问题标签 [aws-vpc]

我正在尝试设置我的 Lambda 以访问我Mongo server的EC2 instances in VPC. 选择所有subnetsand后security groups，保存时出现以下错误“您无权执行：CreateNetworkInterface。 ”

我相信，我需要某种策略设置AWS IAM来允许这样做。

我有“AdministratorAccess”，我正在尝试将 IAM 角色添加到我的帐户。

有谁知道policy/role我需要什么？

我正在尝试从 VPC 内部的 lambda 函数访问 VPC 外部的运动流。当前，当执行写入运动流的代码时，它将挂起然后超时。当我将 lambda 从 VPC 中取出时，写入流的代码可以正常工作。但我需要访问 VPC 中的资源，然后写入流。有人知道怎么修这个东西吗？

这是我在 VPC 中的功能

这是我的政策

最后这是我的运动流资源

我在从Lambda访问MobileHub中创建的资源时遇到问题，这对我来说根本没有意义。我有两个问题（也许是同一个问题..）：

1. 为什么当 lambda对这些特定资源具有完全访问权限时，它无法访问 MobileHub 创建的所有资源？我的意思是，如果我单独创建这些资源，我可以访问它们，但不能从 MobileHub 中创建它们。

2. 有没有办法授予对这些资源的访问权限，或者我错过了什么？

更新

问题是VPC。基本上，当我在 lambdas 上启用 VPC 以访问没有公共访问权限的 rds 时，我无法访问任何其他资源，当我禁用它时 - RDS 无法访问。问题是如何将 vpc 与角色策略结合起来？

我们正在设置 AWS Elasticache Memcached 实例以加快 REST API 的处理速度。

为此，我们在 AWS 中设置了具有公共和私有子网的 VPC，以及使用客户网关和虚拟私有网关从我们的办公室到 VPC 的 VPN 隧道。

Elasticache Memcached 服务将在 VPC 的私有子网中实例化。

我刚刚在下面的链接中读到 Elasticache 只能通过 NAT 实例（或堡垒主机）从 AWS 外部（例如我们的办公室）访问。

http://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/Access.Outside.html

真的没有办法通过VPN访问Elasticache？？？令我震惊的是，AWS 强迫您通过公共互联网访问 Elasticache，而不是允许通过私有 VPN 隧道访问。

我在 AWS 上购买了一个 VPC，并在那里启动了 6 个 MySql 数据库，并且我为每个数据库创建了一个只读副本，这样我就可以始终快速地对只读副本运行查询。

一天中的大部分时间，我的写作实例（原始实例）都是满载的，它们的 CPU 百分比大多是 99%。但是，读取副本显示大约 7-10% 的 CPU 使用率，但有时我在运行连接到读取副本“TOO MANY CONNECTIONS”的服务时收到错误。

我不是 AWS 方面的专家，但发生这种情况是因为写入副本已完全加载并且它们位于同一个 VPC 上吗？

我正在开发一个应用程序，我想从 AWS lambda 连接到 postgresql 数据库。我已将数据库设置为可公开访问的属性设置为 true。入站和出站策略是

我可以通过 pgAdmin 客户端访问数据库，但无法通过 aws lambda 访问。我还将 AWSRDSFULLACCESS 策略与 lambda 角色相关联，并将 vpc 和子网以及安全组信息添加到高级设置部分。

我收到以下超时错误错误 消息”：“2017-04-15T11:26:05.163Z 4ac2cf66-21ce-11e7-a6da-a7d26945c336任务在 9.00 秒后超时”

我用来连接 RDS 的 Node.js 代码是

如何从 AWS Lambda 访问 RDS？

我在 VPC 中有一个由以下服务组成的基础设施（显然 S3 和 Transcoder 除外）：

• EC2（网络服务器）
• RDS（数据库）
• 带有 Node.js 的 Lambda 函数
• S3
• 弹性转码器

场景如下：

1. 用户直接将视频上传到 S3 存储桶
2. 上传会触发 lambda 函数，该函数将在 Elastic Transcoder（使用 AWS 开发工具包）中创建一个新作业并更新数据库中的资源行 (RDS)

问题在于，由于 RDS 不可公开访问，因此 lambda 需要与 RDS 位于同一 VPC 中才能允许连接到它。这也导致 lambda 函数中的一般 Internet 连接丢失，这意味着它无法访问 Elastic Transcoder（因为从VPC的角度来看，它是 VPC 外的）。现在，我在 S3 上遇到了类似的问题，但通过向 VPC 添加一个指向 S3 的端点来解决这个问题相当容易，但是，对于 Elastic Transcoder（或事实上的任何其他服务）没有这样的选项。

我不想创建一个 NAT 网关，因为对于这种无意义的事情来说它非常昂贵。

所以简单的问题是：如何解决 Lambda 可以同时与 RDS 和 Elastic Transcoder 通信的问题？

PS：lambda 角色包含有权访问 Elastic Transcoder 的策略*Job

我正在 Linux 上开发某种透明代理的概念验证。

透明代理拦截 TCP 流量并将其转发到后端。我使用https://www.kernel.org/doc/Documentation/networking/tproxy.txt和欺骗套接字进行传出 TCP 连接。

在我的开发 PC 上，我能够使用 Docker 模拟网络并且一切正常。

但是我需要在 AWS 上部署测试环境。

建议设计：

同一子网内的三个虚拟机：

• 客户端，192.168.0.2
• 代理，192.168.0.3
• 后端，192.168.0.4

在客户端上，我将路由添加到 192.168.0.4 到 192.168.0.3

在代理上，我将 TPROXY 配置为拦截 TCP 数据包并将其转发到具有 192.168.0.2 IP 源地址的后端。我们的透明代理在这里工作。

在后端，我运行简单的 Web 服务器。我还添加了到 192.168.0.2 到 192.168.0.3 的路由，否则数据包将直接返回到 192.168.0.2

问题：

提议的网络设计会按预期工作吗？

AWS 使用某种软件定义的网络，我不知道它的工作方式是否与将 3 个 Linux 机器连接到一个以太网交换机的方式相同。

我已经成功地设置了从我的 AWS VPC 到我的 heroku 私有空间的 VPC 对等互连，并为 heroku 私有空间 CIDR 配置了来自 VPC 的路由。但是，我现在在尝试连接到私有空间 postgres 数据库时有点卡住了。

我想我需要的是找到 heroku postgres 数据库的私有 IP 地址。

有谁知道这是怎么做到的？我能找到的唯一地址是公共 IP 地址，它不起作用，因为它将通过 Internet 路由，而不是通过对等连接。

AWS EC2 安全组文档提到“EC2-VPC 的安全组具有 EC2-Classic 的安全组不支持的附加功能”，但安全组仪表板未提供有关安全属性“功能”的任何信息允许我区分我正在查看的安全组类型或附加的安全组的组，例如，我无法确定我是否可以整合安全组并在 EC2 实例之间共享它们（以便于管理):

1. 如何确定给定的安全组是否适合给定的实例？
2. 如何确定安全组是否与哪些实例相关联（我在 Instances 控制台中看到了如何执行相反操作）？