问题标签 [aws-vpc]

我一直在使用 AWS SAM Local 创建和测试 lambda / api 网关堆栈，然后再将其运送到生产环境。我最近在本地测试 ( ) 时尝试访问私有资源 (RDS) 时遇到了障碍sam local start-api --profile [profile]。如果我做一些 ssh 隧道，我可以连接到其中一些私有资源，但我想知道我是否能够在不使用 VPC 隧道的情况下进行本地测试。

下面是一个示例 sam 模板：

我有一个 Lambda 函数，它连接到外部数据库（运行 MySQL）并在从数据库中获取数据后发送 SNS 电子邮件。

我创建了一个带有 NAT 网关、2 个子网和一个允许所有传入和传出流量的安全组的 VPC。创建 VPC 以附加到我的 Lambda 函数的原因是我需要一个弹性 IP，因为 MySQL 需要授权所有尝试连接的外部 IP。

如果没有 VPC，我的代码可以正常工作，从数据库中获取数据并毫无问题地发送 SNS 电子邮件。但是，在将 VPC 添加到 Lambda 函数时，MySQL 查询都不起作用，SNS 也不会发送任何电子邮件。

我在 CloudWatch Logs 中没有收到任何错误或任何可能导致问题的迹象。有谁知道这可能是什么原因造成的？

我创建了一个 Powershell 脚本，该脚本将在 Task Scheduler 中运行，以根据我的公共 IP 地址更新我的 AWS 安全组。当我运行此脚本时，我收到一条错误消息，该消息发布在下面。

我还希望您能帮助我修改下面的脚本，以便在更新到新 IP 地址时删除旧 IP 地址。

剧本

错误

<# Grant-EC2SecurityGroupIngress：无法绑定参数“IpPermission”。无法创建“Amazon.EC2.Model.IpPermission”类型的对象。“System.Management.Automation.PSObject”类型的对象无法转换为“System.Collections.Generic.List`1[System.String]”类型。在 C:\users\inayet\desktop\aws-amazon\scripts\runCurrentIP.ps1:15 char:93 + ... pId sg-0d28d1cbc04d5df91 -Region us-east-2 -IpPermission @($ipchange) + ~~~ ~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Grant-EC2SecurityGroupIngress], ParameterBindingException + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Amazon.PowerShell.Cmdlets.EC2.GrantEC2SecurityGroupIngressCmdlet #>

从概念上讲，是否可以创建一个 IAM 策略，使开发人员只能创建/删除自己的 50-net（例如 50.10.0.0/16）VPC？还是我们通常宁愿让网络管理员将 VPC 分配给加入的开发人员？

我想组织这样的组织

用户：VPC

开发者 1：50.10.0.0/16

开发者 2：50.20.0.0/16

开发者 3：50.30.0.0/16

谢谢！

当我们创建一个时，EC2 instance我们可以指定一个特定的 VPC 和它的子网。但是当我们创建一个时S3 bucket，我们只能选择一个特定的区域。这是否意味着我们创建的 S3 存储桶位于该区域的默认 VPC 中？还是我对 S3 存储桶如何工作的解释有误？如果是这样，创建 EC2 实例和创建 S3 存储桶相对于 VPC 有何变化？

创建 VPC 时，我们指定要在 VPC 中使用的地址范围作为 CIDR 块(mostly as 10.0.0.0/16)。然后我们在该 VPC 中启动实例。他们将从该地址范围获得私有 IP 地址。当我们创建一个 S3 存储桶并向其中添加一些资源时，我们会获得这些资源的 URL。如果有 URL，则必须有 IP 地址。那些IP地址来自哪里？从我们的 VPC 地址范围？或者 AWS 内是否有一组 IP 地址可用于 S3 服务，而无需考虑 VPC？

我想为 3 个不同的 AWS 账户创建一个 VPN。所有这 3 个帐户都运行不同的应用程序，但对于同一个客户端，作为服务提供商，我们希望建立到这些环境的 VPN 连接，以便我们可以从我们的场所访问环境。

我了解到 Transit VPC 可以跨不同区域和/或不同账户使用。如果中转 VPC 是满足此要求的解决方案，您能否告诉我如何将其集成到现有环境中？

如果不是，我们能做些什么来达到这个要求？

我创建了一个网络负载均衡器（内部）来指向 VPC 中的私有服务器，根据文档我已经完成了以下步骤：

• 配置安全组以允许来自客户端 IP 地址和 VPC CIDR 块的流量。

但执行上述程序后，Target Group 表示私人服务器不健康。以下是我的目标组配置：

协议 TCP 端口 流量端口 健康阈值 3 不健康阈值 3 超时 10 间隔 30

请在这里帮助我

是否可以在两个不同的帐户中创建两个安全组，并在一个代码文件中使用 Terraform 在其他帐户的出口规则中引用其中一个？

例如，如果我们有两个 VPC A 和 B，我想在每个 VPC 中创建两个安全组，并在 B 的安全组的出口引用安全组 A。

我面临的主要问题是我有两个不同的部署者角色，我不确定如何在单个 terraform TF 文件中使用它们。

PS：VPC 是对等的。

提前致谢。

我刚刚在我的账户中安装了来自 AMI Marketplace 的 OpenVPN，并通过 LDAP 连接到 AWS Simple AD。首先，以下是详细信息：

Bastion Host VPC Name: Bastion-VPC ---> Has single public subnet VPC ID: vpc-01000000000000000 CIDR: 10.236.76.192/26

Private Host VPC Name: Private-Environment-VPC ---> Has single private subnet VPC ID: vpc-02000000000000000 CIDR: 192.168.96.0/20

我已经在两个子网之间建立了 VPC 对等互连。每当我登录到任何机器时Bastion-VPC，我都可以 RDP 到机器中的任何Private-Environment-VPC机器。

我已经安装了 OpenVPNBastion-VPC并且可以正常 RDP 到里面的任何机器Bastion-VPC，但是不能 RDP/连接到 .里面的任何机器Private-Environment-VPC。

我想解决上述问题 -与使用 OpenVPNBastion-VPC的机器建立 VPC 连接和 RDP 。Private-Environment-VPC

是否尝试按照以下步骤进行操作：https ://forums.aws.amazon.com/thread.jspa?messageID=570840和https://openvpn.net/index.php/open-source/documentation/howto.html#重定向，但没有帮助。

提前致谢。