标签: amazon-vpc

我一直在创建 AWS VPC，我想知道创建 VPC 时是否有推荐的 CIDR 值。选择 CIDR 时必须考虑哪些因素，CIDR 值是否会影响网络性能？

我采取了以下步骤：

1. 创建了一个 VPC（具有单个公有子网）
2. 向 VPC 添加了一个 EC2 实例
3. 分配弹性IP
4. 将弹性IP与实例关联
5. 创建安全组并分配给实例
6. 修改安全规则以允许端口 22 上的入站 ICMP echo 和 TCP

我已经完成了所有这些，但我仍然无法 ping 或 ssh 进入该实例。如果我按照相同的步骤减去 VPC 位，我就可以毫无问题地进行设置。我错过了什么步骤？

当我启动带有允许所有流量进入我的私有子网的安全组的服务器时，它会显示一条警告，表明它可能对全世界开放。

如果是私有子网，那怎么可能呢？

我将在 VPC 的默认子网中的 Elastic Beanstalk 自动扩展组中拥有多个 EC2 实例。这些 EC2 实例上的应用程序需要连接到使用 IP 地址白名单的第三方服务才能允许访问。所以我需要一个或多个静态 IP 地址，我可以将这些地址提供给该服务提供商，以便将它们添加到白名单中。我的理解是，获得静态 IP 的唯一方法是获得弹性 IP 地址。而且我一次只能将弹性 IP 与一个 EC2 实例相关联——我无法将它与我的整个子网或互联网网关相关联（这是正确的吗？）。那么我是否需要为每个 EC2 实例提供一个弹性 IP，以便每个实例都可以单独列入白名单？如果自动缩放添加另一个实例，这将如何工作？我是否应该拥有一个带有弹性 IP 的 EC2 实例，并通过该实例路由所有传出流量？如果是这样，该实例是否需要仅用于此目的，还是可以是运行我的应用程序的实例之一？

我有一台位于 AWS 之外的服务器。我希望能够将 EFS 卷挂载到它，但我不确定这是否可行。

也许如果您创建一个 VPC，并通过 VPN 创建隧道？

有谁知道这是否可能？

我想通过 CLI 删除 VPC。但是得到一个错误：

A client error (DependencyViolation) occurred when calling the DeleteVpc operation: The vpc 'vpc-xxx' has dependencies and cannot be deleted.

如何列出阻止我删除此 VPC 的所有依赖项？

我开始了解 VPC，但没有看到好的内部 DNS 解决方案。例如，我们使用的是 VPC 中的其他服务器连接到的非 RDS 数据库服务器。我想按名称而不是 IP 连接。部分原因是这样我可以获得一个内部 10.xxx 地址，这可能会更快。大多数情况下，它使配置更容易、更清晰、更灵活。

在过去（大约 2008 年），VPC 之前我有一个运行 MaraDNS 的服务器，我们会在我们启动和更改实例时更新它，这是一个很大的痛苦，特别是因为服务器将获得自己的 DHCP 分配的内部地址当他们重新启动时，只是因为这是另一回事。我的一些运行不同系统的同事认为我进行所有这些努力是个白痴——他们只是更新了 /etc/hosts 文件（这很好，直到出现中断并且他们所有的服务器都以新的 IP 返回）。

我应该看看 Route53（我们在那里做我们所有的公共 DNS）还是我遗漏了什么？

更新：2017 年——内部 DNS 现在是 Route 53 的一个功能。哇！

根据 Amazon 和我的测试，/24 VPC 子网允许 251 个可用 IP 地址。我在该 VPC 中有 2 个其他子网，它们似乎没有被 EC2 使用的 IP，并且可用 IP 字段表明只有 250 个可用。我检查过

我试图找出哪些资源正在使用这些 IP，但似乎 AWS 不允许这种查询。

我想看到的是将 IP 用于特定 VPC 子网的资源列表。

如果有人可以阐明除 EC2 之外哪些 AWS 服务可以使用子网 IP，那也会有所帮助。

谢谢。

我在 aws 中创建了一个带有公有子网和私有子网的 VPC。私有子网不能直接访问外部网络。因此，公共子网中有一个 NAT 服务器，它将所有出站流量从私有子网转发到外部网络。

目前，我可以从公共子网到私有子网的 SSH，也可以从 NAT 到私有子网的 SSH。但是，我想要的是从任何机器（家用笔记本电脑、办公机器和移动设备）到私有子网中的实例的 SSH。

我做了一些研究，我可以设置 NAT 框以将 SSH 转发到私有子网中的实例。但我对此并不走运。

任何人都可以列出我需要设置的内容以使其成为可能。

命名是：

笔记本电脑（VPC 之外的任何设备）

nat（公共子网中的 NAT 服务器）

目的地（我想连接到的私有子网中的服务器）

不确定以下是否有限制：

“destination”没有公网IP，只有子网ip，例如10.0.0.1 “destination”不能通过nat的public连接到“nat”。有几个“目标”服务器，我需要为每个设置一个吗？

谢谢

我使用 CloudFormation 向我的 VPC 添加了一个 VPC 端点，并允许使用 s3。这些路由在 AWS 控制台中可见，但在 EC2 实例的本地路由表中不可见：

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.29.4.129    0.0.0.0         UG    0      0        0 eth0
169.254.169.254 0.0.0.0         255.255.255.255 UH    0      0        0 eth0
172.29.4.128    0.0.0.0         255.255.255.128 U     0      0        0 eth0

如何验证 VPC 中的 EC2 实例实际上使用 S3 的 VPC 终端节点，而不是可用的互联网连接？