标签: amazon-vpc

到目前为止，我们的 NAT 服务器已经失败了 3 次 - 一次是由于它的 EIP 问题，两次是由于它的主机受 CPU 限制。虽然我理解这些事情会发生，但我们不能继续停电。我们如何为我们的 VPC 实施冗余的、有弹性的 NAT 解决方案？例如，是否可以使用多个 NAT 服务器？

我的 VPC（亚马逊虚拟私有云）由 2 个子网组成，1 个公有和 1 个私有。私有子网中的实例通过公有子网中的 NAT 服务器路由。据我所知，每个 VPC 只能有 1 个 NAT 服务器。

我的公司在 AWS 上有一个正在运行的业务 Web 服务，它使用通配符 SSL 证书（适用于 *.example.com）。多个合作伙伴拥有子域并需要 SSL（https://partner1.example.com、https://partner2.example.com等），我们为他们提供 HTML 或 JSON 响应。

我们的生产站点有一个面向 Web 的 ELB，其中安装了我们的 SSL 证书。ELB 平衡并终止到我们 VPC 中生产服务器实例集群的SSL。我们的网络应用程序知道如何根据子域名提供正确的合作伙伴 HTML/JSON。

我想尽可能简单地为我们的测试环境（例如 QA、Staging、Demo）复制这个。但是测试和生产环境不能是同一个服务器实例；我需要知道如果我搞砸了我们的测试环境，我不会终止生产。

理想情况下，处理生产流量的同一个 ELB 可以以某种方式将流量路由到我的测试服务器，也许如果它们使用已知的 IP 地址或 DNS 子域？我是否正确地认为这是不可能的？

我想我可以为每个测试环境设置一个带有 SSL 证书的 ELB ，每个“平衡”到一个服务器，但这似乎过于复杂，我猜也很贵。

所有实例，生产和测试，都在我们的 VPC 中运行。但是目前只有生产集群在 ELB（它终止 SSL）上设置了 SSL，并将直接的 HTTP 请求传递给实例本身。

测试服务器接受 HTTP。我设置了公共弹性 IP 和 DNS 名称（staging.example.com、qa.example.com、demo.example.com）……但它们不受 SSL 保护。

测试服务器实例上几乎没有关键数据或客户数据，并且它们像任何面向 Web 的服务器一样受到保护和正确修补（我希望！！）。尽管如此，我希望 SSL 不仅是为了增加安全性，而且是让我的测试环境尽可能地匹配我的生产环境。

除了我们的临时服务器之外，其他环境都由具有 Apache 命名虚拟主机配置的单个实例（例如，同一服务器上的 demo 和 qa）支持。因此，对于测试，有很多站点，但只有少数服务器。

有没有一种方法可以让我的通配符 SSL 证书仅安装在我的负载均衡器（或者可能更多）上，或者其他一些配置允许我检测 HTTP 请求并将其路由到正确的测试服务器，基于 IP …

尝试连接网络接口时，它说...

找不到此可用区的实例。

我的实例在us-east-1c 中，我的网络接口在us-east-1b 中。这很重要吗？

如果是这样，我如何在同一区域中创建 VPC，如果不是，那么为什么会出现此错误？

编辑：

我重新创建了 VPC，网络接口现在是us-east-1c，EC2 实例也是us-east-1c。同样的错误信息！

我使用 VPC 向导创建了一个 VPC，其中包含两个子网（公共和私有），以及私有子网前面的 NAT。

查看子网的 ACL，有一条规则允许0.0.0.0/0. 我想禁止，这不是从NAT来（与IP 10.0.0.8），所以我改变ACL是类似于那些在任何入站流量Scenario 2在http://docs.aws.amazon.com/AmazonVPC/latest /UserGuide/VPC_Appendix_NACLs.html。

也就是说，ALLOW来自 的所有端口上的所有协议10.0.0.0/16，不允许0.0.0.0/0.

这似乎无法正常工作，因为我的实例无法访问 Internet。我还需要设置/更改其他内容才能使其正常工作吗？

我目前正在 Amazon VPC 上设置多个子网。例如，我有一个用于数据库服务器的子网，一个用于网络服务器，一个用于负载平衡器。我尽量限制对这些子网的访问。现在，我们使用相同的规则集创建 ACL 和安全组，并将它们分配给子网/实例。

只使用其中之一可以吗？您更喜欢使用哪个？或者我是否错过了需要创建和维护这两者的东西？

我们有一个要求，我们必须测试 500 多个端口开放规则。所以需要对以下几点提出建议。

• 哪个是测试端口连通性的最佳工具。Telnet 就足够了
• 如果没有应用程序正在侦听端口，则 telnet 将从该端口获取响应。

我们正在 Amazon VPC 中针对安全组进行检查。

我在 VPC、多个安全组、内部名称服务的 route53 中有十几个不同大小的 EBS 支持的实例。

我想将整个内容克隆到另一个可用区。有没有人做过这样的事情？OpsWorks 似乎具有该功能。有人用过吗？

我目前正在研究使用 CloudFormation 在我们的堆栈中自动创建VPC 端点（目的是让我们的堆栈可以访问 S3 而不会创建出站流量）。问题是，我似乎找不到任何说明如何声明资源的文档。 此页面似乎充满了有关将 VPC 端点与 cloudformation 结合使用的警告，我一定会注意这些警告，但我似乎找不到有关 CFN 资源本身的任何文档。

我有一台安装了 Elasticsearch 的 EC2 机器。我需要9200打开端口，以便同一地区的其他内部机器可以访问该端口。我无意让这个端口公开开放。

我不知道该怎么做。是否有我可以使用的客户 IP？我应该使用 VPC 吗？

我在亚马逊 AWS 的一个组中添加了一个用户。用户有权添加 EC2 实例，但似乎没有创建密钥对的权限 - 请求被拒绝。知道需要添加什么权限才能为新用户启用此功能吗？