Vraag Kan geen verbinding maken met EC2-instantie in VPC (Amazon AWS)


Ik heb de volgende stappen genomen:

  1. Een VPC gemaakt (met één openbaar subnet)
  2. Een EC2-instantie toegevoegd aan de VPC
  3. Toegewezen een elastische IP
  4. Verbond de elastische IP met de instantie
  5. Een beveiligingsgroep gemaakt en deze aan de instantie toegewezen
  6. De beveiligingsregels gewijzigd om inkomende ICMP-echo en TCP op poort 22 toe te staan

Ik heb dit allemaal gedaan en ik kan nog steeds niet pingen of ssh in de instantie. Als ik dezelfde stappen minus de VPC-bits volg, kan ik dit probleemloos oplossen. Welke stap mis ik?


46
2018-04-06 04:23


oorsprong


Hebt u een gateway en een route toegewezen aan het VPC-subnet? - zorlem
Als ik naar internetgateways ga, is er een gateway toegewezen aan de VPC. Hoe kan ik controleren of een route is toegewezen? - Ryan Lynch
Is route een routetabel? - Ryan Lynch
ja, u moet een "internetgateway" toewijzen aan de openbare routeringstabel. - zorlem
Uitstekend, bedankt man. Als je het in de vorm van een antwoord plaatst, accepteer ik het. Kunt u in uw antwoord ook aangeven wat u precies in de routentabel moet plaatsen? Ik plaatste 0.0.0.0/0 en het doel als internet-gateway, maar dat klinkt niet als het juiste ding om te doen. - Ryan Lynch


antwoorden:


Om buiten de VPC te communiceren, heeft elk niet-standaard subnet een routeringstabel en een daaraan gekoppelde internetgateway nodig (de standaardsubnetten krijgen standaard een externe gateway en een routeringstabel).

Afhankelijk van de manier waarop u openbaar subnet in de VPC hebt gemaakt, moet u deze mogelijk extra toevoegen. Uw VPC-configuratie klinkt alsof het overeenkomt met Scenario 1 - een private cloud (VPC) met één openbaar subnet en een internetgateway om communicatie via internet mogelijk te maken uit de AWS VPC-documentatie.

Je zal moet u een internetgateway toevoegen aan uw VPC en binnen de routeringstabel van het openbare subnet toewijzen 0.0.0.0/0 (standaardroute) om naar de toegewezen internetgateway te gaan. Er is een mooie illustratie van de exacte netwerktopologie in de documentatie.

Voor meer informatie kunt u ook de VPC Internet Gateway AWS-documentatie. Helaas is het een beetje rommelig en een niet voor de hand liggende gotcha.

Zie ook voor meer informatie over verbindingsproblemen: Problemen oplossen Verbinding maken met uw instantie.


74
2018-04-06 05:28



Naast het toewijzen van de standaardroute voor de internetgateway moest ik ook het subnet aan de routeringstabel koppelen. Maar toen ik eenmaal deze twee dingen had gedaan, was ik in de lucht. Bedankt. - Sam Kenny
VPC-beheer> Routetabel> [Routes]> Toevoegen, 0.0.0.0/0, vervolgkeuzemenu om uw internetgateway te kiezen - ScottRFrost
Ik zal dit voor het internet weggooien om van mijn fout te leren. Als uw route naar de internetgateway de bestemming 0.0.0.0/32 heeft, werkt deze niet. De route moet worden gewijzigd in 0.0.0.0/0 zoals aangegeven in het antwoord van Zorlem. - Douglas Held


Ik weet niet zeker of dit precies zo is, maar ik heb zojuist een VPC gemaakt met openbare en privé-subnetten en heb gemerkt dat er een standaardbeveiligingsgroep is met het bronadres als dezelfde beveiligingsgroepnaam. Effectief heeft het geen toegang. Moest deze bron veranderen in Anywhere en het begon te werken.


4
2017-07-11 09:11



Hallo, ik test ook Scenario 2. Publieke en private instantie in openbaar en particulier subnet. Het punt is dat ik niet begrijp hoe de privé-instantie toegang zou kunnen krijgen tot internet en software zou kunnen updaten. - The One
Bedankt, dit was mijn probleem, veronderstelde ik, dat betekent dat alle instanties binnen VPC toegang hadden - Santthosh


Ik heb gemerkt dat (denk ik) je voorzichtig moet zijn met de beschikbaarheid van de zone waarin je instantie is aangemaakt. Het SubNet, de netwerkinterface en de Exemplaar moeten zich in dezelfde beschikbaarheidszone bevinden, anders is er geen manier om verbinding te maken met een openbaar IP-adres voor dat geval.

Ik heb het mis - maar ik denk het niet, dit heeft me 12 uur werk gekost om erachter te komen.

Ik hoop dat dit iemand anders helpt.


3
2018-02-11 18:13



Dat is correct. Scenario 1, zoals vermeld in het antwoord, is waar u een maakt /16 VPC en maak vervolgens een /24 in elk AZ waar je in wilt werken - Machavity


U moet een ENI toewijzen en de Elastic IP aan deze ENI toewijzen. Je moet deze ENI ook aan je VPC toewijzen. De routetabel moet ook correct zijn om de externe pakketten correct door te sturen naar uw VPC.


1
2018-04-06 04:59



Ik geloof dat het toevoegen van een ENI nodig is wanneer u extra netwerkinterfaces nodig hebt voor uw instanties, standaard worden ze geleverd met één NIC. - zorlem


Omdat SSH een statistisch protocol is, moet je ervoor zorgen dat je de volgende OUTBOUND-regel hebt in je netwerk-ACL:

Rule #  Type            Protocol        Port Range      Destination     Allow / Deny
100     Custom TCP Rule TCP (6)         49152-65535     0.0.0.0/0       ALLOW

0
2017-11-01 06:03