สาเหตุที่เป็นไปได้สำหรับการหมดเวลาเมื่อพยายามเข้าถึงอินสแตนซ์ EC2

ฉันไม่สามารถ SSH ในอินสแตนซ์ของฉันได้ - การดำเนินการหมดเวลา อะไรคือสาเหตุและฉันจะแก้ไขได้อย่างไร โดยปกติการรีบูตเครื่องจะใช้เวลานานกว่าจะมีผลและอาจทำให้สิ่งเลวร้ายที่สุด

อัปเดต: ไม่เกี่ยวกับสิทธิ์ - ฉันสามารถเข้าสู่ระบบได้ตามปกติ ฉันสงสัยว่าอาจเป็นเพราะปัญหาด้านความจำ

คุณตั้งกลุ่มความปลอดภัยที่เหมาะสมสำหรับอินสแตนซ์หรือไม่ คือสิ่งที่อนุญาตให้เข้าถึงจากเครือข่ายของคุณไปยังพอร์ต 22 บนอินสแตนซ์ (โดยค่าเริ่มต้นการรับส่งข้อมูลทั้งหมดจะไม่ได้รับอนุญาต)

อัปเดต: ตกลงไม่ใช่ปัญหากลุ่มความปลอดภัย แต่ปัญหาจะยังคงอยู่หรือไม่หากคุณเปิดอินสแตนซ์อื่นจาก AMI เดียวกันและพยายามเข้าถึงสิ่งนั้น บางทีอินสแตนซ์ EC2 นี้อาจจะล้มเหลวแบบสุ่ม - มันเป็นเพียงเรื่องของเวลาที่จะเกิดขึ้น (การอ่านที่แนะนำ: Architecting for the Cloud: Best Practices (PDF) ซึ่งเป็นบทความของ Jinesh Varia ซึ่งเป็นผู้เผยแพร่ศาสนาบริการเว็บที่ Amazon ดูโดยเฉพาะอย่างยิ่งในส่วนที่มีชื่อว่า "Design for failure and nothing will fail")

ฉันมีปัญหาเดียวกันและวิธีแก้ปัญหาลงเอยด้วยการเพิ่ม IP ของเครื่องในเครื่องของฉันไปยังรายการกฎขาเข้าในกลุ่มความปลอดภัยที่ใช้งานอยู่ ในกล่องโต้ตอบขาเข้าด้านล่างป้อน 22 ในช่วงพอร์ตIP / 32 ในเครื่องของคุณในช่องต้นทางและปล่อย 'กฎ tcp ที่กำหนดเอง' ไว้ในเมนูแบบเลื่อนลง

ทำลายและสร้างใหม่

ฉันมีพื้นที่ว่างหนึ่งโซนที่ฉันสามารถเชื่อมต่อได้และอีกโซนหนึ่งที่ฉันไม่สามารถทำได้ หลังจากนั้นไม่กี่ชั่วโมงฉันรู้สึกหงุดหงิดมากจนลบทุกอย่างในโซนว่างนั้น

การสร้างทุกอย่างกลับคืนมาฉันต้องแน่ใจว่าจะสร้างทุกอย่าง สิ่งนี้รวมถึง:

• สร้างVPC
  • CIDR: 10.0.0.0/24
• สร้าง อินเทอร์เน็ตเกตเวย์
• เชื่อมต่ออินเทอร์เน็ตเกตเวย์กับ VPC
• สร้าง ตารางเส้นทาง
• เพิ่มเส้นทางไปยังตารางเส้นทาง
  • Destination: 0.0.0.0/0
  • Target: <Internet Gateway from earlier>
• สร้างซับเน็ต
  • CIDR: 10.0.0.0/24
  • Routing Table: <Routing Table from earlier

ฉันต้องใช้ความรู้สึกมากมายเพื่อให้ได้ทั้งหมดนี้ ฉันได้สั่งขั้นตอนตามที่ฉันคิดว่าอาจมีประสิทธิภาพมากที่สุด แต่คุณอาจต้องปรับเปลี่ยนเพื่อให้ได้หนึ่งรายการสำหรับรายการถัดไป

ข้อเสนอแนะ

ฉันไม่ได้แนะนำให้คุณใช้เทอร์โมนิวเคลียร์เหมือนที่ฉันเคยทำ ฉันเสนอข้อมูลทั้งหมดนี้เพื่อให้คุณสามารถตรวจสอบการเชื่อมโยงเหล่านี้เพื่อให้แน่ใจว่าคุณเหมาะสม

คำตอบนี้มีไว้สำหรับคนโง่ (เช่นฉัน) DNS สาธารณะของ EC2 ของคุณอาจ (จะ) เปลี่ยนแปลงเมื่อรีสตาร์ท หากคุณไม่ตระหนักถึงสิ่งนี้และพยายาม SSH ไปยัง DNS สาธารณะเก่าของคุณการเชื่อมต่อจะหยุดและหมดเวลา สิ่งนี้อาจทำให้คุณคิดว่ามีบางอย่างผิดปกติกับ EC2 หรือกลุ่มความปลอดภัยของคุณหรือ ... ไม่เพียงแค่ SSH ไปยัง DNS ใหม่ และอัปเดต~/.ssh/configไฟล์ของคุณหากคุณต้อง!

ในการเชื่อมต่อให้ใช้ ssh ดังนี้:

ssh -i keyname.pem username@xxx.xx.xxx.xx

keyname.pemชื่อคีย์ส่วนตัวของคุณอยู่ที่ไหนชื่อusernameผู้ใช้ที่ถูกต้องสำหรับการแจกจ่ายระบบปฏิบัติการของคุณและxxx.xx.xxx.xxเป็นที่อยู่ IP สาธารณะ

เมื่อหมดเวลาหรือล้มเหลวให้ตรวจสอบสิ่งต่อไปนี้:

กลุ่มรักษาความปลอดภัย

ตรวจสอบให้แน่ใจว่ามีกฎขาเข้าสำหรับพอร์ต tcp 22และ ips ทั้งหมดหรือ ip ของคุณ คุณสามารถค้นหากลุ่มความปลอดภัยผ่านเมนู ec2 ในตัวเลือกอินสแตนซ์

ตารางเส้นทาง

สำหรับซับเน็ตใหม่ใน vpc คุณต้องเปลี่ยนเป็นตารางเส้นทางที่ชี้0.0.0.0/0 ไปยังเป้าหมายเกตเวย์อินเทอร์เน็ตเป้าหมายอินเทอร์เน็ตเกตเวย์ เมื่อคุณสร้างซับเน็ตใน vpc ของคุณโดยค่าเริ่มต้นจะกำหนดตารางเส้นทางเริ่มต้นซึ่งอาจไม่ยอมรับการรับส่งข้อมูลขาเข้าจากอินเทอร์เน็ต คุณสามารถแก้ไขตัวเลือกตารางเส้นทางในเมนู vpc จากนั้นซับเน็ต

IP ยืดหยุ่น

สำหรับอินสแตนซ์ใน vpc คุณต้องกำหนดที่อยู่ IP ยืดหยุ่นสาธารณะและเชื่อมโยงกับอินสแตนซ์ ไม่สามารถเข้าถึงที่อยู่ IP ส่วนตัวจากภายนอกได้ คุณสามารถรับ Elastic ip ได้ในเมนู ec2 (ไม่ใช่เมนูอินสแตนซ์)

ชื่อผู้ใช้

ให้แน่ใจว่าคุณกำลังใช้ชื่อผู้ใช้ที่ถูกต้อง มันควรจะเป็นอย่างใดอย่างหนึ่งec2-userหรือหรือroot ubuntuลองใช้ทั้งหมดหากจำเป็น

คีย์ส่วนตัว

ตรวจสอบว่าคุณใช้คีย์ส่วนตัวที่ถูกต้อง ( คีย์ที่คุณดาวน์โหลดหรือเลือกเมื่อเปิดอินสแตนซ์) ดูเหมือนชัดเจน แต่การคัดลอกวางทำให้ฉันมีสองครั้ง

คุณได้ดูคอนโซลเอาต์พุตจากอินสแตนซ์แล้วหรือยัง? คุณสามารถทำได้ผ่านคอนโซล AWS (อินสแตนซ์ -> คลิกขวาที่อินสแตนซ์ -> รับบันทึกระบบ) ฉันเคยมีบางครั้งที่บริการเครือข่ายบนอินสแตนซ์ EC2 ไม่สามารถเริ่มต้นได้อย่างถูกต้องส่งผลให้การเชื่อมต่อ SSH หมดเวลา การรีสตาร์ทอินสแตนซ์มักจะแก้ไขสิ่งต่างๆ

หลังจาก 2 ชั่วโมงฉันพบสิ่งนี้

โปรดทราบว่า ssh ip 120.138.105.251/32

• ไม่ใช่ที่อยู่ IP ของอินสแตนซ์ที่ยอดเยี่ยม

• ไม่ใช่ IP ในพื้นที่ของคุณ 127.0.0.1

• ไม่ใช่ IP ในพื้นที่ของคุณ localhost

แต่ แต่

ใช้ของคุณที่อยู่ IP สาธารณะของคุณคอมพิวเตอร์ส่วนบุคคลจากการที่คุณพยายามที่จะเข้าถึงเช่น AWS

1. ไปที่https://www.whatismyip.com/ ที่ อยู่ ip ใดก็ได้ที่ใส่ssh

หากคุณต้องการเปิด SSH อย่างเต็มที่กับที่อยู่ IP ทั้งหมด

นี่คือวิธีการดูรายการเข้าที่เข้าถึงได้อย่างเต็มที่ - ได้รับการยอมรับขั้นพื้นฐาน

นี่คือสิ่งที่ฉันใช้ในการผลิต

ต่อไปนี้เป็นปัญหาที่อาจเกิดขึ้น:

• สิ่งที่เป็นไปได้มากที่สุดคือ Security Group ไม่ได้รับการกำหนดค่าอย่างเหมาะสมเพื่อให้การเข้าถึง SSH บนพอร์ต 22 ไปยัง ip ของคุณการเปลี่ยนแปลงการตั้งค่าความปลอดภัยไม่จำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์เพื่อให้มีประสิทธิภาพ แต่ต้องรอสักครู่เพื่อให้เป็น ใช้ได้

• การกำหนดค่าไฟร์วอลล์ภายในไม่อนุญาตให้เข้าถึง SSH ไปยังเซิร์ฟเวอร์ (คุณสามารถลองใช้การเชื่อมต่ออินเทอร์เน็ตอื่นโทรศัพท์ / ดองเกิลเพื่อลองใช้งานได้)

• เซิร์ฟเวอร์ไม่เริ่มทำงานอย่างถูกต้อง (การตรวจสอบการเข้าถึงจะล้มเหลวแม้ในคอนโซลของ amazon) ซึ่งในกรณีนี้คุณจะต้องหยุดและเริ่มเซิร์ฟเวอร์

ดูหน้าความช่วยเหลือนี้บนเอกสาร AWS:

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html#TroubleshootingInstancesConnectionTimeout คุณอาจพบโซลูชันของคุณที่นั่น สำหรับฉันส่วนนี้ได้แก้ไข:

[EC2-VPC] ตรวจสอบตารางเส้นทางสำหรับซับเน็ต คุณต้องมีเส้นทางที่ส่งการรับส่งข้อมูลทั้งหมดที่กำหนดไว้นอก VPC ไปยังอินเทอร์เน็ตเกตเวย์สำหรับ VPC

• เปิดคอนโซล Amazon VPC ที่https://console.aws.amazon.com/vpc/

• ในบานหน้าต่างนำทางเลือกอินเทอร์เน็ตเกตเวย์ ตรวจสอบว่ามีอินเทอร์เน็ตเกตเวย์เชื่อมต่อกับ VPC ของคุณ มิฉะนั้นให้เลือกสร้างอินเทอร์เน็ตเกตเวย์และปฏิบัติตามคำแนะนำเพื่อสร้างเกตเวย์อินเทอร์เน็ตเลือกเกตเวย์อินเทอร์เน็ตจากนั้นเลือกแนบกับ VPC และทำตามคำแนะนำเพื่อแนบเข้ากับ VPC ของคุณ

• ในบานหน้าต่างนำทางเลือกเครือข่ายย่อยจากนั้นเลือกเครือข่ายย่อยของคุณ

• บนแท็บตารางเส้นทางตรวจสอบว่ามีเส้นทางที่มี 0.0.0.0/0 เป็นปลายทางและมีเกตเวย์อินเทอร์เน็ตสำหรับ VPC ของคุณเป็นเป้าหมาย มิฉะนั้นให้เลือก ID ของตารางเส้นทาง (rtb-xxxxxxxx) เพื่อไปที่แท็บเส้นทางสำหรับตารางเส้นทางเลือกแก้ไขเพิ่มเส้นทางอื่นป้อน 0.0.0.0/0 ในปลายทางเลือกเกตเวย์อินเทอร์เน็ตของคุณจากเป้าหมายจากนั้น เลือกบันทึก

แต่ฉันขอแนะนำให้คุณตรวจสอบตัวเลือกทั้งหมดที่ลิงก์ด้านบนครอบคลุมคุณอาจพบปัญหาอย่างน้อยหนึ่งปัญหาที่คุณได้รับ

ปัญหาของฉัน - ฉันเปิดพอร์ต 22 สำหรับ "IP ของฉัน" และทำให้เกิดการเปลี่ยนแปลงการเชื่อมต่ออินเทอร์เน็ตและการเปลี่ยนแปลงที่อยู่ IP เลยต้องเปลี่ยนกลับ.

เมื่อสร้าง@ted.straussคำตอบคุณสามารถเลือกSSHและMyIPจากเมนูแบบเลื่อนลงแทนที่จะไปที่ไซต์ของบุคคลที่สาม

เพียงรีบูตอินสแตนซ์ Ec2 เมื่อคุณใช้กฎ

อนุญาต ssh และพอร์ต 22 จาก ufw จากนั้นเปิดใช้งานและตรวจสอบด้วยคำสั่งสถานะ

sudo ufw allow ssh
sudo ufw allow 22
sudo ufw enable
sudo ufw status

อีกหนึ่งความเป็นไปได้ กลุ่มความปลอดภัย AWS ได้รับการตั้งค่าให้ทำงานเฉพาะกับที่อยู่ IP ขาเข้าที่ระบุเท่านั้น หากกลุ่มความปลอดภัยของคุณถูกตั้งค่าด้วยวิธีนี้คุณ (หรือเจ้าของบัญชี) จะต้องเพิ่มที่อยู่ IP ของคุณในกลุ่มความปลอดภัย สิ่งนี้เปิดแดชบอร์ด AWS ของคุณเลือกกลุ่มความปลอดภัยเลือกกลุ่มความปลอดภัยและคลิกที่แท็บขาเข้า จากนั้นเพิ่ม ip ของคุณตามความเหมาะสม

ฉันมีปัญหาเดียวกันและวิธีแก้ปัญหาคืออนุญาตให้เข้าถึงจากที่ใดก็ได้ไปยังรายการกฎขาเข้าในกลุ่มความปลอดภัยที่ใช้งานอยู่ ในกล่องโต้ตอบขาเข้าให้ป้อน 22 ในช่วงพอร์ตที่ใดก็ได้ในฟิลด์ต้นทางและเลือก "ssh" ในเมนูแบบเลื่อนลง

PS: นี่อาจไม่ใช่โซลูชันที่แนะนำเนื่องจากหมายความว่าอินสแตนซ์นี้สามารถใช้งานได้จากเครื่องใดก็ได้ แต่ฉันไม่สามารถทำให้มันทำงานกับ IP ในเครื่องของฉันได้

ฉันมีปัญหาคล้ายกันเมื่อฉันใช้ Wifi สาธารณะซึ่งไม่มีรหัสผ่าน การเปลี่ยนการเชื่อมต่ออินเทอร์เน็ตเป็นการเชื่อมต่อที่ปลอดภัยช่วยแก้ปัญหาได้

หากการเข้าถึง SSH ใช้ไม่ได้กับอินสแตนซ์ EC2 ของคุณคุณต้องตรวจสอบ:

• กลุ่มความปลอดภัยสำหรับอินสแตนซ์ของคุณอนุญาตให้เข้าถึง SSH ขาเข้า (ตรวจสอบ: ดูกฎ )

หากคุณใช้อินสแตนซ์ VPC (คุณได้แนบรหัสVPCและรหัสเครือข่ายย่อยกับอินสแตนซ์ของคุณแล้ว) ให้ตรวจสอบ:

1. ใน VPC Dashboard ค้นหารหัสเครือข่ายย่อยที่ใช้แล้วซึ่งแนบมากับ VPC ของคุณ
2. ตรวจสอบตารางเส้นทางที่แนบมาซึ่งควรมี0.0.0.0/0เป็นปลายทางและเกตเวย์อินเทอร์เน็ตของคุณเป็นเป้าหมาย

บน Linux คุณสามารถตรวจสอบข้อมูลเส้นทางในล็อกระบบในเครือข่ายของอินสแตนซ์ได้เช่น:

++++++++++++++++++++++++++++++++++++++Net device info+++++++++++++++++++++++++++++++++++++++
+--------+------+------------------------------+---------------+-------+-------------------+
| Device |  Up  |           Address            |      Mask     | Scope |     Hw-Address    |
+--------+------+------------------------------+---------------+-------+-------------------+
|   lo   | True |          127.0.0.1           |   255.0.0.0   |   .   |         .         |
|  eth0  | True |         172.30.2.226         | 255.255.255.0 |   .   | 0a:70:f3:2f:82:23 |
+--------+------+------------------------------+---------------+-------+-------------------+
++++++++++++++++++++++++++++Route IPv4 info+++++++++++++++++++++++++++++
+-------+-------------+------------+---------------+-----------+-------+
| Route | Destination |  Gateway   |    Genmask    | Interface | Flags |
+-------+-------------+------------+---------------+-----------+-------+
|   0   |   0.0.0.0   | 172.30.2.1 |    0.0.0.0    |    eth0   |   UG  |
|   1   |   10.0.3.0  |  0.0.0.0   | 255.255.255.0 |   lxcbr0  |   U   |
|   2   |  172.30.2.0 |  0.0.0.0   | 255.255.255.0 |    eth0   |   U   |
+-------+-------------+------------+---------------+-----------+-------+

ที่UGธงแสดงเกตเวย์อินเทอร์เน็ตของคุณ

สำหรับรายละเอียดเพิ่มเติมโปรดตรวจสอบ: การแก้ไขปัญหาการเชื่อมต่อกับอินสแตนซ์ของคุณที่ Amazon docs

ในการเปิดใช้งานการเข้าถึง ssh จากอินเทอร์เน็ตสำหรับอินสแตนซ์ในซับเน็ต VPC ให้ทำดังต่อไปนี้:

• แนบอินเทอร์เน็ตเกตเวย์กับ VPC ของคุณ
• ตรวจสอบให้แน่ใจว่าตารางเส้นทางของเครือข่ายย่อยของคุณชี้ไปที่อินเทอร์เน็ตเกตเวย์
• ตรวจสอบให้แน่ใจว่าอินสแตนซ์ในเครือข่ายย่อยของคุณมีที่อยู่ IP ที่ไม่ซ้ำกันทั่วโลก (ที่อยู่ IPv4 สาธารณะ, ที่อยู่ IP ยืดหยุ่นหรือที่อยู่ IPv6)
• ตรวจสอบให้แน่ใจว่าการควบคุมการเข้าถึงเครือข่ายของคุณ (ที่ระดับ VPC) และกฎกลุ่มความปลอดภัย (ที่ระดับ ec2) อนุญาตให้มีการรับส่งข้อมูลที่เกี่ยวข้องเข้าและออกจากอินสแตนซ์ของคุณ ตรวจสอบให้แน่ใจว่าที่อยู่ IP สาธารณะของเครือข่ายของคุณเปิดใช้งานสำหรับทั้งสองอย่าง โดยค่าเริ่มต้น Network AcL จะอนุญาตการรับส่งข้อมูลขาเข้าและขาออกทั้งหมดยกเว้นกำหนดค่าไว้เป็นอย่างอื่นอย่างชัดเจน

สำหรับฉันมันเป็นเซิร์ฟเวอร์ apache ที่โฮสต์บนอินสแตนซ์ t2.micro linux EC2 ไม่ใช่อินสแตนซ์ EC2 เอง

ฉันแก้ไขโดยทำ:

sudo su

service httpd restart

ฉันมีปัญหาเดียวกันและฉันแก้ไขโดยเพิ่มกฎในกลุ่มความปลอดภัย

SSH ขาเข้า 0.0.0.0/0

หรือคุณสามารถเพิ่มที่อยู่ IP ของคุณเท่านั้น

สำหรับฉันมันคือการที่ฉันลบทุกอย่างออกจากไดรฟ์ข้อมูลสำหรับบูต และไม่สามารถเชื่อมต่อกับอินสแตนซ์ได้อีกต่อไป

ฉันกำลังทำงานกับอินสแตนซ์และมันก็ดีในวันถัดไปเมื่อฉันพยายาม SSH ในอินสแตนซ์ของฉันมันบอกว่า - หมดเวลาการเชื่อมต่อ

ฉันพยายามอ่านโพสต์นี้ แต่ไม่ได้ผล ฉันก็เลย -

ในEdit inbound rulesคอลัมน์จากแหล่งที่มาให้เลือกMY IPและจะเติมที่อยู่ IP สาธารณะของคุณโดยอัตโนมัติในรูปแบบ CIDR ( XXX.XXX.XXX.XX/32)

ฉันลองใช้คำตอบ @ ted.strauss โดยให้ IP ท้องถิ่น แต่มันไม่ได้ช่วยในกรณีของฉัน ดังนั้นฉันจึงเลือก IP ของฉันและมันใช้งานได้

หวังว่านี่จะช่วยใครสักคน!

ping DNS ก่อน หากล้มเหลวให้กำหนดค่ากฎขาเข้า / ขาออกของคุณในตัวช่วยสร้างการเปิดตัว กำหนดค่าการรับส่งข้อมูลทั้งหมดและโปรโตคอลทั้งหมดและบันทึกด้วยตัวเลือกเริ่มต้น Ping อีกครั้งกับระบบท้องถิ่นของคุณจากนั้นควรใช้งานได้

หากคุณเพิ่งสร้างอินสแตนซ์ใหม่และไม่สามารถเชื่อมต่อกับอินสแตนซ์ได้ฉันสามารถแก้ปัญหาได้โดยการยุติอินสแตนซ์นั้นและสร้างอินสแตนซ์ใหม่ แน่นอนว่าจะใช้ได้ก็ต่อเมื่อเป็นอินสแตนซ์ใหม่และคุณยังไม่ได้ดำเนินการใด ๆ เพิ่มเติม