问题标签 [amazon-vpc]

如果我们从 AWS VPC 中将文件上传到 S3，除了通过标准 URL 上的 S3 API 启动上传之外，我们是否需要做任何特别的事情？

我们计划使用 aws-s3 Ruby gem 来进行传输，只是想弄清楚是否需要进行更改以确保数据传输是免费的。

提前致谢！

尽管我已经写了相当多的厨师，但我对 AWS/VPC 和管理网络流量（尤其是堡垒主机）都相当陌生。

使用刀 ec2 插件，我希望能够从我的开发人员工作站动态创建和引导 VM。VM 应该能够存在于我的 VPC 的公共子网或私有子网中。我想在不使用弹性 IP 的情况下完成所有这些工作。我还希望我的堡垒主机不插手（即我希望避免在我的堡垒主机上创建显式的每个 VM 监听隧道）

我已经成功地使用knife ec2 插件在遗留EC2 模型中创建了一个VM（例如在我的VPC 之外）。我现在正在尝试在我的 VPC 中创建一个实例。在刀命令行上，我指定了网关、安全组、子网等。虚拟机被创建，但刀随后无法通过 ssh 连接到它。

这是我的刀命令行：

我怀疑我的问题与堡垒主机的配置有关。经过一天的谷歌搜索，我无法找到有效的配置。我可以通过 ssh 连接到堡垒主机，然后可以从那里通过 ssh 连接到新创建的虚拟机。我无法使用 gateway 参数成功地复制它。

我玩过/etc/ssh/ssh_config。这是它今天的存在方式：

我还将 /home/ubuntu/.ssh/identity 设置为我的新实例的匹配私钥。

更新：

我在堡垒主机的 /var/log/auth.log 中注意到以下内容：

我是 capistrano 和 rails 的新手。我已经在 AWS VPC 中的 AWS 中设置了我的生产环境。我的数据库只能在 VPC 内访问（通过 Web 应用程序和其中的其他节点）。

我从本地机器上运行我的部署。有没有办法让 capistrano 从远程机器而不是我的本地机器本身运行 db:migrate。

此外，在进行正常帽生产部署时，capistrano 不应尝试连接到我的数据库机器。

我在这上面浪费了将近一天的时间。任何帮助表示赞赏。如果需要，我可以提供更多详细信息。

我刚刚在我们的本地网络和 Amazon VPC 之间建立了一个 VPN 链接。

我们的本地网络有两个感兴趣的 ip 块：

• 192.168.0.0/16 - 阻止本地-A
• 10.1.1.0/24 - 阻止本地 B

AWS VPC 有一个 ip 块：

• 172.31.0.0/16 - 阻止 AWS-A

我已经设置了到本地 A 和本地 B ip 块的静态路由的 VPN 连接。

我可以通过以下方式连接：

• 本地 A 到 AWS-A 和
• AWS-A 到本地-A。

我无法连接：

• AWS-A 到本地 B（例如 173.31.17.135 到 10.1.1.251）

从 173.31.17.135 服务器来看，10.1.1.251 似乎正在解析为亚马逊服务器，而不是我们本地网络上的服务器。尽管将 local-B (10.1.1.0/24) 设置为 VPN 上的路由，但仍然如此。查看跟踪输出...

当从 AWS 内部访问时，如何更改配置以便 10.1.1.251 地址解析到本地网络上的服务器？

披露 - 我也在 serverfault 上问过同样的问题。

编辑...跟踪到另一个子网

编辑 #2...tracetcp 到坏和好的目的地：

跃点 #3 是本地端的 VPN 端点。我们已经走得那么远，然后有些东西无法超越。所以是的，问题出在我们这边，即 AWS 设置很好。当我们深入了解它时，我会更新。

编辑#3

固定的！问题是我们在内部运行的梭子鱼防火墙。我们在防火墙中创建了传入和传出漏洞，并且没有日志显示对目的地的请求被阻止，因此我们很早就排除了防火墙的原因。无奈之下，我们迅速关闭了防火墙，连接正常。从那以后，我们更新了防火墙上的固件，它已经解决了这个问题，防火墙现在允许通过流量。

tracert 和 tracetcp 是有用的诊断工具，但防火墙从未出现在跃点列表中（即使现在它已修复），因此很难判断防火墙是否阻止了它。我本来希望所有流量都通过防火墙，并且防火墙将在跃点列表中。谢谢您的帮助。

我想使用 EIP 访问我的私有子网中的一些实例。有办法吗？我知道这没有多大意义。但是让我详细解释一下。

我有一个带有 2 个子网的 VPC。

1) 192.168.0.0/24（公共子网）附加了 EIP

2）192.168.1.0/24（私有子网）

这些之间有一个 NAT 实例，以允许私有实例具有对 Internet 的出站访问权限。一切正常，如此处所述：http: //docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

但是现在，暂时我需要使用 EIP 直接从 Internet 对私有子网上的实例进行寻址。这是否可以通过单独为该特定实例设置新的路由表来实现？还是别的什么？以下是限制：

1) 私有子网上的任何实例都不能有任何停机时间

2）因此不用说，我不能创建一个新的子网并将这些实例移到那里。

它应该像 -> Attach 一样简单。采用 。消除。我现在唯一的另一种方法是在 iptables 上从公共子网上的实例（具有 EIP）到私有子网上的任何实例的某种端口转发......但这看起来很混乱。

还有其他方法吗？

我有一个配置了公有子网和私有子网的 VPC。

我的公共实例位于 ELB（面向互联网）后面，并将出站流量路由到 igw。公共实例的 SG 允许 80+443 流量入站，我的 ELB 将 80+443 流量转发给它们。

通过此设置，我可以通过 ELB DNS 名称访问公共 Web 实例，但我的问题是当我 ssh 到实例时，我无法更新它们（apt-get）或访问网页（wget）。

我没有将 EIP 分配给公共 Web 实例，因为我将很快设置 Auto-Scaling，而且我不认为它是必需的。

如果我通过 NAT 实例 apt-get/wget 等将公共 Web 实例路由出去，但我的 ELB dns 名称将停止工作。

有人可以向我解释正确的设置应该是什么吗？

我们正在调整我们的应用程序 CloudFormation 模板以使用 VPC。在此模板中，我们需要以编程方式生成用于我们的 VPC 子网的 CIDR 块，以确保它们不会在 CloudFormation 堆栈之间发生冲突。

我最初的计划是通过将字符串连接在一起来生成 CIDR，例如：

然而，经过进一步考虑，我们需要使用单个 VPC，而不是为每个堆栈使用一个 VPC。

AWS 将 VPC 限制为最多使用/16CIDR 块（我们已要求提高此限制，但显然不可能）。这意味着我们不再可能使用这种连接方法，因为我们的每个堆栈都需要总共跨越 255 个地址的子网。

我想即时生成 CIDR 块，而不必将它们定义为 CloudFormation 模板的参数，

我的一个想法是每个堆栈都有一个“基本整数”，并为每个子网的 CIDR 块添加它。

例如：

whereVpcCidrStart是一个整数，它设置脚本中第三个 CIDR 八位字节应从其开始的值，并且3是子网号。

显然，Fn::Sum内在函数不存在，所以我想知道是否有人有在 VPC 中添加整数的解决方案（这似乎是不可能的，因为 CloudFormation 是面向字符串的），或者对此有更好的解决方案一般的难题。

我在 vpc 下为我的 beanstalk 应用程序创建了一个新环境。我创建了一个带有私有子网和公共子网的 vpc。

我已经按照此处所述配置了安全组：http: //docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo-vpc-basic.html

环境似乎设置正确，但状态为红色。单击监视器显示没有延迟或请求数据。

网站 url 返回错误代码 503。

不知道该怎么办

我一直在四处寻找，但找不到太多东西。这一切似乎都假设我正在尝试访问 VPC 下的单个 EC2 实例。

场景：我们在托管多个网站（运行 Windows）的 VPC 下有一个 EC2 介质，我们需要在同一 VPC 下启动 Linux EC2 来为其中一个站点运行论坛。它将在 Windows 服务器上托管的domain.com/forum位置运行。domain.com我将尝试在 IIS 中使用反向代理来获取论坛，但我们需要先访问它。NAT 实例会是我正在寻找的吗？

有任何想法吗？

我正在尝试在 VPC 下配置 Chef 服务器。厨师服务器安装在公共子网下的实例上，并且还提供了一个弹性 VPC IP。chef-server-ctl reconfigure 运行成功，但是当我尝试从浏览器连接到服务器时，我得到“502 Bad Gateway”

Chef服务器下的Nginx日志显示

我该如何解决这个问题。任何帮助将非常感激。