标签: amazon-vpc

关于如何在AWS中获取RDS实例的IP地址的问题,我在互联网上到处都得到了相同的答案,但我不知道它是什么dig,以及如何使用它.

如何在VPC中为RDS实例分配IP地址？

请帮我在AWS中找到我的RDS实例的IP地址.

提前致谢

AWS是否允许使用Cloudfront进行网站使用,例如: - 缓存网页.网站只能在公司VPN中访问.在一个网络中使用受限制的应用程序时,在云端缓存网页是一个好主意吗？

我希望为通过 API 网关调用的 Lambda 分配一个静态 IP。这是必需的，因为我从此 lambda 调用的下游系统仅接受来自白名单 IP 的 Web 请求。

我通过与我的 lambda 关联的 VPC 成功地实现了这一点。但是 VPC 引入了一个糟糕的冷启动时间，有时范围为 12-16 秒。所以我正在寻找一种方法来防止这种从 VPC 冷启动，但同时为 lambda 分配一个静态 IP。

我已经配置了一个由Amazon EC2使用的VPC(非默认).

我需要在具有不同可用区的同一VPC中创建另一个子网(非默认).

因此,当我尝试添加详细信息时,我被困在CIDR块中.尝试为CIDR设置不同的IP时,我收到2个错误.

1. CIDR块192.168.250.225/16与来自子网6afacb2c(192.168.0.0/16)的预先存在的CIDR块192.168.0.0/16重叠.AvtarSingh公共子网.

2. 192.167.250.225/16不在192.168.0.0/16的范围内

我尝试了许多我能想到的组合,但没有一个能为我工作.

对不起,我对CIDR知之甚少.那么你能为我提供当前配置的正确CIDR吗？现在,我只想设置开发环境,以便检查.

以下是当前的VPC和子网详细信息:

1. VPC

   VPC ID: vpc-8fe804ea | AvtarSingh VPC
   Network ACL: acl-406a8725
   State: available
   Tenancy: Default
   VPC CIDR: 192.168.0.0/16
   DNS Resolution: yes
   DHCP Options Set: dopt-0d6a7c6f
   DNS Hostnames: yes
   Route Table: rtb-18739f7d
   

   Run Code Online (Sandbox Code Playgroud)

2. 子网

   Subnet ID: subnet-6afacb2c | AvtarSingh Public Subnet
   Availability Zone: us-west-2c
   CIDR: 192.168.0.0/16
   Route Table: rtb-1b739f7e
   State: available
   Network ACL: acl-406a8725
   VPC: vpc-8fe804ea (192.168.0.0/16) | AvtarSingh VPC
   Default Subnet: no
   Available IPs: 65530
   

   Run Code Online (Sandbox Code Playgroud)

我手动设置Amazon VPC网络,需要创建NAT实例.亚马逊拥有各种规模的VPC专用AMI.由于预算方面的考虑,我正在努力使用ami-vpc-nat的微实例.

我担心只有613mb,当更多实例放在NAT实例后面时,微实例可能会遇到困难.请,任何已部署此微实例ami-vpc-nat(特别是在生产中)的人都可以分享他们对其性能和吞吐量的看法.

我意识到我可以使用相同的CIDR块创建多个AWS VPC和子网,我不确定这背后的哲学是什么以及它是如何实现的.

我读到很多人都在努力将他们的 Lambda 连接到他们的 DynamoDB，因为他们住在一个 VPC 中。但我的问题是，为什么要使用 VPC？

VPC 旨在保护与外部世界（也称为互联网）直接连接的服务。例如 RDS 之类的东西，它只是等待任何知道 URL 的人查询的鸭子，因此可能成为 DDoS 的受害者，或者可以绕过凭据的零日漏洞利用等。

但是，AWS Lambda 和 DynamoDB 不是这样的，它们没有直接连接到互联网。他们的访问受到 IAM 凭证的保护，并且对于此类 DDoS/0Day 攻击实际上是安全的。

因此，问题是，如果 Lambda/DynamoDB 没有从中受益，为什么要为 Lambda/DynamoDB 使用 VPC，反而会使配置变得更加复杂？

我没有看到为 Lambda 或 DynamoDB 使用 VPC 的好处。

但也许我的理解是错误的？

当我配置 AWS Gateway VPC 终端节点时，会创建一个指向网关的路由表条目。这里，网关可以被认为是执行到AWS服务的路由（通过私有网络）。

但是，对于 AWS Inteface VPC 终端节点，可见的只是具有子网私有 IP 地址的网络接口。默认情况下，私有 IP 可以在子网或整个 VPC 内发送流量，前提是安全组和 NACL 允许流量。在这种情况下，似乎没有通往网关或路由器的路由表条目来允许 VPC 外部的流量。

接口如何/在哪里将流量路由到即流量如何离开客户 VPC？

当然，我知道流量最终通过专用网络到达预期的AWS服务，但在这里我试图找出网关或路由器在哪里？AWS 是否隐藏此实施？

我无法理解这样一个事实：一个简单的网络接口可以接受流量并自行将其路由到服务，即自行执行路由？显然，在这种情况下，流量似乎并未流经 VPC 路由器或其他网关设备。

我知道这可能是 AWS 的机密实施，但对于他们如何设计此功能有什么想法/想法吗？

我发现在某些地区(例如us-east-1),只有一些可用区可用于创建子网(因此也就是VPC实例).在我的例子中,区域是us-east-1c,-1d和-1e,但这些区域因帐户而异.

我正在构建一个生成子网和VPC实例的脚本,因此以编程方式找出哪些区域具有VPC能力是有用的,特别是因为我知道为什么区域集不能改变(或至少增长)随着时间的推移.

这篇文章提出的问题基本相同,但是接受的答案实际上并没有提供我和提问者正在寻找的信息(除非ec2-describe-availability-zones有一些我不知道的VPC特定参数):亚马逊VPC可用性

我找到了一个可能的解决方法,即尝试创建一个带有垃圾vpc-id和可用区(ec2-create-subnet -c garbage -i 10.0.0.0/24 -z garbage)的子网.此调用的错误消息包括能够托管子网的AZ列表,我可以解析该输出以查找我正在查找的信息.但是,这感觉就像一个黑客,我不喜欢依赖于错误行为和错误消息的特定格式,如果我不必这样做.有没有更好的办法？

更新:根据评论添加更多细节......

我对ec2-describe-availability-zonesALWAYS的调用返回五个值:us-east-1a到us-east-1e,但是我们只能在1c,1d和1e中创建VPC子网.我们在除1b之外的所有区域都运行实例,其中我甚至无法启动常规实例(它似乎逐渐被淘汰).此帐户自VPC功能发布之前就已存在,因此我认为它有点像"遗留"帐户.这可能与我允许创建子网和VPC实例之间的差异以及ec2-describe-availability-zones返回时的差异有关.我将向AWS支持发布一个问题,并在此处报告任何调查结果.

我无法使用浏览器访问AWS Elasticsearch Kibana.

我在我的VPC中设置了一个完全如此处所述的Elasticsearch实例;

https://aws.amazon.com/blogs/aws/amazon-elasticsearch-service-now-supports-vpc/

我使用默认的IAM访问策略模板,该模板基本上是所有当前的IAM配置文件(*)

我的EC2 webapp(xenforo论坛)很愉快地联系在一起并且正在消失.

我想通过浏览器从家用PC访问我的elasticsearch域kibana端点.

我附加到群集配置的安全组包括允许从我的家庭宽带固定IP地址入站的所有TCP的规则.

我登录AWS控制台,点击elasticsearch域概述中的Kibana链接,然后......没有,超时.

我已经阅读了有关此事的所有内容.没有快乐 - 除非我应该签署我的https请求,这看起来很复杂,我的理解是IP访问应该可以配置安全组吗？

任何人都可以澄清吗？