Sou um iniciante em AWS DevOps aqui, me perguntando se o endpoint Client VPN se encaixa nesse caso.
Temos alguns fornecedores cuja API tem IPs na lista branca. Funciona para nossos serviços ECS, basta fornecer os IPs do NAT Gateway.
Mas os desenvolvedores também precisam acessar essas APIs de seus computadores, então minha ideia era criar um endpoint Client VPN conectado ao VPC. No entanto, vi este artigo do StackOverflow e este artigo da AWS descrevendo como não é possível configurar NAT para conexões VPN.
Existe alguma maneira de fazer o que quero ou o AWS VPN não é ideal para esse caso?
O Client VPN pode fazer isso. Os artigos que você mencionou principalmente falam sobre Site-to-Site VPN (usando um VGW (Gateway Virtual) e um Gateway do Cliente [pense em roteador no local]).
Os documentos do Client VPN estão aqui:
https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html e https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/scenario.html.
Você pode manipular o roteamento do Client VPN para atingir seu objetivo.
E… provavelmente funciona se você já usa clientes OpenVPN.
“Com o Client VPN, você pode acessar seus recursos de qualquer lugar usando um cliente VPN baseado em OpenVPN.”
Use OpenVPN em vez disso. Tenho usado desde 2002, e acho que desde 2006 na AWS. Tem funcionado muito bem.
Não tenho certeza se este é exatamente seu caso de uso, mas confira https://remote.it/aws/. Eu tinha tanta dificuldade em gerenciar o acesso de desenvolvedores aos nossos VPCs da AWS, mas isso torna tudo fácil + seguro. Me diga o que acha.
Ahhh, não percebi que esses artigos se referiam a Site-to-Site, boa observação.
Acabei de notar este artigo da AWS que especificamente omite Client VPN, dizendo o que não consegue roteando para um NAT.
Acho que vou brincar mais com isso e ver se consigo fazer funcionar. Obrigado!
Eu ia tentar usar o VPN da AWS
Sim, tive o mesmo pensamento e acho que também vou tentar implementar isso, assim não somos cobrados pelo resto do tráfego passando pela VPN.