Podjąłem następujące kroki:
- Utworzono VPC (z jedną publiczną podsiecią)
- Dodano instancję EC2 do VPC
- Przydzielono elastyczny adres IP
- Powiązano elastyczny adres IP z instancją
- Utworzono grupę zabezpieczeń i przypisano ją do instancji
- Zmodyfikowano reguły bezpieczeństwa, aby umożliwić przychodzące echo ICMP i TCP na porcie 22
Zrobiłem to wszystko i nadal nie mogę pingować ani ssh do instancji. Jeśli wykonam te same kroki bez bitów VPC, mogę to skonfigurować bez problemu. Jakiego kroku mi brakuje?
amazon-ec2
amazon-web-services
amazon-vpc
Ryan Lynch
źródło
źródło
Odpowiedzi:
Aby komunikować się poza VPC, każda inna niż domyślna podsieć potrzebuje tabeli routingu i powiązanej z nią bramy internetowej (domyślne podsieci domyślnie otrzymują bramę zewnętrzną i tabelę routingu).
W zależności od sposobu utworzenia publicznej podsieci w VPC może być konieczne jawne dodanie ich dodatkowo. Twoja konfiguracja VPC brzmi tak, jakby pasowała do Scenariusza 1 - prywatna chmura (VPC) z pojedynczą publiczną podsiecią i brama internetowa umożliwiająca komunikację przez Internet z dokumentacji AWS VPC.
Musisz dodać bramę internetową do swojego VPC i wewnątrz tabeli routingu podsieci publicznej przypisać
0.0.0.0/0
(domyślną trasę), aby przejść do przypisanej bramy internetowej. W dokumentacji znajduje się ładna ilustracja dokładnej topologii sieci.Aby uzyskać więcej informacji, możesz sprawdzić dokumentację AWS VPC Internet Gateway . Niestety jest trochę niechlujny i nieoczywisty gotcha.
Aby uzyskać więcej informacji na temat problemów z połączeniem, zobacz także: Rozwiązywanie problemów z łączeniem się z instancją .
źródło
Nie jestem pewien, czy dokładnie tak jest, ale właśnie utworzyłem VPC z podsieciami publicznymi i prywatnymi i zauważyłem, że istnieje domyślna grupa zabezpieczeń, która ma adres źródłowy jako taką samą nazwę grupy zabezpieczeń. Skuteczne nie ma dostępu. Musiałem zmienić to źródło na Anywhere i zaczęło działać.
źródło
Zauważyłem, że (myślę) należy uważać na strefę dostępności, w której tworzona jest instancja. Podsieć, interfejs sieciowy i instancja muszą znajdować się w tej samej strefie dostępności, w przeciwnym razie nie będzie możliwości połączenia się z publicznym adresem IP dla tego przypadku
Mogę się mylić - ale nie sądzę, aby to zrozumieć, kosztowało mnie to 12 godzin pracy.
Mam nadzieję, że to pomaga komuś innemu.
źródło
/16
VPC, a następnie tworzysz/24
w każdym AZ, w którym chcesz pracowaćPowinieneś przydzielić ENI i przypisać Elastyczny adres IP do tego ENI. Powinieneś także przypisać ten ENI do swojego VPC. Tabela tras również musi być poprawna, aby poprawnie przekazywać pakiety zewnętrzne do twojego VPC.
źródło
Ponieważ SSH jest protokołem stanowym, musisz upewnić się, że masz w sieci ACL następującą regułę WYJŚCIE:
źródło