历过创建[新]AMI的过程来验证是否有不使用公共IP的选项。如果该实例没有公共IP，AWS控制台的“连接”按钮是否仍允许您连接到该实例以管理服务器？在什么情况下实例将不具有公共IP？如何连接到该实例以管理它

---

我已经阅读了文档并理解了其中的大部分内容。我很难理解NAT网关或internet网关是启用internet访问所必需的，而默认情况下，这似乎是启用的。我遗漏了什么？

我想你的困惑源于你的第三个问题。公用IP并不总是分配给实例。公共IP是您可以在公共VPC子网中启用或禁用的选项，而在私有VPC子网中，公共IP根本不是选项。对于没有公共IP的EC2实例，需要NAT网关（或NAT实例）才能访问VPC之外的任何内容

---

您可能希望将数据库服务器之类的东西放在私有子网中，以便VPC之外的任何东西都无法访问它。但是，您可能希望数据库服务器能够访问Internet以下载修补程序或其他内容，或者您可能希望它访问AWS API以将备份复制到S3或其他内容，在这种情况下，您需要NAT网关来提供服务器对VPC外资源的访问。

这正是我所缺少的。我看到自动分配公共IP在启动实例的第3步中。再次查看文档，测试Internet连接一节对此进行了澄清。具有公用IP的实例位于公用子网中，而没有公用IP的实例位于专用子网中。只能在启动实例时分配公共/私有IP。我读过的教程似乎没有明确说明这一点。谢谢@Mark-B！另外，关于你的第一个问题，我认为你把事情复杂化了。对于大多数配置，您肯定不需要添加第二个网络接口。我不确定您分配给第二个网络接口的是什么“静态ip”，但这不是必需的。在专有网络中，私有IP是静态的。要连接到VPC内的其他资源，您应该始终使用专用IP，并且您应该使用安全组ID而不是IP地址来向其他VPC资源打开安全组。RE:“专用IP是一个可以在公共VPC子网中启用或禁用的选项”此选项位于何处？VPC创建后是否可以更改？通过浏览VPC向导，我知道我有一个没有私有子网的公共VPC。对不起，这是一个输入错误。它应该是“公共IP是一种选择”。我已经纠正了我答案中的错误。私有IP不是一个选项，所有VPC资源都必须有一个私有IP。关于我的第二个问题，我没有连接到默认情况下所有新实例都与VPC关联。在阅读实例IP寻址文档时，我采用了“对于在EC2 Classic中启动的实例，我们在实例停止或终止时释放专用IPv4地址。如果重新启动停止的实例，它将收到一个新的专用IPv4地址。”这意味着我需要提供另一个不会在重新启动时更改的IP。但是，这不适用，因为我现在了解到我正在使用VPC，并且使用VPC的实例在该实例被销毁之前保持相同的私有IP。您也可以在我的答案中找到一些有用的信息？