O que poderia impedir que uma instância do Amazon EC2 pingasse o IP privado de outra instância?

5

Tenho várias instâncias do Amazon EC2 que precisam se comunicar usando IPs privados. No entanto, até agora, não consegui fazer o ping do IP privado de uma instância de outra instância.

Eu posso fazer ping de endereços externos, como seus Elastic IPs e outros sites (yahoo, google, etc), então parece que não há nada errado com a configuração de rede das instâncias.

Além disso, eles estão todos na mesma zona, então isso não deve ser um problema.

Alguém tem alguma idéia do que eu poderia estar fazendo errado? Isso poderia estar relacionado às configurações do Grupo de segurança?

    
por ks78 06.02.2011 / 08:15

4 respostas

7

Acontece que o problema era a configuração do Grupo de Segurança depois de tudo.

Eu estava restringindo o tráfego de IP, então apenas meu IP externo podia se comunicar com as instâncias. Presumi que os grupos de segurança não se aplicavam à comunicação entre instâncias, mas eles se aplicam.

A solução também permitia o tráfego de 10.0.0.0/8, que abrange todos os IPs privados EC2 possíveis. Seria mais seguro permitir somente o tráfego de IPs privados específicos, mas isso é um incômodo, pois eles podem mudar.

Isso resolve meu problema por enquanto. Provavelmente, a melhor solução seria utilizar a API da Amazon para ajustar automaticamente as restrições de IP do Grupo de Segurança quando as instâncias forem interrompidas e iniciadas.

    
por 07.02.2011 / 17:12
2

De acordo com as Perguntas frequentes da AWS, desde que você não pare sua instância ... seu IP privado permanecerá o mesmo.

Q: Do I need one Elastic IP address for every instance that I have running? No. You do not need an Elastic IP address for all your instances. By default, every instance comes with a private IP address and an internet routable public IP address. The private address is associated exclusively with the instance and is only returned to Amazon EC2 when the instance is stopped or terminated. The public address is associated exclusively with the instance until it is stopped, terminated or replaced with an Elastic IP address. These IP addresses should be adequate for many applications where you do not need a long lived internet routable end point. Compute clusters, web crawling, and backend services are all examples of applications that typically do not require Elastic IP addresses.

    
por 28.06.2012 / 08:44
1

A declaração "Configurações do Grupo de Segurança não afetam os IPs internos" está incorreta. Você precisa adicionar o tráfego de entrada ao grupo de segurança para o IP privado, assim como um IP externo.

Eu tive que adicionar entradas de um IP privado específico para que eu pudesse permitir que uma instância acessasse outra usando subversão, CouchDB, mapear uma unidade de rede, etc.

No entanto, o ping é diferente ... Verifique se as configurações de segurança estão definidas para ICMP ou apenas para "Todo o tráfego". Não apenas TCP. Porque o PING é uma mensagem ICMP. Não pense que porque você ativou "All TCP" que funcionará.

Espero que ajude.

    
por 14.10.2014 / 21:10
0

As configurações do Grupo de segurança não afetam os IPs internos, pois são impingidos no gateway do cluster.

Como as instâncias estão na mesma zona, você pode verificar se suas instâncias do firewall, se ativadas, estão aceitando solicitações de ping (ICMP echo)

Caso contrário, tente gerar uma terceira instância e executar o ping em ambos, se isso for bem-sucedido, pode ser devido a um problema no servidor host de uma das instâncias

    
por 06.02.2011 / 11:12