你好,先谢谢了… 我利用AWS CloudFormation自动构buildVPC和子网等 我希望CloudFormation模板为VPC创buildRoute 53私有托pipe区域,但似乎唯一的select是创buildPublic Hosted Zones。 公共区域的语法如下(在“资源”中): "MyHostedZone": { "Properties": { "HostedZoneConfig": { "Comment": "Created by CloudFormation" }, "Name": "subdomain.example.com" }, "Type": "AWS::Route53::HostedZone" } 参考: http : //docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html#cfn-route53-hostedzone-name 我已经阅读了用于创build托pipe区域的API文档, 看起来创build公共和私有托pipe区域的terminal似乎是相同的,但区别在于创build私有托pipe区域包括VPC ID和区域。 有没有人有build议如何使用CloudFormation创build一个私人托pipe区域? 我注意到CloudFormation有能力创build一个“自定义资源”,但文档相对混乱。 有没有办法做到这一点? 或者,正在制定一个自定义资源的路要走? 如果是这样,你可以帮助build立资源JSON来调用正确的API端点吗? 谢谢!!
我正尝试使用AWS VPC端点来访问S3资源,但没有运气。 你能帮忙吗? 细节: 我有一个安全组内的EC2实例。 这是在一个VPC和一个networking端点和一个路由表项的0.0.0.0/0的子网内。 但是,我不希望这个特定的EC2实例能够与互联网交谈,但是我希望它能够与位于https://s3-eu-west-1.amazonaws.com的S3存储桶交谈/XXXXX/YYYYYY.sh 。 作为响应,我重载了securityGroup上的默认允许出口规则,因此通过向端口22添加出口规则来拒绝出站连接。亚马逊文档告诉我,本地(私有)AWS地址仍将被允许。 考虑到这一点,我添加了一个VPC端点到我的VPC中,并用pl-6da54004(com.amazonaws.eu-west-1.s3):: vpce-9f47a1f6更新了我的路由表。 这样做,我无法访问我的EC2实例内的我的S3资源。 我尝试和wget https://s3-eu-west-1.amazonaws.com/XXXXX/YYYYYY.sh没有运气。 你有什么想法是错的? 我的想法是: 我的ec2实例似乎将S3域parsing为54.231.130.244,但是这对每个实例都是不一样的。 我是否需要为S3 IP范围添加securityGroupEgress规则或路由? 如果是的话,范围是多less? 也许我应该通过不同的域名访问我的S3资源,而不是parsing为内部IP地址? 谢谢你,托比
在我喜欢将LXC容器托pipe为一种虚拟服务器的AWS EC2实例上。 我创build了一个只包含eth0的桥(br0),并给了我的VPCs子网的私有IP地址。 我重新configurationLXC不使用lxcbr0作为桥梁,但我的br0设备。 当我添加一个新的容器并为其分配一个IP地址的VPC子网时,我可以从lxc主机到达容器。 我也可以从容器内到达lxc主机。 但是,尽pipe在同一个子网中,其他地址仍然无法到达。 桥接configuration : auto br0 iface br0 inet static bridge_ports eth0 bridge_fd 2 bridge_stp off address 10.8.0.11 netmask 255.255.255.0 network 10.8.0.0 broadcast 10.8.0.255 gateway 10.8.0.1 dns-nameservers 8.8.8.8 8.8.4.4 VPC NIC设置为“禁用源/目标检查” ip_forwarding设置为1 没有iptables规则存在 eth0设置为混杂模式(ip link set eth0 promisc on) lxc容器正在与我的桥正确关联 在仅有硬件的环境中,以及在VirtualBox环境中,此设置工作。 但是,在AWS上不行。
我有一个分支办公室,需要将VPN安装到EC2 VPC中。 我不熟悉WatchGuard,并且无法在闪存pipe理界面find所有的旋钮和拨号,使其符合亚马逊的预期。 经过太多的挫折之后,我设法创build了符合大部分指定标准的预期隧道的configuration – 因为我无法find一些像MTU和ESP选项那样的设置,但是我拥有正确的PSK,PFS设置,并且正在告诉它根据要求使用SHA1和AES128。 尝试从办公室访问EC2专用地址会产生一堆debugging垃圾邮件,如预期的那样。 但是,IKE失败: Debug 2011-05-31T23:40:45 Process=iked msg=Process 5/6 Msg : failed to process ID payload 出于显而易见的原因,我甚至没有开始尝试通过隧道configurationBGP。 在这一点上,我想知道是否可以将l2lconfiguration为使用Watchguard防火墙的VPC? 如果是的话,我会在哪里出错?
我有一台服务器在我想连接到Windows 7的Amazon EC2实例上运行strongSwan。strongSwan服务器位于专用networking上(networking172.16.0.0/17上的IP地址为172.16.1.15),并将stream量转发给其从公共IP地址的私人地址 – 这是亚马逊称之为“弹性IP”。 我想从另一个私有子网(10.127.0.0/22)分配客户端地址,并在两个私有子网之间路由通信。 请注意,172.16.0.0/17子网由Amazonpipe理,但10.127.0.0/22子网现在不受任何pipe理(除了我的ipsec.conf)。 我的Windows客户端连接到VPN,但无法连接到专用networking上的任何主机。 我的理论是,这与客户端路由或服务器上缺less一些iptables调用的问题有关,但是我对这两个域都不是非常了解,而且我陷入了困境。 我在服务器上安装了Ubuntu 12.04和strongswan-ikev2。 ipsec version报告Linux strongSwan U4.5.2/K3.2.0-52-virtual 请注意,客户端和服务器都在NAT之后(客户端,因为它在本地办公networking,服务器,因为它在亚马逊的云)。 我在Amazon仪表板和客户端的防火墙上解除了UDP端口500和4500的封锁。 我在服务器上启用了IPv4转发: echo 1 > /proc/sys/net/ipv4/ip_forward 我已经进入亚马逊的172.16.0.0/17子网的VPCpipe理用户界面,并允许所有来往10.127.0.0/23子网的stream量。 这是/etc/ipsec.conf: config setup plutostart=no conn %default keyexchange=ikev2 dpdaction=clear dpddelay=300s rekey=no conn dlpvpn left=172.16.1.15 leftauth=pubkey leftcert=openssl-cert.pem leftid=vpn.example.com leftsubnet=172.16.0.0/17 right=%any rightsourceip=10.127.0.0/22 rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=add 这是/etc/ipsec.secrets: : RSA openssl-key.rsa TESTDOMAIN\testuser : EAP "testpassword" 这是/etc/strongswan.conf: […]
我有一些在Amazon VPC上运行的Ubuntu 14.04机器。 当他们启动时,他们有一个9001的MTU,但是当与其他MTU为1500的服务器通信时,这似乎会导致一些问题。当我使用ip link set dev eth0 mtu 1500这些问题就消失了。 问题是,我似乎无法击中正确的方式来使这永久。 /etc/network/interfaces.d/eth0.cfg看起来像这样 auto eth0 iface eth0 inet dhcp pre-up /sbin/ip link set dev eth0 mtu 1500 我也曾尝试将mtu 1500添加到该节的底部。 如果我重新启动,机器将返回1500的MTU。 那么做这件事的正确方法是什么?
在US-West-2的VPC中,我有一个实例types为m2.4xlarge的EC2框,运行Windows Server 2012 Standard。 以下端口是入站打开的: TCP 1433 (MS SQL) TCP 3389 (RDP) UDP 123 (time synch) …以及以下出站: UDP 37 UDP 123 TCP 80 TCP 443 TCP 1433 我有一个问题,这台服务器一直在重置自己的时间(在这种情况下,快7分钟 – 总是7分钟)。 我们已经尝试了端口设置,Windows防火墙设置,改变时间服务器,几乎所有我们能想到的东西。 没有其他的服务器(Win2008 R2和Win2012标准的一个微妙的混合)有这个问题,在各种安全组(包括上面的一个)。 由于这是我们的主数据库,而且时间上的差异导致了一些绝对不可思议的代码问题,所以我们开始有点麻烦了。 有没有人遇到类似的问题,如果是的话,有什么build议吗?
如何使用MySQL Workbench连接到VPC中私有子网上的AWS(或其他)实例? 我的安排是典型的安排情景2 : 我可以: – SSH到位于我的VPC公共子网中的NAT实例 – 从我的NAT实例到我的VPC私有子网中的数据库实例的SSH – 一旦连接到我的私人数据库实例,以root用户身份连接到MySQL build立系统通过MySQL工作台进行远程连接的正确程序是什么?
好的,所以我有一台带有三台应用服务器的VPC和一台RDS的Postgres实例。 我有一个名为“rds-staging”的安全组,允许来自名为“app-elb-staging”的安全组的端口5432的入站连接。 “app-elb-staging”是应用于所有EC2实例的安全组,并且允许传出stream量到达任何位置。 RDS实例在AZ us-east-1e。 我可以从us-east-1e(10.0.3。*)中的EC2实例连接到它,但不能从us-east-1a(10.0.1。*)或us-east-1c(10.0 0.2 *): deploy@ip-10-0-3-220:~$ nc -zv xxx.us-east-1.rds.amazonaws.com 5432 Connection to xxx.us-east-1.rds.amazonaws.com 5432 port [tcp/postgresql] succeeded! deploy@ip-10-0-1-155:~$ nc -zv xxx.us-east-1.rds.amazonaws.com 5432 nc: connect to xxx.us-east-1.rds.amazonaws.com port 5432 (tcp) failed: No route to host deploy@ip-10-0-2-90:~$ nc -zv xxx.us-east-1.rds.amazonaws.com 5432 nc: connect to xxx.us-east-1.rds.amazonaws.com port 5432 (tcp) failed: No route to host 有没有人见过这个? […]
所以, 我有一个在VPC中运行的应用程序,当前有一个VPN连接到开发位置。 比如,10.0.2.25(内部ELB的IP,只能通过VPN访问)可以访问该应用。 我所拥有的支持VPN的路由器(又名客户端网关)没有BGPfunction。 我所在networking的CIDR(客户端networking是192.168.1.0/24),在VPC上有一个虚拟专用网关(vgwA)和一个相应的路由规则(目标192.168.1.0/24;目标wgwA)。 我可以访问应用程序没有任何问题(所有的ACL /安全组已正确configuration)。 我的问题是,当我想创build另一个VPN连接到不同的站点,但其networking具有相同的CIDR块(192.168.1.0/24)或可能重叠(或包含)它的CIDR块(例如192.168.1.0 / 16)? 这是否成功 – 客户端networking上的用户是否可以访问该应用程序? 基本上,我需要怎样才能将VPN连接到具有相同(或部分共同)CIDR的不同networking? 支持BGP的客户网关? 不同的虚拟网关在同一个VPC上? (我不认为AWS允许这样做,而且没有任何意义)基于客户网关外部IP的路由规则? (例如目的地:87.44.75.124目标:vgwA; – 没有意义)