Frage Verbindung zu EC2-Instanz in VPC (Amazon AWS) nicht möglich


Ich habe folgende Schritte unternommen:

  1. Eine VPC erstellt (mit einem einzelnen öffentlichen Subnetz)
  2. Der VPC wurde eine EC2-Instanz hinzugefügt
  3. Zuweisung einer elastischen IP
  4. Verknüpft die elastische IP mit der Instanz
  5. Eine Sicherheitsgruppe erstellt und der Instanz zugewiesen
  6. Die Sicherheitsregeln wurden geändert, um eingehendes ICMP-Echo und TCP an Port 22 zuzulassen

Ich habe all das getan und kann immer noch nicht ping oder ssh in die Instanz hinein. Wenn ich die gleichen Schritte abzüglich der VPC-Bits befolge, kann ich dies ohne Probleme einrichten. Welchen Schritt vermisse ich?


46
2018-04-06 04:23


Ursprung


Haben Sie dem VPC-Subnetz ein Gateway und eine Route zugewiesen? - zorlem
Wenn ich zu Internet Gateways gehe, ist der VPC ein Gateway zugewiesen. Wie überprüfe ich, ob eine Route zugewiesen wurde? - Ryan Lynch
Ist Route eine Routentabelle? - Ryan Lynch
Ja, Sie müssen der öffentlichen Routingtabelle ein "Internet-Gateway" zuweisen. - zorlem
Ausgezeichnet, danke Mann. Wenn Sie es in Form einer Antwort formulieren, akzeptiere ich es. Könnten Sie in Ihrer Antwort auch angeben, was genau in die Routentabelle eingefügt werden soll? Ich gebe 0.0.0.0/0 und das Ziel als Internet-Gateway ein, aber das klingt nicht richtig. - Ryan Lynch


Antworten:


Um außerhalb der VPC zu kommunizieren, benötigt jedes nicht standardmäßige Subnetz eine Routing-Tabelle und ein damit verbundenes Internet-Gateway (die Standard-Subnetze erhalten standardmäßig ein externes Gateway und eine Routing-Tabelle).

Je nachdem, wie Sie in der VPC ein öffentliches Subnetz erstellt haben, müssen Sie diese möglicherweise explizit hinzufügen. Ihr VPC-Setup klingt wie Szenario 1 - eine private Cloud (VPC) mit einem einzelnen öffentlichen Subnetz und ein Internet-Gateway für die Kommunikation über das Internet aus der AWS-VPC-Dokumentation.

Du wirst Sie müssen Ihrer VPC ein Internet-Gateway hinzufügen und innerhalb der Routingtabelle des öffentlichen Subnetzes zuordnen 0.0.0.0/0 (Standardroute), um zum zugewiesenen Internet-Gateway zu gelangen. Es gibt eine schöne Illustration der genauen Netztopologie in der Dokumentation.

Für weitere Informationen können Sie auch die VPC-Internet-Gateway AWS-Dokumentation. Leider ist es ein wenig chaotisch und ein nicht offensichtliches Problem.

Weitere Informationen zu Verbindungsproblemen finden Sie unter: Fehlerbehebung Verbindung mit Ihrer Instance herstellen.


74
2018-04-06 05:28



Neben der Standardroute für das Internet-Gateway musste ich auch das Subnetz der Routing-Tabelle zuordnen. Aber sobald ich diese zwei Dinge getan hatte, war ich am Laufen. Vielen Dank. - Sam Kenny
VPC-Verwaltung> Routentabelle> [Routen]> Hinzufügen, 0.0.0.0/0, Dropdown, um Ihr Internet-Gateway auszuwählen - ScottRFrost
Ich werde das hier rauswerfen, damit das Internet von meinem Fehler lernt. Wenn Ihre Route zum Internet Gateway das Ziel 0.0.0.0/32 hat, funktioniert es nicht. Die Route muss wie in Zorlem's Antwort angegeben in 0.0.0.0/0 geändert werden. - Douglas Held


Nicht sicher, ob dies genau dieser Fall ist, aber ich habe gerade eine VPC mit öffentlichen und privaten Subnetzen erstellt und festgestellt, dass es eine Standardsicherheitsgruppe gibt, deren Quelladresse derselbe Sicherheitsgruppenname ist. Wirksam es hat keinen Zugang. Musste diese Quelle in Anywhere ändern und es fing an zu arbeiten.


4
2017-07-11 09:11



Hallo, ich teste gerade dieses Szenario 2. Öffentliche und private Instanz im öffentlichen und privaten Subnetz Der Punkt ist, ich verstehe nicht, wie die private Instanz auf Internet zugreifen und Software aktualisieren könnte. - The One
Danke, das war mein Problem, ich nahm an, dass alle Instanzen in VPC Zugriff hatten - Santthosh


Mir ist aufgefallen, dass Sie vorsichtig sein müssen, in welcher Verfügbarkeitszone Ihre Instanz erstellt wird. Das Subnetz, die Netzwerkschnittstelle und die Instanz müssen sich in derselben Verfügbarkeitszone befinden, da sonst keine Verbindung zu einer öffentlichen IP hergestellt werden kann für diese Instanz.

Ich könnte mich irren - aber ich denke nicht, das hat mich 12 Stunden Arbeit gekostet, um herauszufinden.

Hoffe das hilft jemand anderem.


3
2018-02-11 18:13



Das ist richtig. Szenario 1, wie in der Antwort erwähnt, ist, wo Sie ein erstellen /16 VPC und dann erstellen Sie ein /24 in jedem AZ, in dem du arbeiten willst - Machavity


Sie sollten ein ENI zuweisen und diesem ENI die Elastic IP zuweisen. Außerdem sollten Sie diese ENI Ihrer VPC zuweisen. Die Routentabelle muss ebenfalls korrekt sein, um die externen Pakete korrekt an Ihre VPC weiterzuleiten.


1
2018-04-06 04:59



Ich glaube, dass das Hinzufügen eines ENI erforderlich ist, wenn Sie zusätzliche Netzwerkschnittstellen in Ihren Instanzen haben möchten. Standardmäßig werden sie mit einem NIC geliefert. - zorlem


Da SSH ein Stateful-Protokoll ist, müssen Sie sicherstellen, dass Sie die folgende OUTBOUND-Regel in Ihrer Netzwerk-ACL haben:

Rule #  Type            Protocol        Port Range      Destination     Allow / Deny
100     Custom TCP Rule TCP (6)         49152-65535     0.0.0.0/0       ALLOW

0
2017-11-01 06:03