Não é possível conectar-se à instância do EC2 no VPC (Amazon AWS)

46

Eu segui os seguintes passos:

  1. Criado um VPC (com uma única sub-rede pública)
  2. Adicionada uma instância do EC2 ao VPC
  3. Alocou um IP elástico
  4. Associou o IP elástico à instância
  5. Criou um grupo de segurança e atribuiu-o à instância
  6. Modificado as regras de segurança para permitir eco ICMP de entrada e TCP na porta 22

Eu fiz tudo isso e ainda não consigo fazer ping ou ssh na instância. Se eu seguir os mesmos passos menos os bits VPC eu posso configurá-lo sem problemas. Que passo estou faltando?

    
por Ryan Lynch 06.04.2013 / 06:23

5 respostas

74

Para se comunicar fora do VPC, cada sub-rede não padrão precisa de uma tabela de roteamento e um gateway da Internet associado a ela (as sub-redes padrão recebem um gateway externo e uma tabela de roteamento por padrão).

Dependendo da maneira como você criou a sub-rede pública no VPC, talvez seja necessário adicioná-los explicitamente. Sua configuração de VPC parece corresponder ao Cenário 1 - uma nuvem privada (VPC) com uma única sub-rede pública, e um gateway de Internet para permitir a comunicação pela Internet da documentação do AWS VPC.

Você precisará adicionar um gateway da Internet à sua VPC e dentro da tabela de roteamento da sub-rede pública atribuir 0.0.0.0/0 (rota padrão) para ir ao gateway da Internet atribuído . Há uma boa ilustração da topologia de rede exata dentro da documentação.

Além disso, para obter mais informações, você pode verificar a documentação da VPC Internet Gateway da AWS . Infelizmente é um pouco confuso e uma pegadinha não óbvia.

Para mais detalhes sobre problemas de conexão, consulte também: Solução de problemas de conexão com sua instância .

    
por 06.04.2013 / 07:28
4

Não tenho certeza se esse é exatamente o caso, mas acabei de criar uma VPC com sub-redes públicas e privadas e percebi que há um grupo de segurança padrão que tem o endereço de origem como o mesmo nome do grupo de segurança. Eficaz não tem acesso. Tive que mudar essa fonte para qualquer lugar e começou a trabalhar.

    
por 11.07.2015 / 11:11
3

Eu notei que (eu acho) você precisa ter cuidado com qual zona de disponibilidade sua instância é criada. A sub-rede, a interface de rede e a instância precisam estar na mesma zona de disponibilidade; caso contrário, não há como se conectar um IP público para essa instância.

Eu posso estar errado - mas eu não penso assim, isso me custou 12 horas de trabalho para descobrir.

Espero que isso ajude alguém.

    
por 11.02.2014 / 19:13
1

Você deve alocar um ENI e atribuir o Elastic IP a este ENI. Além disso, você deve atribuir este ENI ao seu VPC. A tabela de rotas deve estar correta também, para encaminhar corretamente os pacotes externos para o seu VPC.

    
por 06.04.2013 / 06:59
0

Como o SSH é um protocolo com estado, você precisa ter a seguinte regra de saída em sua rede ACL:

Rule #  Type            Protocol        Port Range      Destination     Allow / Deny
100     Custom TCP Rule TCP (6)         49152-65535     0.0.0.0/0       ALLOW
    
por 01.11.2015 / 07:03