AT
чтобы соединение не шло через public internet VPC пиринг нужен
Size: a a a
2020 November 12
AT
я если честно смысла большого не вижу, не так уж и много там дел по пирингу, но вам виднее по контексту конечно
LB
Al T
чтобы соединение не шло через public internet VPC пиринг нужен
в ipv6 всё есть public internet, т.к. нет приватных сетей
AT
в ipv6 всё есть public internet, т.к. нет приватных сетей
ну ок конечно, это скорее плохо чем хорошо как мне кажется
LB
с пирингом много заморочек,т.к. не транзитивен, надо transit gateway, надо выделять и планировать ип блоки, в каждой vpc появляются 3 подсети: 1 для пиринга размещения внутренних лоад балансеров , одна паблик, одна приватная.
в ipv6 как миниум публичную не надо выделять, а то и вообще одной обойтись можно
в ipv6 как миниум публичную не надо выделять, а то и вообще одной обойтись можно
AT
ну я не люблю сервисы наружу выставлять без надобности, но в принципе есть egress-only gateway конечно
LB
ну ОК, даже в ipv6 наверное по хорошему стоит всё те же 3 подсети оставить и навесить разные NACL, но всё равно упрощается же, т.к. кроме NACL ничего и не надо
BG
Всем привет, может ли кто-то подсказать, copy-image операция синхронная или не очень?
BG
Ладно, теперь я знаю, что нет)
AT
ну ОК, даже в ipv6 наверное по хорошему стоит всё те же 3 подсети оставить и навесить разные NACL, но всё равно упрощается же, т.к. кроме NACL ничего и не надо
ну если вы так видите и нет препятствий для проекта с точки зрения безопасности, то почему-бы и нет. правда и с ipv4 вы можете запихать все в публичную подсеть и делать NACL & SG... так в общем-то не рекомендуют делать, но тож рекомендации
LB
Al T
ну если вы так видите и нет препятствий для проекта с точки зрения безопасности, то почему-бы и нет. правда и с ipv4 вы можете запихать все в публичную подсеть и делать NACL & SG... так в общем-то не рекомендуют делать, но тож рекомендации
не могу ж как раз, нельзя выделить блок ipv4 публичный для своих VPC , только единичные рандомные elastic IP , все остальные будут случайные и в nacl их по префиксу не прописать.
AT
то есть вы балансировать их не собираетесь? свой торрент пишете?
LB
собираюсь, почему же? но вот надо мне из VPC1 дернуть балансеры в VPC2, что мне в NACL VPC2 прописать? NAT gateway IP которые случайно задаются? с ipv6 все сети заранее известно, их можно статично прописать
LB
частные сети в ipv4 (поправил) не от хорошей жизни появились и недобросовестно используются как периметр защиты. разработчики ipv6 сознательно от них отказались видя всю эту вакханалию
AT
ну ок, NAT gateway IP это elastic IP он случайно задается но не меняется же... я вакханалии не вижу но возможно кто-то ее и наблюдает
LB
Al T
ну ок, NAT gateway IP это elastic IP он случайно задается но не меняется же... я вакханалии не вижу но возможно кто-то ее и наблюдает
у вас никогда NAT port exhaustion не было? :) неприятная штука
AT
вот поэтому и изобрели пиринг, а вы ищете и находите себе проблем
AT
ну да ладно - это беспредметный флуд на самом деле. Вы видите проблему с другого угла - я ваше мнение уважаю хоть и не разделяю
LB
Al T
ну ок, NAT gateway IP это elastic IP он случайно задается но не меняется же... я вакханалии не вижу но возможно кто-то ее и наблюдает
вакханалия: до недавнего времени меш пирингов каждый с каждым, потом транзит гейтвей, тщательный подбор ип сетей заранее, сделал ошибку - много головной боли, для любой связки нужна тройка (nacl, peering, route) в обоих направлениях, чуть что разъехалось это всё дебажить.
ipv6: прописать NACL , всё остальное работает сразу.
ipv6: прописать NACL , всё остальное работает сразу.