คำถามติดแท็ก amazon-vpc

Amazon Virtual Private Cloud (Amazon VPC) ช่วยให้คุณจัดเตรียมส่วนที่แยกอย่างมีเหตุผลของ Amazon Web Services (AWS) Cloud ซึ่งคุณสามารถเปิดใช้ทรัพยากร AWS ในเครือข่ายเสมือนที่คุณกำหนดได้

5
ไม่สามารถเชื่อมต่ออินสแตนซ์ EC2 ใน VPC (Amazon AWS)
ฉันทำตามขั้นตอนต่อไปนี้แล้ว: สร้าง VPC (ด้วยซับเน็ตสาธารณะเดียว) เพิ่มอินสแตนซ์ EC2 ไปยัง VPC จัดสรร IP แบบยืดหยุ่น เชื่อมโยง IP ยืดหยุ่นกับอินสแตนซ์ สร้างกลุ่มความปลอดภัยและกำหนดให้กับอินสแตนซ์ แก้ไขกฎความปลอดภัยเพื่ออนุญาต ICMP echo และ TCP บนพอร์ต 22 ฉันทำทั้งหมดนี้แล้วและฉันยังไม่สามารถ ping หรือ ssh ในอินสแตนซ์ได้ ถ้าฉันทำตามขั้นตอนเดียวกันลบบิต VPC ฉันสามารถตั้งค่านี้ได้โดยไม่มีปัญหา ฉันพลาดขั้นตอนใดไป

4
CIDR ที่แนะนำคืออะไรเมื่อสร้าง VPC บน AWS
ฉันสร้าง AWS VPC และสงสัยว่ามีค่า CIDR ที่แนะนำเมื่อสร้าง VPC หรือไม่ อะไรคือปัจจัยที่ฉันต้องพิจารณาเมื่อเลือก CIDR และค่า CIDR มีผลต่อประสิทธิภาพของเครือข่ายหรือไม่
43 amazon-vpc  cidr 

2
ความแตกต่างระหว่างเครือข่ายสาธารณะและส่วนตัวใน Amazon VPC คืออะไร?
เมื่อฉันเปิดตัวเซิร์ฟเวอร์ที่มีกลุ่มความปลอดภัยที่อนุญาตให้ทราฟฟิกทั้งหมดเข้าสู่ซับเน็ตส่วนตัวของฉันมันจะแสดงคำเตือนว่ามันอาจเปิดให้โลกได้เห็น ถ้าเป็น subnet ส่วนตัวมันจะเป็นไปได้อย่างไร?

3
ที่อยู่ IP แบบคงที่สำหรับทราฟฟิกขาออกจากกลุ่มการปรับขนาดอัตโนมัติของ AWS
ฉันจะมีอินสแตนซ์ของ EC2 จำนวนมากในกลุ่มการแปลงสัญญาณอัตโนมัติ Elastic Beanstalk ในซับเน็ตเริ่มต้นใน VPC แอพในอินสแตนซ์ EC2 เหล่านี้จำเป็นต้องเชื่อมต่อกับบริการของบุคคลที่สามซึ่งใช้รายการที่อยู่ IP ที่อนุญาตพิเศษเพื่ออนุญาตการเข้าถึง ดังนั้นฉันต้องการที่อยู่ IP แบบคงที่อย่างน้อยหนึ่งที่ฉันสามารถมอบให้กับผู้ให้บริการนี้เพื่อให้สามารถเพิ่มในรายการที่อนุญาต ความเข้าใจของฉันคือวิธีเดียวที่จะได้รับ IP แบบคงที่คือการได้รับที่อยู่ IP แบบยืดหยุ่น และฉันสามารถเชื่อมโยง Elastic IP กับอินสแตนซ์ EC2 ครั้งละหนึ่งครั้งเท่านั้น - ฉันไม่สามารถเชื่อมโยงกับซับเน็ตหรือเกตเวย์อินเทอร์เน็ตทั้งหมดของฉันได้ (ถูกต้องหรือไม่) ดังนั้นฉันต้องการ Elastic IP สำหรับแต่ละอินสแตนซ์ EC2 ดังนั้นแต่ละรายการสามารถแยกกันอยู่ในรายการที่อนุญาต มันจะทำงานยังไงถ้าการเพิ่มสัญญาณอัตโนมัติเพิ่มอินสแตนซ์อื่น? ฉันควรมี EC2 หนึ่งอินสแตนซ์ที่มี Elastic IP หรือไม่ และกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดผ่านอินสแตนซ์นั้นหรือไม่ ถ้าเป็นเช่นนั้นอินสแตนซ์นั้นจำเป็นต้องมีเพื่อวัตถุประสงค์นี้เพียงอย่างเดียวหรือเป็นหนึ่งในอินสแตนซ์ที่ใช้แอพของฉันหรือไม่

2
แฟ้มระบบ Elastic (EFS) เมานต์ภายนอก AWS
ฉันมีเซิร์ฟเวอร์ที่อยู่นอก AWS ฉันต้องการที่จะติดตั้งไดรฟ์ข้อมูล EFS ลงไป แต่ฉันไม่แน่ใจว่าเป็นไปได้หรือไม่ บางทีถ้าคุณสร้าง VPC และคุณสร้างอุโมงค์ผ่าน VPN? มีใครรู้บ้างไหมว่าสิ่งนี้เป็นไปได้หรือไม่?

3
DNS ภายในภายใน Amazon AWS VPC
ฉันเริ่มเข้าใจ VPC แล้ว แต่ไม่เห็นวิธีแก้ปัญหา DNS ภายในที่ดี ตัวอย่างเช่นเรากำลังใช้เซิร์ฟเวอร์ฐานข้อมูลที่ไม่ใช่ RDS ซึ่งเซิร์ฟเวอร์อื่น ๆ ใน VPC เชื่อมต่อด้วย ฉันต้องการเชื่อมต่อด้วยชื่อไม่ใช่ IP ส่วนหนึ่งคือฉันสามารถรับที่อยู่ภายใน 10.xxx ซึ่งน่าจะเร็วกว่า ส่วนใหญ่จะทำให้การกำหนดค่าง่ายขึ้นชัดเจนขึ้นและมีความยืดหยุ่นมากขึ้น ในสมัยก่อน (ประมาณปี 2008) pre-VPC ฉันมีเซิร์ฟเวอร์ที่รัน MaraDNS ซึ่งเราจะอัปเดตเมื่อเราเริ่มต้นและเปลี่ยนอินสแตนซ์และนี่เป็นเรื่องใหญ่โดยเฉพาะอย่างยิ่งเนื่องจากเซิร์ฟเวอร์จะได้รับที่อยู่ภายใน DHCP ที่กำหนดเอง เมื่อพวกเขารีสตาร์ทและเพียงเพราะมันเป็นอีกสิ่งหนึ่งที่จะจัดการกับ เพื่อนร่วมงานบางคนของฉันใช้ระบบที่แตกต่างกันคิดว่าฉันเป็นคนงี่เง่าที่จะใช้ความพยายามทั้งหมดนี้ - พวกเขาเพิ่งอัปเดตไฟล์ / etc / hosts (ซึ่งยอดเยี่ยมมากจนกระทั่งเกิดไฟดับและเซิร์ฟเวอร์ทั้งหมดของพวกเขากลับมาพร้อม IP ใหม่) ฉันควรจะดูที่ Route53 (ที่เราทำ DNS สาธารณะของเราทั้งหมด) หรือมีบางอย่างที่ขาดหายไปหรือไม่ อัปเดต: 2017 - DNS ภายในตอนนี้เป็นคุณสมบัติของ …

1
ใน AWS วิธีตรวจสอบทรัพยากรที่ใช้ที่อยู่ IP ของ VPC
ตามที่ Amazon และการทดสอบของฉันเครือข่ายย่อย 24 VPC อนุญาตให้มีที่อยู่ IP 251 ที่มีอยู่ ฉันมีซับเน็ตอื่นอีก 2 ตัวใน VPC นั้นซึ่งดูเหมือนว่าไม่มี IP ที่ใช้โดย EC2 และฟิลด์ IP ที่มีอยู่บ่งชี้ว่ามีเพียง 250 รายการเท่านั้น ฉันเช็คแล้ว ฉันกำลังพยายามหาว่าทรัพยากรใดกำลังใช้ IP เหล่านั้น แต่ดูเหมือนว่า AWS ไม่อนุญาตให้ใช้แบบสอบถามชนิดนั้น สิ่งที่ฉันต้องการจะดูคือรายการของทรัพยากรที่ใช้ IP สำหรับเครือข่ายย่อย VPC เฉพาะ ถ้าใครสามารถทำให้กระจ่างบางอย่างเกี่ยวกับสิ่งที่บริการ AWS สามารถใช้ IP ของเครือข่ายย่อยยกเว้น EC2 ที่จะช่วยด้วย ขอบคุณ

3
วิธี SSH ไปยังอินสแตนซ์ ec2 ใน VPC ส่วนตัว subnet ผ่านเซิร์ฟเวอร์ NAT
ฉันสร้าง VPC ใน aws ด้วยซับเน็ตสาธารณะและซับเน็ตส่วนตัว ซับเน็ตส่วนตัวไม่สามารถเข้าถึงเครือข่ายภายนอกได้โดยตรง ดังนั้นจึงมีเซิร์ฟเวอร์ NAT ในซับเน็ตสาธารณะที่ส่งต่อการรับส่งข้อมูลขาออกทั้งหมดจากซับเน็ตส่วนตัวไปยังเครือข่ายภายนอก ขณะนี้ฉันสามารถ SSH จากซับเน็ตสาธารณะไปยังซับเน็ตส่วนตัวและ SSH จาก NAT ไปยังซับเน็ตส่วนตัว อย่างไรก็ตามสิ่งที่ฉันต้องการคือ SSH จากเครื่องใด ๆ (แล็ปท็อปที่บ้านเครื่องที่ทำงานและมือถือ) ไปยังอินสแตนซ์ในเครือข่ายย่อยส่วนตัว ฉันได้ทำการวิจัยบางอย่างที่ฉันสามารถตั้งค่ากล่อง NAT เพื่อส่งต่อ SSH ไปยังอินสแตนซ์ในซับเน็ตส่วนตัว แต่ฉันไม่โชคดี ทุกคนสามารถแสดงรายการสิ่งที่ฉันต้องตั้งค่าเพื่อให้เป็นไปได้ การตั้งชื่อคือ: แล็ปท็อป (อุปกรณ์ใด ๆ นอก VPC) nat (เซิร์ฟเวอร์ NAT ในซับเน็ตสาธารณะ) ปลายทาง (เซิร์ฟเวอร์ในซับเน็ตส่วนตัวที่ฉันต้องการเชื่อมต่อ) ไม่แน่ใจว่าต่อไปนี้เป็นข้อ จำกัด หรือไม่: "ปลายทาง" ไม่มี IP สาธารณะเฉพาะ subnet ip …

5
การสนับสนุน IPv6 หรือทางเลือกสำหรับอินสแตนซ์ aws vpc
เมื่อเร็ว ๆ นี้ Apple ได้กำหนดให้มีการสนับสนุน IPv6 ซึ่งจำเป็นสำหรับผู้ขายทั้งหมดที่ใช้ mobile-api และ aws vpc ไม่ได้ให้การสนับสนุน IPv6 ฉันจะบรรลุสิ่งนี้ได้อย่างไร ฉันได้ตรวจสอบแล้วhttps://aws.amazon.com/blogs/aws/elastic-load-balancing-ipv6-zone-apex-support-additional-security/แต่ฉันไม่แน่ใจว่าต้องทำอย่างไร ฉันต้องการคำแนะนำจากผู้เชี่ยวชาญที่นี่

3
แก้ไขข้อ จำกัด ACL ของเครือข่าย AWS
สูงสุด ACL เครือข่าย VPC สามารถมีกฎได้ 40 ข้อ ฉันมีรายการที่อยู่ IP มากกว่า 50 รายการที่ฉันต้องปิดกั้นการเข้าถึงในระบบของเราผ่านพอร์ตใด ๆ และโปรโตคอลใด ๆ อย่างชัดเจน นี่เป็นจุดประสงค์ในอุดมคติสำหรับ ACL แต่ข้อ จำกัด นั้นขัดขวางให้ฉันทำงานนี้ให้เสร็จ แน่นอนฉันสามารถทำได้ใน IPTables ในแต่ละโฮสต์ แต่ฉันต้องการปิดกั้นการรับส่งข้อมูลใด ๆ และทั้งหมดไปยังส่วนประกอบทั้งหมดใน VPC (ตัวอย่างเช่น ELB) ยิ่งไปกว่านั้นการจัดการกฎเหล่านี้ในที่เดียวจะดีกว่าในทุก ๆ โฮสต์ ฉันหวังว่าจะมีวิธีที่ฉันไม่เข้าใจในการทำสิ่งนี้ในระดับระบบ / แพลตฟอร์ม กลุ่มความปลอดภัยได้รับอนุญาตอย่างชัดเจนโดยไม่มีการปฏิเสธดังนั้นพวกเขาจะไม่ทำการหลอกลวง

3
ไม่สามารถเชื่อมต่อกับอินสแตนซ์ RDS จากภายนอก VPC (ERROR 2003 (HY000) ไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ MySQL)
ฉันสร้าง VPC ขึ้นมาแล้วและภายในอินสแตนซ์ RDS อินสแตนซ์ RDS สามารถเข้าถึงได้แบบสาธารณะและการตั้งค่ามีดังนี้: การตั้งค่า RDS กลุ่มความปลอดภัยที่แนบกับอินสแตนซ์ RDS ยอมรับปริมาณข้อมูลทั้งหมด: ACL เครือข่ายของฉันทั้งหมดยอมรับการเข้าชมทั้งหมด อย่างไรก็ตามฉันไม่สามารถเข้าถึงอินสแตนซ์ของฉันจากเครื่องที่อยู่นอก VPC ของฉัน ฉันได้รับข้อผิดพลาดต่อไปนี้: root@vps151014:~# mysql -h mysql1.xxxxxxxxxxxx.eu-west-1.rds.amazonaws.com -P 3306 -u skullberry -p Enter password: ERROR 2003 (HY000): Can't connect to MySQL server on 'mysql1.xxxxxxxxxxxx.eu-west-1.rds.amazonaws.com' (110) หากฉันเรียกใช้คำสั่งเดียวกันจาก EC2 ภายใน VPC ของฉันฉันสามารถเชื่อมต่อได้ ฉันได้ลองเชื่อมต่อจากหลาย ๆ เครื่องทั้งหมดนั้นไม่มีไฟร์วอลล์ (เช่นพอร์ต 3306 …

4
การเข้าถึง Amazon S3 จากเครือข่ายย่อย VPC ส่วนตัว
หากฉันใช้งาน VPC และเซิร์ฟเวอร์บางตัวตั้งอยู่ในส่วนส่วนตัวของเครือข่ายนั้นที่ทำการประมวลผลส่วนหลังโดยการดาวน์โหลดไฟล์จาก amazon s3 ฉันจะสามารถเข้าถึง S3 ภายในเพื่อรับไฟล์เหล่านั้นได้หรือไม่ หรือฉันต้องเข้าถึงอินเทอร์เน็ตสาธารณะผ่าน NAT ดาวน์โหลดไฟล์ s3 ผ่าน https และดำเนินการตามนั้นหรือไม่

2
เข้าถึงอินสแตนซ์ Amazon EC2 RDS จากภายใน VPC
ฉันมีอินสแตนซ์ Amazon RDS ตั้งค่าใน 'คลาสสิค' EC2 (ไม่มี VPC) ฉันยังมีการตั้งค่า VPC ที่เก็บแอปพลิเคชันที่ใหม่กว่าที่ย้ายมาและอื่น ๆ อย่างไรก็ตามดูเหมือนว่าไม่มีวิธีระบุการรวมกันของกลุ่มความปลอดภัย CIDR หรือ EC2 ใน DB Security Groups ที่จะอนุญาตให้อินสแตนซ์ VPC ของฉันเชื่อมต่อได้ กลุ่มความปลอดภัยที่อนุญาตเป็นกลุ่มความปลอดภัยแบบ 'คลาสสิค' เท่านั้น ฉันไม่พบเอกสารใด ๆ ที่แนะนำว่าสิ่งนี้ไม่สามารถทำได้ แต่ฉันไม่สามารถหาเอกสารใด ๆ ในการยืนยันได้เช่นกัน Googling ลงจอดด้วยผลลัพธ์จำนวนมากเช่น 'วิธีอื่น' เช่นอินสแตนซ์ RDS ใน VPC และอินสแตนซ์ใน EC2 ฉันมีปัญหาตรงข้าม ฉันกำลังดูการกู้คืนจุดในเวลาไปยังอินสแตนซ์ใหม่ใน VPC เพื่อให้การเชื่อมต่อใช้งานได้หรือไม่ ฉันเข้าใจว่าฉันสามารถรักษาความพร้อมใช้งานสาธารณะที่มีอยู่ได้ แต่ฉันต้องการอนุญาตให้อินสแตนซ์ VPC ของฉันเชื่อมต่อในขณะนั้น

1
AWS NAT เทียบกับ AWS IGW เทียบกับเราเตอร์ AWS
ตามคำตอบนี้เราเตอร์และเกตเวย์เป็นอุปกรณ์เดียวกันในแง่ของการทำงาน ใน AWS โลกเรามีอินเทอร์เน็ตเกตเวย์ , เกตเวย์ NATและ เราเตอร์ ทั้งสามนี้ไม่เหมือนกันหรือไม่?

2
ใช้นักเทียบท่าใน VPC และเข้าถึงคอนเทนเนอร์จากเครื่อง VPC เครื่องอื่น
ฉันประสบปัญหาขณะใช้งานนักเทียบท่าใน AWS VPC นี่คือการตั้งค่าของฉัน: ฉันมีสองเครื่องทำงานใน VPC: 10.0.100.150 10.0.100.151 ทั้งมีการกำหนด IP ที่ยืดหยุ่นให้กับพวกเขาทั้งสองทำงานในซับเน็ตที่เปิดใช้งานอินเทอร์เน็ตเดียวกัน สมมติว่าฉันใช้งานเว็บเซิร์ฟเวอร์ที่ให้บริการไฟล์คงที่ในภาชนะบนเครื่อง 10.0.100.150 ที่คอนเทนเนอร์: IP: 172.17.0.2 พอร์ต 8111 ถูกส่งต่อบนพอร์ต 8111 บนเครื่อง ฉันพยายามเข้าถึงไฟล์คงที่จากเครื่องท้องถิ่นของฉัน (หรือเครื่องอื่นที่ไม่ใช่ VPC ก็ลองอินสแตนซ์ EC2 ที่ไม่ได้ทำงานใน VPC) และมันก็ทำงานได้อย่างไม่มีที่ติ ถ้าฉันพยายามเข้าถึงไฟล์จากเครื่องอื่น (10.0.100.151) มันแฮงค์ ฉันใช้ wget เพื่อดึงไฟล์ พยายามที่จะแก้ปัญหาด้วย tcpdump และ ngrep และที่ฉันได้เห็นคือคำขอมาถึงภาชนะ ถ้าฉันจัดการเครื่องโฮสต์ฉันเห็นคำขอเข้ามา แต่ไม่มีการตอบกลับ ถ้าฉันดูที่คอนเทนเนอร์ฉันเห็นคำขอเข้ามาและการตอบกลับจะกลับมา ฉันลองตั้งค่า iptables หลายครั้ง (ด้วยการเปิดใช้งานการโพสต์เอาท์ด้วยการส่งต่อพอร์ตด้วยตนเองเป็นต้น) แต่ไม่สำเร็จ ช่วยในทางใด ๆ …

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.