我能够使用Visual Studio的AWS工具包部署我们的.NET应用程序。 我手动设置了RDS数据库(MySQL),并使用弹性beanstalk(在VPC上设置)部署应用程序。 问题是,当我在EC2实例上运行的应用程序上testingregistry单时,它不会将用户数据存储到RDS上的MySQL数据库中。 但是,如果我在本地运行应用程序,它会将其存储在RDS中的数据库中。 所以这让我相信这是EC2没有正确访问RDS的问题。 问题是我对EC经典非常熟悉,但现在我的地区不允许它,我必须使用VPC。 现在,我甚至无法连接到RDS数据库…我尝试设置一个不同的VPC在一起,但没有运气。 我有一个感觉,它与子网/安全组。 我已经允许所有IP的(0.0.0.0/0)访问SSH,HTTP,HTTPS,MYSQL(3600)..入站。 出站具有所有端口的全部IP地址。
我的情景:我有一个自动扩展的EC2工作组的SQS队列,将队列中的消息处理到不同区域的数据库中。 EC2员工的隐含networking需求: 访问公共互联网与SQS互动 访问公共互联网与不同地区的dB交互 限制未经请求的入站stream量,因为这些不是Web服务器 networking选项(我知道): 将EC2工作人员置于没有弹性IP的私有子网中,并允许他们通过运行在公有子网中的NAT与互联网进行通信。 把EC2工人放在一个公共的子网中,公开/有弹性吗? IP地址。 把它们放在一个限制性的安全组里,禁止意外的入站stream量。 将限制性ACL应用于子网,以禁止在子网级别发生意外的入站stream量。 我已经看到了许多有关在NAT中使用第一种方法的build议,包括在AWS自己的文档中。 我还没有看到第二种方法的build议。 NAT看起来像一个昂贵的select,可以很容易地变成networking瓶颈,是一个单一的故障点。 为什么这个选项经常被推荐? 第二种方法是否有缺点,或者我不知道? 这个问题是相似的,但不一样。 我也读过堆栈溢出这个线程。 我还阅读了AWS VPC用户指南 。
我们有一台OSX计算机,我们想连接到我们的AWS VPC。 这台OSX计算机位于我们无法控制的其他networking物理位置的networking上。 使用OSX的networking软件(在首选项)或其他软件VPN客户端,我们可以连接到AWS的硬件VPN连接到VPC吗? 如果是这样,怎么样? 谢谢
我在俄勒冈州的亚马逊VPC中为我的服务设置了生产环境: 2个可用区域 1个公共子网(包括堡垒,NAT和ELB)和3个私有子网(数据库,Web服务器和configuration/监督)在每个可用区域。 11个安全组 现在大约有25台虚拟机,希望它会增长。 现在我要设置暂存环境,但我不知道该把它放在哪里: 我应该简单地把临时实例放在生产实例旁边吗? 基本上,简单地重复使用相同的亚马逊地区,相同的可用性区域,相同的子网和相同的安全组? 我只需要创build指向登台实例的新ELB,就是这样。 简单。 或者我应该把临时实例放在他们自己的子网中 ,但仍然在同一个区域/可用区域? 公有子网必须是相同的,因为在一个可用区域中不能有两个公有子网。 拥有独立的子网可能会使事情更容易pipe理,而且我可以有专门的路由规则,通过不同的nat实例,也可能有不同的堡垒。 更复杂,但更严格的安全。 我认为我可能不需要加倍安全组,因为我可以有一个单一的总体networkingACL禁止生产和分段子网之间的stream量。 还是应该在不同的VPC中复制整个设置 ? 由于每个亚马逊地区只能有一个VPC,所以我必须在一个单独的地区进行。 暂存环境的整个要点与生产环境相同(或尽可能接近)。 因此,在不同的亚马逊地区设置暂存环境只是感觉不对:这排除了选项3,不是吗? 选项1最接近尽可能接近生产的目标。 但是,在相同的子网中有分段和生产环境感觉有点像一个潜在的安全问题,对吧? 所以我有点倾向于选项2,但是我想知道潜在的安全问题是否足够严重,以至于有两倍的子网可以pipe理? 那么testing环境呢? 它也应该类似于生产,但不需要严格匹配:一切都可以适用于less数情况,不需要ELB和一切。 也许这个环境可能都适合同一个VPC中的一个专用子网? 在同一个VPC中,可以简单地访问git仓库和厨师服务器,监督工具和openvpn访问等。 我相信很多人已经经历了这些考虑? 你对此有什么看法? 谢谢。
我想创build一个允许用户部署实例的IAM策略,如下所示: 他们只能使用1 AMI 他们只能部署到1个特定的VPC子网 他们只能使用1个特定的VPC安全组 VPC文档(示例4)中解决了这种情况: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_IAM.html#subnet-sg-example-iam 我尝试了我自己的政策版本, { "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:eu-west-1:937821706121:image/ami-141ac363", "arn:aws:ec2:eu-west-1:937821706121:subnet/subnet-733de516", "arn:aws:ec2:eu-west-1:937821706121:network-interface/*", "arn:aws:ec2:eu-west-1:937821706121:volume/*", "arn:aws:ec2:eu-west-1:937821706121:key-pair/*", "arn:aws:ec2:eu-west-1:937821706121:security-group/sg-4aa80f2f" ] }] } 它不起作用。 当我尝试将实例部署为适用此策略的组的成员的用户时,我获得权限被拒绝。 有没有其他的政策,我需要包括这个以这种方式进行实例部署?
我使用AWS文档中的scheme2设置了VPC: http : //docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html 我已将Elastic IP分配给在公用子网中运行的EC2实例。 SSH工作正常,我可以访问运行的网站。 我不能,但不能做出传出的HTTP或HTTPS请求(我注意到这一点,当试图运行yum update )。 我相信我所有的安全设置都是正确的。 我无法通过Internet网关发出HTTP / HTTPS请求吗? 我特别要求在创build时不要将公共IP分配给此实例,因为我知道我将分配一个易受IP访问的网站DNS。 我有专用子网中的实例的NAT设置,但我目前只有RDS实例在那里运行,所以我没有从那里testing传出的请求。 该EC2实例的安全组具有以下出站规则: 该子网的路由表具有以下设置: networkingACL具有以下设置: 默认DHCP选项集具有以下设置: domain-name = ec2.internal domain-name-servers = AmazonProvidedDNS 默认的/etc/resolv.conf设置是: search ec2.internal nameserver 10.0.0.2 VPC和子网的CIDR块如下: VPC: 10.0.0.0/16 Public Subnet: 10.0.0.0/24 Private DB Subnet in US East 1A: 10.0.1.0/24 Private DB Subnet in US East 1C: 10.0.2.0/24
我的大脑有点油炸,试图弄清楚这一点,但我似乎无法得到私人子网连接到互联网抓取更新例如。 基本上所有我想要的是这些服务器的Web访问。 我已经尝试过在其他post中find的解决scheme,但可能很容易失去一些东西,因为我已经看了很长时间了。 到目前为止,我已经做了以下设置: 在我的NAT实例上禁用源/目的地检查 为公有子网创build一个路由表,并将其源设置为IGW(validation了这一点) 创build专用子网的路由表,并将其源设置为NAT实例 使用入站和出站规则为80/443和ssh创buildNAT实例的安全组 使用入站和出站80/443和ssh为私有实例创build安全组 我可以通过SSH跳转到NAT实例,然后转到私有服务器上,所以我知道很多工作。 我已经通过ping内部地址来validation我的规则,但当我离开本地networking时,我开始有问题。 我需要查看哪些内容或需要排查什么来帮助缩小范围? 是否有一些configuration需要在我忽略的NAT实例上完成? 编辑:configuration更新 VPC:172.16.0.0./16 私有子网:172.16.1.0/24 公共子网:172.16.0.0/24 私有子网路由表: 指向公有子网中的NAT实例。 无法访问互联网,将EIP连接到面向公共互联网的界面。 公有子网路由表: 指向IGW的公共子网,我已经validation了互联网接入。 思考: 我开始认为有些东西需要build立或创build在NAT实例上,这个NAT实例位于公有子网中,用于转发来自私有实例的stream量,但是我不确定需要添加什么。 我发现这个post解释了在iptables中添加伪装规则,这是适用于我的情况?
我是亚马逊服务的新手,尤其是在CloudFormation中。 所以我已经开始阅读从Amazon网站http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/GettingStarted.html的 “CloudFormation入门”,现在我正在尝试启动示例CloudFormation模板https:/ /s3.amazonaws.com/cloudformation-templates-us-east-1/WordPress_Single_Instance_With_RDS.template作为维基介绍。 但在删除默认的VPC并添加新的(10.0.0.0/16)并在其中创build了新的子网10.0.0.0/24之前。 根据AWS文档,我不能将自己的VPC设置为默认,现在上面描述的CloudFormation模板不能启动,我看到这样的错误: 根据AWS页面https://aws.amazon.com/premiumsupport/knowledge-center/cloudformation-cloud-former-default-vpc/我可以解决这个问题与描述我的新的VPC,但我不知道为什么这样做是正确的。 也许你可以帮我吗?
我创build了VPC,认为我不需要子网。 我只是给了vpc CIDR范围像192.168.0.1/24我然后创build一个子网,完全匹配。 低和看RDS需要它自己的子网。 如果删除现有的子网并将其replace为两个/ 25,会发生什么情况? 如果我删除了他们的子网,活动实例会不会变得不快乐? 他们会不会注意或关心? 我似乎无法find这方面的文件,我宁愿不只是尝试一下,看看会发生什么。
根据亚马逊和我的testing,一个/ 24 VPC子网允许251个可用的IP地址。 我在该VPC中还有另外两个子网,它们似乎没有被EC2使用的IP,可用的IP字段表示只有250个可用的IP。 我检查过 我试图找出哪些资源正在使用这些IP,但似乎AWS不允许这种查询。 我想看到的是为特定的VPC子网使用IP的资源列表。 如果任何人都可以了解一下AWS服务可以使用哪些子网IP,除了EC2,这也将有所帮助。 谢谢。