Eu tomei as seguintes etapas:
- Criou uma VPC (com uma única sub-rede pública)
- Adicionada uma instância do EC2 à VPC
- Alocou um IP elástico
- Associou o IP elástico à instância
- Criou um grupo de segurança e o atribuiu à instância
- Modificadas as regras de segurança para permitir eco ICMP e TCP de entrada na porta 22
Eu fiz tudo isso e ainda não consigo executar ping ou ssh na instância. Se eu seguir os mesmos passos menos os bits da VPC, posso configurá-lo sem problemas. Que passo estou faltando?
amazon-ec2
amazon-web-services
amazon-vpc
Ryan Lynch
fonte
fonte
Respostas:
Para se comunicar fora da VPC, cada sub-rede não padrão precisa de uma tabela de roteamento e de um gateway da Internet associados a ela (as sub-redes padrão obtêm um gateway externo e uma tabela de roteamento por padrão).
Dependendo da maneira como você criou a sub-rede pública na VPC, pode ser necessário adicioná-las explicitamente. Sua configuração de VPC parece coincidir com o cenário 1 - uma nuvem privada (VPC) com uma única sub-rede pública e um gateway da Internet para permitir a comunicação pela Internet a partir da documentação do AWS VPC.
Você precisará adicionar um gateway da Internet à sua VPC e dentro da tabela de roteamento da sub-rede pública atribuir
0.0.0.0/0
(rota padrão) para acessar o gateway da Internet atribuído. Há uma boa ilustração da topologia de rede exata dentro da documentação.Além disso, para obter mais informações, você pode verificar a documentação do VPC Internet Gateway AWS. Infelizmente, é um pouco complicado e uma pegadinha não óbvia.
Para obter mais detalhes sobre problemas de conexão, consulte também: Solução de problemas na conexão com sua instância .
fonte
Não tenho certeza se esse é exatamente o caso, mas acabei de criar uma VPC com sub-redes públicas e privadas e notei que há um grupo de segurança padrão que tem o endereço de origem com o mesmo nome do grupo de segurança. Eficaz, não tem acesso. Teve que mudar essa fonte para o Anywhere e começou a funcionar.
fonte
Notei que (acho) você precisa ter cuidado com a zona de disponibilidade em que sua instância é criada. A sub-rede, a interface de rede e a instância precisam estar na mesma zona de disponibilidade, caso contrário, não há como se conectar a um IP público para essa instância.
Posso estar errado - mas acho que não, isso me custou 12 horas de trabalho para descobrir.
Espero que isso ajude outra pessoa.
fonte
/16
VPC e, em seguida, cria uma/24
em cada AZ em que deseja trabalhar.Você deve alocar um ENI e atribuir o IP elástico a este ENI. Além disso, você deve atribuir esse ENI à sua VPC. A tabela de rotas também deve estar correta para encaminhar corretamente os pacotes externos para sua VPC.
fonte
Como o SSH é um protocolo statefull, você precisa ter a seguinte regra OUTBOUND na ACL da sua rede:
fonte