我在外出办公室和AWS VPC之间build立一个VPN有一些真正的问题。 “隧道”似乎是起来的,但我不知道他们是否正确configuration。 我正在使用的设备是一个Netgear VPN防火墙 – FVS336GV2 如果您在从VPC(#3隧道接口configuration)下载的configuration中看到,它给了我隧道的一些“内部”地址。 设置IPsec隧道时,我是否使用内部隧道IP(例如169.254.254.2/30)还是使用我的内部networking子网(10.1.1.0/24) 我尝试了两个,当我尝试本地networking(10.1.1.x)时,tracert停在路由器上。 当我尝试使用“inside”ips时,到Amazon的VPC(10.0.0.x)的tracert通过互联网发送。 这一切都引导我到下一个问题,对于这个路由器,我如何设置阶段#4,静态下一跳? 这些看似随机的“内部”地址是什么,亚马逊从哪里产生的呢? 169.254.254.x似乎很奇怪? 像这样的设备,防火墙后面的VPN是什么? 我调整了下面的任何IP地址,以便它们不是“真实的”。 我完全知道,这可能是措辞不当。 请如果有任何进一步的信息/截图将帮助,让我知道。 Amazon Web Services Virtual Private Cloud IPSec Tunnel #1 ================================================================================ #1: Internet Key Exchange Configuration Configure the IKE SA as follows – Authentication Method : Pre-Shared Key – Pre-Shared Key : — – Authentication Algorithm : sha1 […]
我目前正在考虑使用CloudFormation自动化在我们的堆栈中创buildVPC端点 (目的是让我们的堆栈可以访问S3而不创build出站stream量)。 问题是,我似乎无法find任何文件指示如何申报资源。 这个页面似乎充满了有关使用VPC端点与cloudformation的警告,我一定会注意,但我似乎无法find有关CFN资源本身的任何文档。
我安装了一个vpc,并在10.0.0.0/16子网中启动了3个EC2实例。 我想知道这些实例如何互相连接,100mbit,1000mbit?
我对AWS比较陌生,我试图为我的应用程序devise一个基础架构,我想知道是否应该在一个区域内使用一个或多个VPC。 我的应用程序由几个不同的堆栈组成。 例如,我有一个正在使用多个EC2实例的日志/监视堆栈。 我也有MongoDB集群和一个RabbitMQ集群,每个集群都使用大量的实例。 在这个旁边,我有我的实际应用程序堆栈也由一些EC2实例组成。 我的问题是,如果我应该在单个VPC或每个VPC中运行这些堆栈中的每一个? 如果我应该/可以在自己的VPC中运行这些堆栈,那么这些VPC中的大部分应该只能被我的应用程序访问。 如果是这样,那么是否有可能/build议每个VPC带ELB前进还是有其他的最佳做法?
我们刚刚开始我们的AWS存在。 我们需要多个VPC,每个VPC托pipe我们自己的服务器或客户的服务器。 每个VPC有4个子网 – 2个公共,2个私人,每个都有不同的AZ。 每个VPC有7个或更多的EC2实例。 我们通过AWS Web控制台进行pipe理。 但是,即使使用2个VPC,每个开发人员也可以看到所有的EC2实例和所有的子网,并且变得有点混乱。 理想情况下,我们想用IAM来限制VPC的可见性,但是我找不到VPC的ARN。 这是否存在? 或者,我们是否应该为每个VPC创build一个单独的AWS账户以保持独立? 但是,你如何pipe理用户?
所以这是我的情况:我们是一个年轻的初创公司,我们决定尝试给Mesosphere DCOS社区版。 社区版使用模板在AWS CloudFormation上部署了一堆Master,Slaves和LB。 ( 我们的模板 )(编辑模板以使用现有的VPC导致错误:模板validation错误:模板格式错误:模板Unresolved resource dependencies [<target_vpc_id>] in the Resources block of the template ) 社区版有两个限制(我似乎无法find这些限制logging在哪里): 它不能被部署在现有的VPC上。 它为每个新的部署创build一个单一AZ的VPC。 现在,我们希望启用这个新的群集来与RDS进行通话。 显然,我们遇到了问题: RDS实例不能部署在单一AZ的VPC上 RDS VPC可以与DCOS VPC对等,但由于RDS实例只有一个端点(没有静态IP),必须从其他VPCparsing为本地地址而不是全局IP。 处理这种情况的最好方法是什么? 编辑:所以,我添加了一个私人的RDS实例,它的端点现在正确parsing到其本地IP地址从任何地方。 现在,我的DCOS群集位于VPC中, 10.0.0.0/16让我们调用这个VPC-A ,而我的RDS实例在VPC-B ,它是172.31.0.0/16 。 现在为了实现两个networking之间的通信,我在VPC-A和VPC-B之间增加了VPC对等。 接下来,我在VPC-B设置路由为:Destination:10.0.0.0/16 Targent: <vpc_peering_id> 在VPC-A中:目标:172.31.0.0/16目标: <vpc_peering_id> VPC-B的目标RDS实例的安全组设置入站所有通信所有端口CIDR:10.0.0.0/16 VPC-A源实例的安全组设置:出站:所有stream量所有端口CIDR:0.0.0.0/0 但是再一次,我仍然无法build立从VPC-A到VPC-B任何连接。 我还检查了属于VPC-A所有实例的安全组设置:允许所有出站通信。 而在VPC-B :所有来自10.0.0.0/16stream量都被允许在端口3306 。 这里发生了什么?
AWS允许您将多个弹性networking接口(ENI)连接到EC2实例。 除了“使它看起来像一个本地服务器”,是否有任何情况下,实际上需要多个ENI? 我已经考虑过在内部环境中要做这些事情的原因,但是这些原因似乎都不适用于AWS: 链路聚合 链接冗余 独立的pipe理界面 在线IDS / IPS 在线防火墙 AWS隐含的路由器总是“坐在”每个ENI和其他所有东西之间,所以不可能再放置另一个实例(运行,比如嗅探器)。 亚马逊自己的文档甚至不清楚为什么你需要一个实例上的多个ENI。 它只是说多个接口是“有用的,当你想要:” 创build一个pipe理networking。 在您的VPC中使用networking和安全设备。 在不同的子网上创build具有工作负载/angular色的双宿主实例。 创build一个低预算,高可用性的解决scheme。 但是这并不能解释为什么ENI是必需的,甚至是用于这些用例的理想select。 (显然,在不同子网上的双宿主实例需要多个ENI,但是这并不能解释为什么你首先需要一个双宿主实例)。 我唯一可以想到的用例是一个运行容器的实例(例如Docker),并且您想要将各个容器映射到不同子网中的主机IP地址。 什么是多个ENI的使用情况,如果有的话?
我试图限制用户到一个单一的VPC。 我通过控制访问亚马逊VPC资源,并提出了以下政策,但它不起作用。 有人能指出它的错误吗? 我应该提到, IAM策略模拟器似乎认为在模拟设置中的条件键下设置VPC ARN后,策略是正确的。 (我已经用我的政策中的实际值replace了地区,帐户和vpc-id。) { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*Vpc*", "ec2:*Subnet*", "ec2:*Gateway*", "ec2:*Vpn*", "ec2:*Route*", "ec2:*Address*", "ec2:*SecurityGroup*", "ec2:*NetworkAcl*", "ec2:*DhcpOptions*", "ec2:RunInstances", "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances", "ec2:Describe*" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-id" } } } ] } 谢谢。
我正在与VPC中的EC2服务器合作,尽可能减less出站stream量,并将所有出站stream量明确列入白名单。 但是,基于EC2安全组或networkingACL,看起来我需要指定允许的确切IP地址。 (另外,允许给定端口上的所有IP地址,这是我想避免的。 许多第三方服务都列出了IP地址 – 例如,New Relic在https://docs.newrelic.com/docs/site/networks上列出了它们。 不过,其中很多人并没有这样做 – 例如,我一直在找Ubuntu版本的等价物,这可能是因为他们轮stream使用IP。 (我似乎无法findGoogle API的IP地址。) 我希望有人能够1)告诉我我错了,并指出一种方法来保持出口白名单的IP与他们的DNSparsing同步,或2)解释如何出站stream量通常被过滤在一个相对安全的/偏执狂的VPC 。 你通常只是将所需的端口列入白名单,而不打扰到IP的粒度? 有一个stream行的防火墙/ NAT软件,您使用更复杂的过滤? 我希望这个问题具体一点 – 先谢谢了!
我不太了解路由和子网和vpc,我从来没有用过我的旧AWS账户。 在我的新AWS账户中,我启动了一个新的Amazon Linux AMI实例(ami-043a5034)。 它连接到的安全组包括允许端口22.VPC设置都是默认的,我认为这意味着它应该像没有VPC的“传统”风格的EC2configuration一样工作。 我正在使用刀-EC2gem版本0.8.0。 我的刀子创build命令是这样的(区域和其他设置由knife.rb指定) knife ec2 server create -r 'role[webserver]' -I 'ami-043a5034' -E development -G 'web-security-group' -N 'webserver1' 我也试过了 knife ec2 server create -r 'role[webserver]' -I 'ami-043a5034' -E development -g 'sg-abcdef12' -N 'webserver1' –associate-public-ip –subnet subnet-abcdef12 –server-connect-attribute public_ip_address 无论有没有服务器连接属性参数 一旦它创build了实例,它就停留在“等待sshd”(没有句点)。 我能够从terminalSSH和新的实例,以及亚马逊提供的Java工具,所以我知道它是公开的,但我不知道如何让刀/厨师正确连接完成引导新的实例。 我从哪说起呢? 我是否需要一个弹性IP,还是可以使用任何公共IP分配?