问题标签 [aws-vpc]

有两个 IP 地址（172.31.42.243 和 172.31.19.188）通过垃圾请求反复访问我在 AWS（Beanstalk 托管）中的站点。

我尝试使用 ACL 拒绝规则阻止它们。如果我只添加一个，我仍然可以访问我的网站。如果我同时添加两者，那么我将无法访问我的网站。

两个拒绝规则都使用 /32 作为 CIDR 表示法，并且我添加的拒绝规则的数字低于默认允许所有规则的数字。我究竟做错了什么？

我正在将我工作的公司的部分基础设施迁移到 Amazon ECS，并且我一直试图让我的服务器容器连接到数据库容器。

下面是我如何在我的任务中设置它：

如您所见，我正确设置了链接字段，当我尝试使用连接到主机 db 或主机 redis 之类的名称进行连接时，它找不到它。

我尝试使用 VPC 地址连接到其他容器并且它有效。唯一的问题是，我更喜欢在 VPC 中设置自己的地址（比如将 172.13.0.2 设置为 db），因为当我不设置时，系统会按连接顺序获取地址。

我希望你明白这个问题。

谢谢你。

具体来说，我有一个问题，在 AWS 环境中组织 AZ 故障转移的推荐方法是什么。此外，最好了解典型的 AWS 故障以组织应用程序 HA（高可用性）。因此，应用程序架构（AWS 服务使用）如下：它或多/少是 AWS 中典型的 Web 应用程序架构

1. 有路由 53 可以解析某些 ELB 的 ip。
2. 有一个具有 ELB 的公共子网，它将到 Web 服务器的流量路由到私有 VPC；
3. 在私有子网中，流量进入：Web Servers -> ELB-> Application Servers；
4. 应用服务器将数据写入多可用区 RDS。

这种部署的主要缺点是服务在一个 AZ 中处于活动状态，因为在多 AZ 部署中，Amazon RDS 会自动在不同的可用区中预置和维护一个同步备用副本。因此，master 只在一个 AZ 中，另一个 AZ 中的服务不允许写入 RDS，因为它是备用的。

两个问题：

1. 为此类部署实施 HA 的更好方法是什么？
2. 常见的 AWS 故障是什么（如果一个 AZ 不可用，是否经常只发生在某些服务上（例如 VPC/EC2/EBS 其他问题？）或者通常是整个 AZ 特定的服务不可用）？

对于这种方法，有关 HA 的注意事项：

1. RDS。来自 AWS 文档：“如果您的数据库实例发生计划内或计划外中断，如果您启用了多可用区，Amazon RDS 会自动切换到另一个可用区中的备用副本。所花费的时间......”。因此，AWS 会自动更改 RDS Master。
2. 活动/非活动 AZ。可以将不同的健康检查添加到 Route53 并基本上使 Active 成为另一个 AWS AZ。但是如何使它与 RDS 同步（只有在 RDS 成为另一个 AZ 的 master 后才能使这个 AZ 处于活动状态）？

更新 维护一个主动AZ和一个被动AZ的另一个原因是我们的应用服务器应该支持设备IP地址的粘性（例如，它根据用户或设备的IP保持会话）。我们在每个 AZ 中都有 1 个 EC2 Web Server 实例来维护它（我们不能允许将请求发送到不同的 AZ）。

如果 Redshift 集群位于具有 Internet 网关的公共子网中，我是否需要 S3 VPC 终端节点、NAT 网关或 NAT 实例才能将数据从 Redshift 集群卸载到 S3 存储桶？如果您能简要解释一下，我将不胜感激。

我们有多个 aws 子帐户，它们位于一个计费帐户（组织）下。由于这些帐户通过 vpn 连接到我们的私有云，我希望阻止开发人员默认打开互联网端口。是否有一个很好的默认策略来防止大多数基本的东西，这些东西可能会导致安全问题，而不会对开发人员造成太多限制？基本上应该允许启动和停止里面的东西，但我们应该确保他们不能打开可能给我们的私有云带来安全问题的东西。我只是快速浏览了一些设置并提出了这个政策，但我想知道是否还有更多需要考虑的地方，或者是否已经有很好的例子。

有人可以准确解释 CIDR 块是如何工作的，以及它是如何转换为 0.0.0.0/32 的吗？请使用外行的术语，或者甚至是与网络无关的事物的类比。似乎找不到适合我的解释。谢谢！！

默认情况下，当您使用 AWS 使用客户网关和 VPG 提供的 VPN 连接时，它会授予对您所有 vpc 的访问权限，我们如何控制此访问权限或将其限制为仅单个子网。

我正在尝试使用 NAT 实例而不是 NAT 网关；我也没有将任何社区 AMI 用于 NAT 实例配置。

我正在尝试从我的私人进行 yum 更新，但出现以下错误：Cannot find a valid baseurl for repo: amzn-main/latest

我的 AWS 堆栈如下：

1. VPC：连接VPC1了 Internet 网关的 VPC IGW1。
2. 子网：两个子网 - public inus-east-1a和 private in us-east-1b。
   1. 公共子网：Subnet1.1-1a具有路由表 [Public-IGW-1本地和 IGW1 - 0.0.0.0/0]。
   2. 私有子网：Subnet1.2-1b具有路由表 [Private-1带有本地和 NAT 实例NAT EC2 1- 0.0.0.0/0]。
3. 路由表：
   1. Private-1有路线local和NAT EC2 1实例 - 0.0.0.0/0。
   2. Public-IGW-1有路线local和 IGW1 - 0.0.0.0/0。
4. 安全组：Subnet-1.1-1a-Public来自us-east-1aVPC1 的任何地方都有 SSH MyIP 和 HTTP。 Subnet1.1-1a-PrivateVPC1 中的来自us-east-1b（必须重命名；否则欺骗）有入站 22 - 任何地方。
5. 实例： 使用NAT EC2 1安全组入站 80 - 任何地方 22。私有实例有 SG - 22 - 任何地方。公共实例在任何地方都有 SG - 22 - MyIP 和 80。Subnet1.1-1aVPC1NAT SG

我使用 scp 将我的密钥对复制到公共实例中，并使用 ssh -i keypair ec2-user@private-ip-addr 将密钥对复制到私有实例中。当我执行 sudo yum update 时，会显示错误无法找到有效的 baseurl。

我已确保 NACL 允许所有流量。

我的目标很简单：

允许 VPC 内的任何实例连接到特定的安全组。

允许来源的字段建议：“CIDR、IP 或安全组”。

有没有办法让我指定 VPC？

原因是我在具有不同安全组的 VPC 中有多个实例，但都需要访问我正在创建的安全组。

路由表中的目的地和目标是什么？我可以看到 Destination 和 target 可以配置为 Internet 网关，还有其他用例吗？