Không thể kết nối với phiên bản EC2 trong VPC (Amazon AWS)


46

Tôi đã thực hiện các bước sau:

  1. Tạo một VPC (với một mạng con công cộng)
  2. Đã thêm một thể hiện EC2 vào VPC
  3. Phân bổ IP đàn hồi
  4. Liên kết IP đàn hồi với ví dụ
  5. Tạo một nhóm bảo mật và gán nó vào ví dụ
  6. Đã sửa đổi các quy tắc bảo mật để cho phép ICMP echo và TCP gửi đến trên cổng 22

Tôi đã làm tất cả những điều này và tôi vẫn không thể ping hoặc ssh vào ví dụ. Nếu tôi làm theo các bước tương tự trừ các bit VPC, tôi có thể thiết lập điều này mà không gặp vấn đề gì. Tôi thiếu bước nào?


2
Bạn đã chỉ định một cổng và một tuyến đến mạng con VPC?
zorlem

Nếu tôi đi đến Cổng Internet, có một cổng được gán cho VPC. Làm cách nào để kiểm tra xem tuyến đường đã được chỉ định chưa?
Ryan Lynch

Là tuyến đường một bảng tuyến đường?
Ryan Lynch

2
có, bạn cần gán một "cổng internet" cho bảng định tuyến công cộng.
zorlem

1
Tuyệt vời, cảm ơn người đàn ông. Nếu bạn đặt nó dưới dạng câu trả lời tôi sẽ chấp nhận nó. Trong câu trả lời của bạn, bạn cũng có thể chỉ định chính xác những gì cần đưa vào bảng tuyến đường? Tôi đặt 0,0.0.0 / 0 và mục tiêu là cổng internet, nhưng điều đó không có vẻ đúng.
Ryan Lynch

Câu trả lời:


75

Để giao tiếp bên ngoài VPC, mỗi mạng con không mặc định cần có bảng định tuyến và cổng internet được liên kết với nó (mạng con mặc định có một cổng ngoài và bảng định tuyến theo mặc định).

Tùy thuộc vào cách bạn đã tạo mạng con công cộng trong VPC, bạn có thể cần thêm chúng một cách rõ ràng. Thiết lập VPC của bạn nghe có vẻ giống với Kịch bản 1 - đám mây riêng (VPC) với một mạng con công cộng duy nhất và một cổng Internet để cho phép giao tiếp qua Internet từ tài liệu VPC AWS.

Bạn sẽ cần thêm một cổng internet để VPC bạn và bên trong bảng định tuyến mạng con Công của assign0.0.0.0/0 (tuyến đường mặc định) để đi đến cổng internet được giao. Có một minh họa đẹp về cấu trúc liên kết mạng chính xác bên trong tài liệu.

Ngoài ra, để biết thêm thông tin, bạn có thể kiểm tra tài liệu AWS của VPC Internet Gateway . Thật không may, nó hơi lộn xộn và một gotcha không rõ ràng.

Để biết thêm chi tiết về các vấn đề kết nối, xem thêm: Khắc phục sự cố Kết nối với Trường hợp của bạn .


2
Ngoài việc chỉ định tuyến mặc định cho cổng internet, tôi cũng phải liên kết mạng con với bảng định tuyến. Nhưng một khi tôi đã làm xong hai điều này thì tôi đã đứng dậy và chạy. Cảm ơn.
Sam Kenny

4
Quản lý VPC> Bảng tuyến> [Tuyến đường]> Thêm, 0.0.0.0/0, thả xuống để chọn cổng internet của bạn
Scott R. Frost

Tôi sẽ ném cái này ra mạng internet để học hỏi từ sai lầm của tôi. Nếu tuyến đến Cổng Internet của bạn có đích 0,0.0.0 / 32 thì nó sẽ không hoạt động. Tuyến đường cần được thay đổi thành 0.0.0.0/0 như được chỉ định trong câu trả lời của Zorlem.
Douglas Held

4

Không chắc đây có chính xác là trường hợp này không nhưng tôi chỉ tạo một VPC với các mạng con công cộng và riêng tư và nhận thấy rằng có một nhóm bảo mật mặc định có địa chỉ nguồn là cùng tên nhóm bảo mật. Hiệu quả nó không có quyền truy cập. Phải thay đổi nguồn này thành Bất cứ nơi nào và nó bắt đầu hoạt động.


Xin chào, tôi cũng đang thử nghiệm Kịch bản 2. Ví dụ công khai và riêng tư trong mạng con công cộng và riêng tư. Vấn đề là tôi không hiểu làm thế nào cá nhân có thể truy cập Internet và cập nhật phần mềm.
The One

Cảm ơn, đây là vấn đề của tôi, tôi đã giả sử, điều đó có nghĩa là tất cả các trường hợp trong VPC đều có quyền truy cập
Santthosh

3

Tôi đã nhận thấy rằng (tôi nghĩ) bạn cần cẩn thận về vùng khả dụng mà cá thể của bạn được tạo. SubNet, Giao diện mạng và Trường hợp cần phải nằm trong cùng vùng khả dụng nếu không không có cách nào để kết nối với IP công cộng ví dụ đó

Tôi có thể sai - nhưng tôi không nghĩ vậy, điều này đã khiến tôi mất 12 giờ làm việc để tìm ra.

Hy vọng điều này sẽ giúp người khác.


Đúng rồi. Kịch bản 1, như đã đề cập trong câu trả lời, là nơi bạn tạo /16VPC và sau đó tạo một /24AZ trong mỗi AZ bạn muốn làm việc
Machavity 23/12/14

1

Bạn nên phân bổ ENI và gán IP đàn hồi cho ENI này. Ngoài ra, bạn nên gán ENI này cho VPC của bạn. Bảng tuyến đường cũng phải chính xác, để chuyển tiếp chính xác các gói bên ngoài đến VPC của bạn.


Tôi tin rằng việc thêm ENI là cần thiết khi bạn muốn có thêm giao diện mạng trên các phiên bản của mình, theo mặc định chúng đi kèm với một NIC.
zorlem

0

Vì SSH là giao thức hoàn hảo, bạn cần đảm bảo rằng bạn có quy tắc OUTBOUND sau trong mạng ACL của mình:

Rule #  Type            Protocol        Port Range      Destination     Allow / Deny
100     Custom TCP Rule TCP (6)         49152-65535     0.0.0.0/0       ALLOW
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.