标签: amazon-vpc

我想使用EIP访问我的私有子网中的几个实例.有办法吗？我知道这没有多大意义.但让我详细解释一下.

我有一个带有2个子网的VPC.

1)192.168.0.0/24(公共子网)附加了EIP

2)192.168.1.0/24(私有子网)

这些之间有一个NAT实例,允许私有实例具有对Internet的出站访问权限.如下所述,一切正常:http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

但是现在,我暂时需要使用EIP直接从互联网上解决私有子网上的实例.这可以通过单独为该特定实例设置新的路由表来实现吗？或其他什么？以下是限制:

1)私有子网上的任何实例都不能有任何停机时间

2)因此不言而喻,我无法创建新的子网并在那里移动这些实例.

它应该像 - >附加一样简单.使用 .去掉.我现在唯一的另一种方式是在iptables上从公共子网(有EIP)的实例到私有子网上的任何实例上的某种端口...但这看起来很混乱.

还有其他办法吗？

我发现在某些地区(例如us-east-1),只有一些可用区可用于创建子网(因此也就是VPC实例).在我的例子中,区域是us-east-1c,-1d和-1e,但这些区域因帐户而异.

我正在构建一个生成子网和VPC实例的脚本,因此以编程方式找出哪些区域具有VPC能力是有用的,特别是因为我知道为什么区域集不能改变(或至少增长)随着时间的推移.

这篇文章提出的问题基本相同,但是接受的答案实际上并没有提供我和提问者正在寻找的信息(除非ec2-describe-availability-zones有一些我不知道的VPC特定参数):亚马逊VPC可用性

我找到了一个可能的解决方法,即尝试创建一个带有垃圾vpc-id和可用区(ec2-create-subnet -c garbage -i 10.0.0.0/24 -z garbage)的子网.此调用的错误消息包括能够托管子网的AZ列表,我可以解析该输出以查找我正在查找的信息.但是,这感觉就像一个黑客,我不喜欢依赖于错误行为和错误消息的特定格式,如果我不必这样做.有没有更好的办法？

更新:根据评论添加更多细节......

我对ec2-describe-availability-zonesALWAYS的调用返回五个值:us-east-1a到us-east-1e,但是我们只能在1c,1d和1e中创建VPC子网.我们在除1b之外的所有区域都运行实例,其中我甚至无法启动常规实例(它似乎逐渐被淘汰).此帐户自VPC功能发布之前就已存在,因此我认为它有点像"遗留"帐户.这可能与我允许创建子网和VPC实例之间的差异以及ec2-describe-availability-zones返回时的差异有关.我将向AWS支持发布一个问题,并在此处报告任何调查结果.

我无法使用浏览器访问AWS Elasticsearch Kibana.

我在我的VPC中设置了一个完全如此处所述的Elasticsearch实例;

https://aws.amazon.com/blogs/aws/amazon-elasticsearch-service-now-supports-vpc/

我使用默认的IAM访问策略模板,该模板基本上是所有当前的IAM配置文件(*)

我的EC2 webapp(xenforo论坛)很愉快地联系在一起并且正在消失.

我想通过浏览器从家用PC访问我的elasticsearch域kibana端点.

我附加到群集配置的安全组包括允许从我的家庭宽带固定IP地址入站的所有TCP的规则.

我登录AWS控制台,点击elasticsearch域概述中的Kibana链接,然后......没有,超时.

我已经阅读了有关此事的所有内容.没有快乐 - 除非我应该签署我的https请求,这看起来很复杂,我的理解是IP访问应该可以配置安全组吗？

任何人都可以澄清吗？

我在 AWS 上使用 IPV4 CIDR 块创建了一个 VPC（公共和私有子网）10.0.0.0/26（即它可以有 2^6 = 64 个 IP 地址以及一个子网地址和一个广播地址）。我想创建以下两个子网，但Must be valid Ipv4 CIDR出现错误：

1. 具有10.0.0.0/28CIDR 块的公共子网，以及
2. 带有10.0.0.8/28CIDR 块的私有子网

如果我提供子网掩码 as/28并且我想将地址分成两个子网，则地址将落入 range 10.0.0.0 [10.0.0.00000000] - 10.0.0.15 [10.0.0.00001111]。另一方面，如果我将 CIDR 块设置为10.0.0.16/28，则不会出现任何错误。为什么 AWSMust be valid Ipv4 CIDR在 CIDR 块中给出错误为10.0.0.8/28？

我知道目前没有适用于 AWS Cognito 的 VPC 终端节点。有没有其他方法可以从私有子网与 cognito 进行通信？

我在VPC A中的EC2实例上运行Tableau Server.同时,我在另一个VPC B中创建了一个postgres RDS.现在我想在Tableau Server和RDS之间建立连接.RDS VPC的CIDR为172.31.0.0/16,EC2 VPC的CIDR为10.0.0.0/16.

根据VPC中的A DB实例,在不同VPC中由EC2实例访问,我在VPC A和VPC B,pcx-xyz123之间创建了对等关系.此外,我还为VPC创建了以下路由表.

RDS VPC
Destination      Target
172.31.0.0/16    local
10.0.0.0/16      pcx-xyz123

EC2 VPC
Destination      Target
10.0.0.0/16      local
172.31.0.0/16    pcx-xyz123

两个路由表都是主要的.每个都有0个子网(不确定这是否重要).

但是,我仍然无法从Tableau Server连接RDS.

这两个实例由同一帐户创建.它们都列在美国东部(俄亥俄州).所以我假设他们在同一个地区.另外两者都有us-east-2他们的主机名.从我的PC,我可以使用psql命令或pgAdmin连接到RDS.

为什么我不能连接这两个实例？

编辑:我在与Tableau Server相同的VPC的同一子网内创建了另一个EC2 Linux实例,仅用于调试目的.我以相同的方式配置了对等和路由表,并将子网与路由表相关联.但是,我仍然无法连接到EC2 Linux实例上的RDS.

我有一个任务来配置 API 网关以将流量路由到 Lambda 或负载均衡器（内部，在 VPC 下）。我认为可以使用简单的 HTTP 集成或 AWS 服务为 ALB 创建简单的集成。但是经过一段时间的谷歌搜索后，我发现只有一种解决方案 - 是配置 NLB，然后使用VPC_Link 集成。在这种情况下，一切看起来都在工作。

但是我仍然找到了一些像这样的文章，其中人们描述了如何在没有 VPC_links 的情况下集成 Api Gateway 和 LB。就我而言invalid endpoint address，将内部 ALB 与 apigateway 集成时，我总是看到错误。我想这仅适用于公共资源（面向 LB 的互联网）？

问题的第二部分。当我配置 VPC_link 时，我仍然需要在集成中提供一些端点以进行证书检查和其他事情。但是看起来这个端点仍然必须可以公开访问？问题是我在 ALB 下的服务有多个端点，我需要在这个端点提供路径Endpoint URL，这个端点应该是公开的，就像我现在看到的那样。因此，出于测试原因，我提供了我们需要执行的公共资源的 url 和端点路径。这有效，但对我来说看起来太丑了。可能有任何漂亮的解决方案。

我在VPC中设置了EKS群集.工作节点在私有子网中启动.我可以成功部署pod和服务.

但是,我无法从pod中执行DNS解析.(它在容器外部的工作节点上工作正常.)

使用https://kubernetes.io/docs/tasks/administer-cluster/dns-debugging-resolution/进行故障排除会导致nslookup出现以下情况(大约一分钟后超时):

服务器:172.20.0.10地址1:172.20.0.10

nslookup:无法解析'kubernetes.default'

当我在一个全公开的VPC中启动集群时,我没有这个问题.我是否缺少私有子网内DNS解析的必要步骤？

非常感谢,丹尼尔

我知道私有API不支持自定义域名。

https://{restapi-id}.execute-api.{region}.amazonaws.com/{stage}