Не удается подключиться к экземпляру EC2 в VPC (Amazon AWS)

46

Я предпринял следующие шаги:

Создан VPC (с одной общедоступной подсетью)
Добавлен экземпляр EC2 в VPC
Выделен эластичный IP
Связал эластичный IP с экземпляром
Создал группу безопасности и назначил ее экземпляру
Изменены правила безопасности, чтобы разрешить входящий ICMP-эхо и TCP через порт 22

Я сделал все это, и я все еще не могу пинговать или ssh в экземпляр. Если я выполняю те же действия, за исключением битов VPC, я могу установить это без проблем. Какой шаг я пропускаю?

amazon-ec2 amazon-web-services amazon-vpc

— Райан Линч
источник

2

Вы назначили шлюз и маршрут к подсети VPC?

— Зорлем

Если я иду в Интернет-шлюзы, есть шлюз, назначенный на VPC. Как проверить, был ли назначен маршрут?

— Райан Линч

Является ли маршрут таблицей маршрутов?

— Райан Линч

2

да, вам нужно назначить "интернет-шлюз" для публичной таблицы маршрутизации.

— Зорлем

1

Отлично, спасибо, мужик. Если вы поставите это в форме ответа, я приму это. В своем ответе, не могли бы вы также указать, что именно положить в таблицу маршрутов? Я вставил 0.0.0.0/0 и цель в качестве интернет-шлюза, но это не похоже на то, что нужно делать.

— Райан Линч

75

Для связи за пределами VPC каждая подсеть не по умолчанию нуждается в таблице маршрутизации и связанном с ней интернет-шлюзе (по умолчанию подсети получают внешний шлюз и таблицу маршрутизации).

В зависимости от того, как вы создали общедоступную подсеть в VPC, вам может потребоваться добавить их явно. Ваша настройка VPC звучит так, как будто она соответствует сценарию 1 - частное облако (VPC) с одной общедоступной подсетью и шлюз Интернета для обеспечения связи через Интернет из документации AWS VPC.

Вам нужно будет добавить интернет-шлюз к вашему VPC и в таблице маршрутизации общедоступной подсети назначить0.0.0.0/0 (маршрут по умолчанию), чтобы перейти к назначенному интернет-шлюзу. Есть хорошая иллюстрация точной топологии сети внутри документации.

Кроме того, для получения дополнительной информации вы можете проверить документацию VPS Internet Gateway AWS. К сожалению, это немного грязно и неочевидно.

Подробнее о проблемах с подключением см. Также: Устранение неполадок при подключении к вашему экземпляру .

— zorlem
источник

2

В дополнение к назначению маршрута по умолчанию для интернет-шлюза мне также пришлось связать подсеть с таблицей маршрутизации. Но как только я сделал эти две вещи, я начал работать. Благодарю.

— Сэм Кенни

4

Управление VPC> Таблица маршрутов> [Маршруты]> Добавить, 0.0.0.0/0, выпадающий список, чтобы выбрать ваш интернет-шлюз

— Скотт Р. Фрост

Я добавлю это в интернет, чтобы учиться на своей ошибке. Если ваш маршрут к интернет-шлюзу имеет пункт назначения 0.0.0.0/32, он не будет работать. Маршрут необходимо изменить на 0.0.0.0/0, как указано в ответе Зорлема.

— Дуглас провел

4

Не уверен, что это именно тот случай, но я только что создал VPC с публичными и частными подсетями и заметил, что существует группа безопасности по умолчанию, в которой адрес источника совпадает с именем группы безопасности. Эффективно не имеет доступа. Пришлось сменить этот источник на Anywhere и он начал работать.

— разб
источник

Здравствуйте, я тестирую этот сценарий 2 тоже. Публичный и частный экземпляр в публичной и частной подсетях. Дело в том, что я не понимаю, как частный экземпляр мог получить доступ к Интернету и обновить программное обеспечение.

— 1

Спасибо, это была моя проблема, я предполагал, что это означает, что все экземпляры внутри VPC имеют доступ

— Santthosh

3

Я заметил, что (я думаю) вы должны быть осторожны с тем, в какой зоне доступности создается ваш экземпляр. Подсеть, сетевой интерфейс и экземпляр должны находиться в одной зоне доступности, в противном случае невозможно подключиться к общедоступному IP-адресу. для этого экземпляра.

Возможно, я ошибаюсь - но я так не думаю, это стоило мне 12 часов работы, чтобы понять.

Надеюсь, это поможет кому-то еще.

— malsmith
источник

Это правильно. Сценарий 1, как упомянуто в ответе, - это то, где вы создаете /16VPC, а затем создаете /24в каждом AZ, в котором хотите работать

— Machavity

1

Вы должны выделить ENI и назначить Эластичный IP этому ENI. Кроме того, вы должны назначить этот ENI вашему VPC. Таблица маршрутов также должна быть правильной, чтобы правильно пересылать внешние пакеты в ваш VPC.

— Лукас Фрейтас
источник

Я считаю, что добавление ENI необходимо, когда вам нужны дополнительные сетевые интерфейсы в ваших экземплярах, по умолчанию они поставляются с одним NIC.

— Зорлем

0

Поскольку SSH является протоколом Statefull, вам необходимо убедиться, что в вашем ACL сети есть следующее правило OUTBOUND:

Rule #  Type            Protocol        Port Range      Destination     Allow / Deny
100     Custom TCP Rule TCP (6)         49152-65535     0.0.0.0/0       ALLOW

— Халид Анвар
источник