我在EC2-Classic中有一个很重的RDS实例(MySQL),有三个只读副本实例。 我们正计划将一些微服务转移到VPC中,其中一些需要阅读这些副本实例(我们还没有计划在中期将这些RDS实例完全转移到VPC)。 我想到的第一个想法是在VPC内创build一个只读副本(我已经创build了一个子网组),但是我收到了错误信息: At least one security group 'xxxxx' (Non-VPC) and subnet group 'dbsubnetgroup' (in VPC 'vpc-123456') are not in common VPC. (Service: AmazonRDS; Status Code: 400; Error Code: InvalidParameterCombination; Request ID: 5a8f57fb-f5b4-11e5-996f-d16e3527730f) 我试图使用AWS CLI来实现这一点: aws rds create-db-instance-read-replica –db-instance-identifier replica-name –source-db-instance-identifier spurce-name –db-subnet-group-name sbsubnetgroup-name –region us-east-1 A client error (DBSubnetGroupNotAllowedFault) occurred when calling the CreateDBInstanceReadReplica […]
我在VPC上有两个子网,每个都有不同的AZ。 子网S1是公共的,子网S2是私有的。 我实现了两个EC2实例,每个实例都在自己的子网上。 / AZ1 ====> S1 (10.0.1.x) =====> EC1 (10.0.1.1) VPC | \ AZ2 ====> S2 (10.0.2.x) =====> EC2 (10.0.2.2) 那么,我使用SSH创build了一个到EC1的连接,一切正常,但是如果我尝试从EC1(10.0.1.1)ping到EC2(10.0.2.2),我得到这个: ec2-user@ec1 ~# ping 10.0.2.2 PING 10.0.2.2 (10.0.2.2) 56(84) bytes of data. From 10.0.1.1 icmp_seq=1 Destination Host Unreachable From 10.0.1.1 icmp_seq=2 Destination Host Unreachable From 10.0.1.1 icmp_seq=3 Destination Host Unreachable 会有什么问题? 这些是configuration: EC1计算机的路由表是: ec2-user@ec1 […]
我在VPC中有一个相当标准的多层子网布局。 有一个数据库层/子网,一个Web服务器层/子网和一个堡垒主机层/子网。 我的问题是,我不能ping或ssh之间的子网。 特别是我想ping和从堡垒层/子网ssh到Web服务器层/子网。 172.31.32.0/20堡垒级 172.31.0.0/20 webserver-tier 两个子网位于相同的可用区域,并且两个子网都连接到相同的路由表。 路由表如下所示: 当地172.31.0.0/16 0.0.0.0/0 igw-xxxxxxxx 目前,Web服务器层的networkingACL允许所有stream量,所有协议,所有端口范围从堡垒层172.31.32.0/20。 出站/出站规则允许所有通信。 安全组织同样是开放的。 以下是Web服务器层的networkingACL。 规则#types协议端口范围来源允许/拒绝 100所有交通全部全部172.31.32.0/20允许 200 HTTP(80)TCP(6)80 0.0.0.0/0允许 202 HTTP *(8080)TCP(6)8080 0.0.0.0/0允许 210 HTTPS(443)TCP(6)443 0.0.0.0/0允许 *所有stream量全部全部0.0.0.0/0 DENY 我已经尝试了跨子网连接到默认/主路由表ping和ssh,我试图与Web服务器子网被连接到自己的路由表。 当我从笔记本电脑的IP地址打开任何这些子网stream量时,我能够通过实例的公共IP地址成功ssh。 我在网上看到了一些信息,这些信息暗示了AWS VPC中的奇怪行为。 例如,在通过VPC控制台创build弹性IP时出现问题,但是通过EC2控制台分配弹性IP,然后使stream量消失,好像陷入了黑洞。 解决scheme似乎是删除错误的EIP,并通过VPC或EC2控制台完全重新创build并分配新的EIP。 然而,这对于可能的/一般的AWS bugginess来说至多是一个间接的观点,因为在我的情况下,没有EIP参与。 我的下一个故障排除措施是重新开始一个新的VPC,创build两个子网,在每个子网中启动一个服务器实例,然后在它们之间testingping和ssh。 单一路由表,以及广泛开放的networking访问和安全组 – 不能简单得多。 这在我看来是一个基本的设置,所以我怀疑有一个基本的解决scheme,我错过了。 有什么想法吗? 谢谢,麻烦您了!
我有两个Cloudformation文件被用来制作两个不同的包含VPC的堆栈。 一个是pipe理VPC,将用于通过SSH访问其他VPC,这是典型的bastiony用例。 我启动pipe理VPC,然后将其ID作为VPC Idtypes的parameter passing给第二个CF文件: "AdminVPC": { "Description": "ID of the admin VPC", "Type": "AWS::EC2::VPC::Id" } 但是当我尝试设置VPC的networkingACL时,我正在做 "Type": "AWS::EC2::NetworkAclEntry", "Properties": { "CidrBlock": { "Fn::GetAtt": [ { "Ref": "AdminVPC" }, "CidrBlock" ] }, 其中,当我运行ecs cfvalidation时,只产生消息 An error occurred (ValidationError) when calling the ValidateTemplate operation: Internal Failure 它工作正常,如果我只是硬编码像CIDR块 "CidrBlock": "0.0.0.0/0", 但文件声称 : 使用GetAtt获取CIDR块closuresvpc ID应该工作 对于Fn :: GetAtt属性名称,可以使用Ref函数。 […]
我有一些复杂的问题: 我已经连接多个VPC与EC2实例(IPSec)之间路由stream量之间的VPC的跨地区,我有VPN连接到每个aws区域,一切工作正常。 Traffic from my office to 10.20.*.* go to -> VPN connection LINE 1 in AWS eu-west-1 -> vpc_ireland – CIDR 10.20.0.0/16 here I have ipsec instance that route the traffic from 10.60.0.0/16 to vpc_viriginia Traffic from my office to 10.60.*.* go to -> VPN connection LINE 2 in AWS us-east-1 -> vpc_viriginia – […]
我在VPC的Elastic Beanstalk自动缩放组中启动了两个EC2实例。 这些EC2实例上的应用程序需要连接到使用IP地址白名单来允许访问的第三方服务。 所以我使用NAT网关来获得静态IP,以便将它们添加到白名单中。 第三方已经允许从我在aws控制台上configuration的两个NAT网关访问IP。 但我不能连接。 在接受任何IP连接的开发环境中,应用程序运行正常。 有可能我使用错误的IP? 我可以使用哪个命令来知道我的应用在互联网上获得了哪个IP? 我做了从服务器到第三方服务的traceroute,它没有显示NAT Gatewa IP,是吗?
亚马逊AWS计算器说,数据传输是免费的EC2实例,但它也有一个“公共IP /弹性IP数据传输”的input框说: 如果您select使用Amazon EC2networking内的公有或弹性IP地址或Elastic Load Balancer进行通信,则即使实例处于相同的可用区域,您也将支付区域内数据传输速率。 对于同一个可用区域内的数据传输,只要有可能,就可以通过使用您的专用IP来轻松避免这种费用(并获得更好的networking性能)。 假设我有一个实例处理来自Internet的使用公共或弹性IP的请求。 我会支付传入的stream量吗? 如果是这样,有没有一种方法可以使ec2实例与Internet进行通信而无需公共/弹性IP?
试图按照https://aws.amazon.com/premiumsupport/knowledge-center/nat-gateway-vpc-private-subnet/ ,我有以下组件: NAT网关nat-aaa configuration为主机nat-aaa子网subnet-aaa nat-aaa configuration了路由的路由表rtb-bbb : 0.0.0.0/0 – > nat-aaa configuration为使用路由表rtb-bbb子网subnet-bbb rtb-bbb subnet-bbb EC2实例id-ccc id-ccc有一个公共的IP,但是,当应用到subnet-bbb我无法做任何连接直接做它通过公共IP。 rtb-bbb上需要额外的路线吗? 我了解路由表是更多的出站configuration,不负责入站连接? 所有子网都使用相同的networkingACL,即VPC默认允许所有入站。
我有一个RDS实例运行在一个没有NAT的子网上,一个EC2实例运行在另一个configuration了Internet网关的子网上,它们都位于同一个VPC中。 我已将RDS实例configuration为不可公开访问。 我在远程EC2(在第二个子网上运行)中使用以下命令连接到RDS实例: mysql -h xxxx.eu-central-1.rds.amazonaws.com -P 3306 -u root -p 我input了configurationRDS时设置的正确密码,但出现以下错误: 错误2003(HY000):无法连接到'XXX.eu-central-1.rds.amazonaws.com'(110)上的MySQL服务器 我检查过,这不是一个名称parsing问题。 ec2将端点转换为正确的内部IP。 这是我的设置: RDS VPC :和EC2一样 可用性区域 : eu-central-1b SUBNET :在RDS面板中,我可以看到所有的子网,但是我可以看到在区域b的私有子网中有一个较less的可用IP SECURITY GROUP :私有安全组(不包括出站规则,以mysql端口和公安团队作为源的入站,单一规则) 公众可访问 :不 MULTI AZ :不 EC2 VPC :和RDS一样 可用性区域 : eu-central-1b 子网 :区域b的公共子网 安全组 :所有来自任何来源的端口作为入站规则,以及来自任何来源的ssh,http和https端口作为出站规则。 我可以使用http和ssh访问EC2实例。 它按预期工作。 VPC VPC :RDS和EC2都使用相同的 子网 :每个AZ有一个公共和一个私人,共有4个 DHCP :默认值( domain-name = eu-central-1.compute.internal domain-name-servers […]
我最近创build了SQL Server Express 2012的新RDS。 我已将安全性设置为公开可用并接受所有端口和传入连接。 由于某种原因,我无法使用我的三个客户端连接它: – HeidiSQL – SQL Server Management Studio – Java客户端 在他们每个人中,我configuration了我在RDS实例中看到的终点。 我指定了我创build的用户名和密码。 我不断收到一个错误,指出“SQL Server不存在” 感谢任何帮助! 顺便说一下,我昨天连接到SQL Server没有问题,我看不到任何信息错误日志,我也试着重新启动实例。 更新: 我在错误日志中看到以下消息,是这个错误服务器? “2017-05-12 20:45:34.23服务器SQL Servernetworking接口库无法为SQL Server服务注册服务主体名称(SPN)[MSSQLSvc / EC2AMAZ-HVNIAHV]。Windows返回代码:0xffffffff,状态:53注册SPN失败可能会导致集成身份validation使用NTLM而不是Kerberos,这是一条信息性消息,只有在身份validation策略要求使用Kerberos身份validation,并且尚未手动注册SPN时,才需要进一步的操作。