问题标签 [vpc-endpoint]

我想创建一个 vpc 端点服务，以便为我们的内部应用程序在调用 JIRA 时绕过我们的 SSO 页面提供一种方式。

遵循此文档：https ://docs.amazonaws.cn/en_us/vpc/latest/privatelink/endpoint-service-overview.html

我创造：

• 内部方案上的 NLB（在端口 443 上使用侦听器 TLS）
• 目标组（TLS 端口 443）
• 健康检查 (TCP 443)
• 端点服务

我的 api 节点正在侦听以下端口：

我的目标实例和 Healthcheck 不断失败。

我已经多次重建 NLB/Target 组，尝试 TLS 和 TCP 侦听器 - 但似乎没有任何效果。

我错过了什么？

我想在建立 Web 套接字连接之前合并 Cognito 来授权落在我的服务器上的调用。我目前正在苦苦挣扎的是，我正在使用带有开发人员凭据的联合身份生成令牌和 AWS 临时凭据，以允许使用下图自定义登录到我的应用程序。

但是一旦生成了会话令牌、访问 ID 和密钥，我似乎不明白如何在 VPC 中重新验证这些令牌以允许对调用进行身份验证以建立 Web 套接字连接。我想通过与 cognito 连接在 VPC 内部重新验证凭据我附上了一张我认为连接最终会是什么样子的粗略图，如果我能在理解如何实现这种重新验证方面获得一些帮助来自 VPC 的令牌。

AWS CDK 提供一个InterfaceVpcEndpoint和一个VpcEndpoint。这两种结构有什么区别？

当我尝试为 com.amazonaws.us-east-1.lambda（lambda 服务）创建 VPC 终端节点时，“us-east-1a”可用区不是一个选项。但是，当我选择不同的服务时，例如“com.amazonaws.us-east-1.rds”，我可以在“us-east-1a”可用区中选择一个子网。

我正在通过 CloudFormation 模板创建 VPC 端点，但也确认在通过 UI 创建时会发生这种情况。

我一直在查看 AWS 文档和之前的问题，但我无法确定为什么会发生这种情况以及如何解决这个问题，以便我们可以为该 VPC 端点选择该 AZ 中的子网。任何指导表示赞赏。

不允许使用 us-east-1a 为 lambda 创建 VPC 端点的屏幕截图：

尝试为其他服务创建 VPC 端点的屏幕截图：

我花了大约一整天的时间试图解决这个问题，但到目前为止还没有运气。除了我目前的设置，我也愿意接受其他建议。

我在 VPC 中有一个 RDS 实例。我正在尝试使 CodeBuild 能够访问此 RDS 实例以进行测试步骤。

目前，我为 CodeBuild 服务设置了一个 VPC 终端节点，其中包含 VPC 的所有 3 个子网。我知道，如果我允许 RDS 上的安全组的所有入站流量，它就可以工作。不过，我不想允许所有入站流量 - 鉴于此，没有成功。

我尝试了以下方法无济于事：

• 获取 VPCE 创建的 ENI 的私有 IPv4，将它们作为入站规则添加到 RDS 上的安全组
• 为 CodeBuild 创建一个单独的 VPC，并设置 VPC 对等（这似乎过于复杂，而且我不确定对等是否会允许 CodeBuild 流量到达 RDS；这也使 CodeDeploy 的事情变得复杂）。
• 将 CodeBuild 放入 RDS 实例的 VPC。执行此操作时，我在 VPC 中创建了一个新子网，将其分配给路由表中的 NAT（并且此 NAT 在 RDS 实例的 VPC 上）；put CodeBuild 一直告诉我它无法访问互联网。

我有一个 AWS REST API 网关，我希望 API 是私有的，所以我创建了一个 VPC 终端节点（子网：10.0.100.0/24），并将 VPC 终端节点与 API 相关联。现在，当我在内部按预期从子网执行 API 时，一切正常。但是，当我使用 VPC 端点的别名在 Route 53 中创建一条记录以将流量转发到 API 时，它会超时。任何建议！

我们有 2 个区域，主要区域和次要区域，其中配置了 VPC，以便该 VPC 中的 EC2 实例向私有 VPC 终端节点发出请求，该终端节点将从该区域为 DynamoDB 提供服务。我们的 Amazon DynamoDB 表是全局表。出于安全原因，我们的目标是让我们的请求保留在 Amazon 网络中。

我们有一个计划任务，它将在我们主要区域的 EC2 实例上运行。我们希望通过在主要区域 DynamoDB 服务降级的情况下将 DynamoDB 请求故障转移到次要区域来使其更具弹性。这是 AWS 在可用性和耐用性部分中推荐的。

我查看了这些文档：Endpoints for Amazon DynamoDB和Using Amazon VPC Endpoints to Access DynamoDB，但它们似乎没有提供任何解决方案。甚至可以从另一个区域向私有 VPC 端点发出请求吗？

目标是通过不将请求发送到 Internet 来实现多区域弹性和良好的安全性。

我在 AWS 上的 VPC 中有一个私有子网。我在该子网中的 Lambda 上上传了一个 java 应用程序，我试图通过接口端点连接到 SQS。在我的 java 应用程序中，我通过以下方式连接到 SQS：

但我进入 Unable to execute HTTP request: Connect to sqs.eu-central-1.amazonaws.com:443 failed: connect timed out了 Lambda 日志。

我为我的安全组中的 tcp 流量提供了 22 端口的访问权限。我有什么遗漏吗？先感谢您。

我有 s3 端点悲伤。当我的实例初始化时，它们无法安装 docker。细节：

我的 ASG 实例位于带有 pub 和私有子网的 VPC 中。适当的路由和 EIP/NAT 都被缝合了。私有子网中的实例有出站 0.0.0.0/0 路由到各自公有子网中的 NAT。公共子网的 NACL 允许 Internet 流量进出，私有子网周围的 NACL 允许来自公共子网的流量进出、出入 Internet 的流量（以及来自 s3 cidr 的流量进出）。我希望它完全锁定。

• 我在我的 VPC 中启用了 DNS 和主机名
• 我了解 NACL 是无状态的，并且已为临时端口范围上的 s3 amazon IP cidr 块启用了 IN 和 OUTBOUND 规则（是的，我还启用了 pub 和私有子网之间的流量）
• 是的，我已经在我的私有路由表中检查了为我的 s3 端点配置的路由
• 是的，我确定这是 s3 端点导致我悲伤，而不是另一个错误 -> 当我删除它并打开我的 NACL 时，我可以 yum 更新并安装 docker（如预期的那样）我不是在寻找需要打开我的建议的建议NACL，我正在使用 VPC 网关端点，因为我想将事物锁定在私有子网中。我提到这一点是因为类似的讨论似乎在说“我在所有端口上打开了 0.0.0.0/0，现在 x 可以工作”
• 我应该烤一个安装了 docker 的 AMI 吗？如果我不能解决这个问题，我会这样做。我真的很想建立我的网络，所以一切都很好地锁定了，感觉使用端点应该很简单。在很大程度上，这是一个网络练习，所以我宁愿不这样做，因为它避免了解决和理解问题。
• 我知道我的其他 VPC 端点运行良好 -> 自动缩放服务接口端点正在执行（我可以看到它根据策略缩减实例），SSM 接口端点允许我使用会话管理器，并且 ECR 端点正在运行结合 s3 网关端点（需要 s3 网关端点，因为图像层在 s3 中）-> 我知道这是可行的，因为如果我打开 NACLS 并删除我的 s3 端点并安装 docker，然后再次锁定所有内容，带回我的 s3 gatewayendpoint 我可以成功提取我的 ECR 图像。所以 s3 网关端点可以很好地访问 ecr 映像层，但不能访问 amazon-linux-extra 存储库。
• 附加到实例的 SG 不是问题（实例具有默认出站规则）
• 我已经尝试向我的 s3 端点添加越来越慷慨的策略，正如我在这个 7 岁的线程中看到的那样，并认为这必须解决问题（是的，我正确地替换了我的区域）
• 我强烈认为解决方案在于该线程中讨论的 s3 网关策略，但是我越来越绝望的策略几乎没有运气。

Amazon EC2 实例无法更新或使用 yum

另一个 s3 与分辨率的斗争：

https://blog.saieva.com/2020/08/17/aws-s3-endpoint-gateway-access-for-linux-2-amis-resolving-http-403-forbidden-error/

我努力了：

（如您所见，非常绝望）第一个规则是 ECR 接口端点从 s3 拉图像层所必需的，所有其他规则都是尝试到达 amazon-linux-extras 存储库。

以下是我通过使用 SSM 端点连接会话管理器重新创建的初始化时发生的行为：

https://aws.amazon.com/premiumsupport/knowledge-center/connect-s3-vpc-endpoint/

我不能 yum 安装或更新

加载的插件：extras_suggestions、langpacks、priorities、update-motd 无法检索镜像列表https://amazonlinux-2-repos-ap-southeast-2.s3.ap-southeast-2.amazonaws.com/2/core/latest/ x86_64/mirror.list错误为 14：HTTPS 错误 403 - 禁止

配置的存储库之一失败（未知），并且 yum 没有足够的缓存数据来继续。在这一点上，yum 能做的唯一安全的事情就是失败。有几种方法可以“解决”这个问题：

无法为 repo 找到有效的 baseurl：amzn2-core/2/x86_64

并且不能：

目录https://amazonlinux-2-repos-ap-southeast-2.s3.ap-southeast-2.amazonaws.com/2/extras-catalog-x86_64-v2.json , https://amazonlinux-2- repos-ap-southeast-2.s3.ap-southeast-2.amazonaws.com/2/extras-catalog-x86_64.json 回溯（最后一次调用）：文件“/usr/lib/python2.7/site-packages/amazon_linux_extras/software_catalog.py”，第 131 行，在 fetch_new_catalog 请求 = urlopen(url) 文件“/usr/lib64/python2. 7/urllib2.py"，第 154 行，在 urlopen 返回 opener.open(url，数据，超时) 文件 "/usr/lib64/python2.7/urllib2.py"，第 435 行，打开响应 = meth(req,响应）文件“/usr/lib64/python2.7/urllib2.py”，第 548 行，在 http_response 'http'，请求，响应，代码，味精，hdrs）文件“/usr/lib64/python2.7/urllib2. py”，第 473 行，错误返回 self._call_chain(*args) 文件“/usr/lib64/python2.7/urllib2.py”，第 407 行，在 _call_chain 结果 = func(*args) 文件“/usr/lib64 /python2.7/urllib2.py”，第 556 行，在 http_error_default 中引发 HTTPError(req.get_full_url(), code, msg, hdrs,fp）HTTPError：HTTP错误403：禁止

我错过了什么陷阱？我很困在这里。我熟悉基本的 VPC 网络、NACL 和 VPC 端点（我至少使用过的那些），我已经完成了故障排除（尽管我已经按照概述进行了所有设置）。

我觉得 s3 政策是这里的问题或镜像列表。非常感谢您阅读所有内容！想法？

我已经为 textract 服务创建了一个 vpc 端点，并将其附加到正确的子网。

从 ec2，当我运行 aws cli 命令进行 textract 其显示如下

它卡在下面的消息中

Vpcendoint 和 Ec2 在同一个子网中。ec2 还附加了正确的安全组