问题标签 [aws-vpc]

我尝试使用 aws cli 创建弹性缓存并遇到错误。我使用的安全组 ID 是我的帐户默认安全组 ID，我看到它存在于 aws 控制台上。不知道为什么会出错。

我的 AWS 中有一个 RDS postgreSQL intsnce。在我的 RDS PostgreSQL 实例中，公共可访问性为“否”，我有自己的 VPC 和私有子网。我为我的实例选择该私有子网和 VPC。我创建了一个 lambda 函数来使用端点连接同一个 RDS 实例并进行了检查。它已成功连接。

现在，我想访问 RDS 实例并在这个 RDS postgreSQL 实例上创建一些表。如何访问此 RDS 实例以及如何在其上创建表？

我在我的系统中安装了 AWS CLI。我使用以下命令连接 AWS CLI。

但我收到“连接超时”之类的错误。但是为同一个安全组打开了5432端口。

有什么方法可以使用 AWS CLI 进行连接？我也有一个 EC2 实例。

有没有人可以帮助我？如果你能在这方面帮助我，那就太好了。等待您的好评重播..

I am currently getting my hands dirty with AWS VPC and have stumbled upon a scenario in peering.

I had created two VPCs - VPC1, VPC2. VPC1 has a public subnet and an EC2 Linux instance. VPC2 has a private subnet and an EC2 Linux instance.

I have established peering between the two VPCs and was able to access the EC2 instance on VPC1 from my local machine and then connect to EC2 instance on VPC2 from it.

I had a rule on security group of the EC2 instance on the private subnet to allow ALL SSH connectivity to it. ( without this I wasn't able to connect between the instances )

Now instead of having the second instance on a private subnet, I modified the subnet to be a public one and am able to connect to the EC2 instance on it from an EC2 instance on non-peer VPC as well.

My question :

1. How is that am able to connect to public subnets between non-peered connections? Can I decipher that public subnets in the same region don't require peer connections setup in order to connect?

我在 VPC 中有私有子网，路由表如下：

使用上述配置 AWS CodeDeploy 失败并出现错误，Error code: HEALTH_CONSTRAINTS因为/opt/codedeploy-agent/deployment-root/deployment-logs/codedeploy-agent-deployments.log.

但是，当我通过添加具有以下路由表的 Internet 网关将其更改为允许公共访问时，AWS CodeDeploy 成功完成。

我是否缺少任何其他配置？

我最近在 AWS EC2 实例上设置了 OpenVPN 服务器，以便将我的办公室连接到 AWS VPC 环境。

我使用 TunnelBlick 作为 VPN 客户端，一切都很好！我可以 ssh 到 VPC 中的私有 IP。但是，从我的办公室主机解析 DNS VPC 名称（如果我从 VPC 中的 EC2 实例运行它，我可以）不起作用。

我目前的解决方案是在 EC2 实例上使用 Unbound 设置 DNS 转发器（这恰好是我正在运行 OpenVPN 服务器的实例） - 但由于某种原因它无法正常工作。一旦连接到 VPN 服务器，您将如何启用 VPN 客户端以解析 VPC 中的私有主机名？

我很迷茫，所以如果你有任何其他想法，或者可以根据我目前的设置找出问题所在，我将永远感激:)

OpenVPN 服务器配置

未绑定的服务器配置

172.31.0.2 是 VPC DNS 服务器

VPN 客户端配置

现在，一旦我连接到 VPN，我的 resolv.conf（客户端）如下所示：

从客户端到 DNS 服务器的 Telnet 工作（正确应用 AWS 安全组）

非常感谢你们所有的帮助，

安东尼奥

我是 AWS 新手，不是网络管理员，只是一名开发人员，需要您的帮助。

我无法从我的 lightail ubuntu 实例连接到我的 aws RDS (mysql)。尝试连接时，它只需等待一分钟然后失败。我也无法 ping 我的 RDS。

这是
lightsail 实例在 lon-zone-A 中启用了 vpc 对等的设置我已经在 aws 中创建了一个 mysql RDS 实例并使用了默认的 vpc 对等。mysql 仅限于 VPC 并使用具有入站规则的默认安全组 - 默认安全组源的所有流量

默认 VPC 在 CIDR172.31.16.0/20和172.31.0.0/16两个可用区 A 和 B中有 2 个子网。
在子网的路由表中，我将
172.26.0.0/16目标和目标作为 vpc 对等互连，这进一步具有

请求者 VPC CIDR172.26.0.0/16
接受者 VPC CIDR172.31.0.0/16

我的 lightsail 实例有私有 IP172.26.15.xxx并且在 lon-Zone-A 当我 ping 我的 mysql 实例时，我得到了 ip172.31.10.9

用于连接的命令mysql -h xxxxxx.xxxxx.eu-west-2.rds.amazonaws.com -P 3306 -u db_master_username -p

如何解析 PROXY 协议版本 2 标头并使用解析的值来选择后端？

具体来说，我正在使用启用了 PROXY v2 的 VPC PrivateLink 端点从一个 AWS 账户连接到另一个账户。这包括根据文档的端点 ID 。

代理协议标头还包括端点的 ID。此信息使用自定义类型-长度-值 (TLV) 向量进行编码，如下所示。

我的目标是从账户 1 中的资源 A 连接到账户 2 中的资源 B。计划是资源 A -> PrivateLink -> NLB（启用 PROXY v2）-> HAProxy -> 资源 B。

我需要在 HAProxy 前端检测 VPC PrivateLink 端点 ID 以选择正确的后端。如何才能做到这一点？我不清楚如何在 HAProxy 配置中调用自定义解析器，或者这是否可能？是吗？如果是这样，如何做到这一点？

我不能只使用源 IP 的原因：私有 IP 空间可能在我的架构中重叠。在上面的示例中，将有多个帐户充当帐户 1，因此我必须根据端点 ID 而不是 PROXY 使用暴露的源 IP 进行目标路由。

例子

不好

这是我们目前的情况。在其中，无法区分来自不同 VPC 的具有相同私有 IP 地址空间的两个入站连接。

如果我们需要为 acctB 的 VPC 使用相同的 IP 路由连接，则无法区分。

理想的

一个理想的解决方案是将其修改为以下内容（尽管我认识到这不起作用；它只是伪配置）。

基于端点 ID 的目的地路由的任何其他替代 HAProxy 的选项也是可以接受的，但 HAProxy 似乎是显而易见的候选者。

我正在构建我的网络，该网络由 VPC 中的子网和子网中的三个实例组成。我在其中一个实例上有弹性 IP，而在其他实例上没有公共 IP 或 DNS。为了让其他实例访问互联网以进行 Windows 更新之类的事情，是否可以将公共 IP 与 VPC 上的互联网网关相关联，以便所有实例都可以通过一个 IP 访问互联网，并且对于传入流量来说，这一切都可以仅在某个端口上路由到实例 1。现在在我们的办公室里，我们有一台带有多个 vlan 的服务器，它们都使用一个公共 IP 与 Internet 通信，我正在尝试复制它。

在此先感谢您的帮助！

我想创建一个容错网站并尝试创建一个自动缩放组。使用 NAT-instance 而不是 NAT-Gateway。我遇到了以下问题。

当一个 NAT 实例被终止 [由于某种原因]。自动缩放组将启动相应的 NAT 映像，但它不会禁用源/目标检查。这必须手动完成，因此，连接到 nat-i​​nstance 的私有子网将具有状态消息“黑洞”。除非手动更改源目标检查，否则私有子网甚至不会显示新的 NAT 实例。

有人有解决这个问题的方法吗？

我有一个在私有子网中的 EC2 实例中运行的应用程序（以增加额外的安全性），直接从与公共子网关联的面向 Internet 的 NLB 接收流量。

我还在公共子网中配置了一个 NAT 网关，以便私有 EC2 实例可以从 Internet 下载所需的任何内容。

我刚刚得出下一个结论：

• 如果我从 Internet 请求：http://index.html

• 私有 EC2 实例使用 NAT 网关发回 HTTP 响应，因此您需要为该 NAT 处理付费。

https://aws.amazon.com/vpc/pricing/

“数据处理费用适用于通过 NAT 网关处理的每个千兆字节，无论流量的来源或目的地如何”

与私有子网（Web/应用服务器所在的位置）关联的路由表具有 { - local ; 0.0.0.0/0 - NATGateway} 如果我删除 0.0.0.0/0 条目，那么对服务器的 HTTP 请求将不起作用。如果我删除 NAT 网关，我会遇到同样的问题。此外，当我有 NAT 网关和路由表以从私有子网使用它时，当我从 Internet 执行简单的 HTTP 请求时，我还可以在 NAT 网关的监控选项卡中看到流量 - http:///index .html

有人遇到过同样的问题吗？我的理解正确吗？

有什么办法可以避免这种情况吗？我只能想到以下几点：

• 将应用程序移动到 Web 层（在公共子网中），以便 EC2 实例具有公共 IP，因此它不需要 NAT 网关来响应每个 HTTP 请求

• 在应用层之外创建一个 Web 层，以便所有流量都来自 NLB <-> Web 层 <-> 应用层

• 创建一个 NAT 实例而不是 NAT 网关，这样您就无需为该 NAT 处理付费。

谢谢！