ใช้นักเทียบท่าใน VPC และเข้าถึงคอนเทนเนอร์จากเครื่อง VPC เครื่องอื่น


10

ฉันประสบปัญหาขณะใช้งานนักเทียบท่าใน AWS VPC

นี่คือการตั้งค่าของฉัน: ฉันมีสองเครื่องทำงานใน VPC:

  • 10.0.100.150
  • 10.0.100.151

ทั้งมีการกำหนด IP ที่ยืดหยุ่นให้กับพวกเขาทั้งสองทำงานในซับเน็ตที่เปิดใช้งานอินเทอร์เน็ตเดียวกัน

สมมติว่าฉันใช้งานเว็บเซิร์ฟเวอร์ที่ให้บริการไฟล์คงที่ในภาชนะบนเครื่อง 10.0.100.150 ที่คอนเทนเนอร์:

  • IP: 172.17.0.2
  • พอร์ต 8111 ถูกส่งต่อบนพอร์ต 8111 บนเครื่อง

ฉันพยายามเข้าถึงไฟล์คงที่จากเครื่องท้องถิ่นของฉัน (หรือเครื่องอื่นที่ไม่ใช่ VPC ก็ลองอินสแตนซ์ EC2 ที่ไม่ได้ทำงานใน VPC) และมันก็ทำงานได้อย่างไม่มีที่ติ

ถ้าฉันพยายามเข้าถึงไฟล์จากเครื่องอื่น (10.0.100.151) มันแฮงค์ ฉันใช้ wget เพื่อดึงไฟล์

พยายามที่จะแก้ปัญหาด้วย tcpdump และ ngrep และที่ฉันได้เห็นคือคำขอมาถึงภาชนะ ถ้าฉันจัดการเครื่องโฮสต์ฉันเห็นคำขอเข้ามา แต่ไม่มีการตอบกลับ ถ้าฉันดูที่คอนเทนเนอร์ฉันเห็นคำขอเข้ามาและการตอบกลับจะกลับมา

ฉันลองตั้งค่า iptables หลายครั้ง (ด้วยการเปิดใช้งานการโพสต์เอาท์ด้วยการส่งต่อพอร์ตด้วยตนเองเป็นต้น) แต่ไม่สำเร็จ

ช่วยในทางใด ๆ - แม้การดีบั๊กทิศทางก็จะได้รับการชื่นชมมาก

ขอบคุณ!



อ่านโพสต์ซ้ำด้วยตู้คอนเทนเนอร์ docker expose ไปยังเครือข่าย VPC แต่สิ่งนั้นแตกต่างอย่างสิ้นเชิง
Bogdan Gaza

ใช่ไหม? คุณได้ปิดใช้งานการตรวจสอบ IP ต้นทาง / ปลายทางแล้วใน 10.0.100.150 หรือไม่
Michael - sqlbot

ใช่ฉันปิดการใช้งานและยังทดสอบ VPC อื่นที่ไม่ใช่ค่าเริ่มต้นข้อผิดพลาดเดียวกัน
Bogdan Gaza

คุณสามารถแสดงรายการกลุ่มความปลอดภัยสำหรับอินสแตนซ์ EC2 ได้หรือไม่? ดูเหมือนว่าอินสแตนซ์ไม่ได้อยู่ในกลุ่มความปลอดภัยเริ่มต้นเพื่ออนุญาตการรับส่งข้อมูลระหว่างอินสแตนซ์อื่น ๆ ในกลุ่มความปลอดภัยนั้น
Andy Shinn

คำตอบ:


2

การตั้งค่าเครือข่ายภาชนะที่เป็นเรื่องง่ายกับการสาน สำหรับข้อมูลเพิ่มเติมคำแนะนำ AWS เฉพาะให้ดูที่การบล็อกของโครงการ


ข้อจำกัดความรับผิดชอบ: ฉันเป็นส่วนหนึ่งของทีม Weaveworks, Inc.
พัฒนาฝีมือดี

0

ฟังดูเหมือนอินสแตนซ์ EC2 ไม่สามารถสื่อสารซึ่งกันและกันได้เนื่องจากไม่ได้อยู่ในกลุ่มความปลอดภัยที่อนุญาตให้พอร์ต 8111 เข้าถึงซึ่งกันและกัน ตรวจสอบเพื่อให้แน่ใจว่ากลุ่มความปลอดภัยอนุญาตให้เข้าถึงตัวเอง (และเพิ่มทั้งสองอินสแตนซ์ EC2 ไปยังกลุ่มความปลอดภัย) หรือว่าจะอนุญาตให้เครือข่ายย่อย VPC ไปยังพอร์ต 8111

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.