我的帐户中有两个VPC。 一个用于DEV和一个用于生产。 我想要创build一个IAM用户,用户只能在控制台中看到DEV EC2实例,并且应该能够创build或重新启动实例。 他不应该看到生产EC2实例。 我尝试了以下政策,并得到错误为"An error occurred fetching address data: You are not authorized to perform this operation." 我的IAM政策… { "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:Describe*", "ec2:RebootInstances", "ec2:RunInstances", "ec2:CreateTags" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "ec2:Region:VPC": "us-west-2:vpc/vpc-00000000" } } } ] } 在这里,我可以在这里做一些事情。 但不能应用标签。 事情是用户不应该能够重命名任何其他标签在PRODUCTION VPC中,当我插入波纹pipe规则,然后用户可以更改其他VPC实例的标签以及… { "Effect": "Allow", […]
我想build立主机来主机libreswan ipsec VPN。 我做了以下。 在第一个帐户的默认vpc中创buildubuntu实例ubuntu-1 。 将EIP和安全组分配给我的ubuntu实例,允许TCP端口1701,UDP端口4500,500,并在任何地方启用所有ICMP。 在第二个帐户的公共子网中的非默认VPC中创buildubuntu实例ubuntu-2 。 将EIP和安全组分配给ubuntu实例,允许TCP端口1701,UDP端口4500,500,并在任何地方启用所有ICMP。 我能够从ubuntu-1实例ping到ubuntu-2 ,但是我无法从ubuntu-2实例ping到ubuntu-1 。 我不确定我的ubuntu-2实例有什么问题。 它具有分配给其公有子网的互联网网关。 所有的安全组规则都是镜像的两个服务器。
我们有一个自动缩放组,根据需要旋转多个实例。 自动扩展组中的所有实例从独立的EC2实例(运行NFS)获取数据,以便它们可以共享相同的数据。 以下是NFS服务器的设置,允许所有人通过通配符访问它 / var / nfs *(rw,sync,no_root_squash,no_subtree_check) 现在,当服务器自动扩展它自己的私有/公有IP地址分配给自动扩展组下运行的EC2实例时,现在我必须将这些私有/公有IP地址分配给这样的NFS实例安全组 否则,我有安全弱的选项,允许从任何来源的所有端口上的所有stream量,即:安全组可以全部访问所有来源的所有端口,这将是灾难。 如果没有这两个选项,那么在自动扩展组下运行的EC2实例将不会连接到NFS实例。 我已经尝试了许多选项,如允许所有通信从所有端口自动扩展安全组“组ID”或允许所有通信从所有端口到默认安全组“组ID”像这样 但是这些都不行,我一直处于奇怪的境地! PS:自从我尝试过所有的tarffic以来,没有任何端口问题。
我在两个独立的VPC中有三个实例。 我已经在VPC之间build立了对等关系,两个VPC都启用了DNSparsing和DNS主机名,对等连接启用了“允许来自对等VPC的DNSparsing”,并且两个VPC的路由表都有路由条目通过对等连接到其他VPC的地址空间。 我们称它们为实例1(驻留在VPC A中)以及实例2和3(驻留在VPC B中)… 用我目前的设置,在实例1上调用nslookup ec2-[instance2].compute-1.amazonaws.com返回实例2的10.xxx地址,实例3的amazonaws.com主机名返回10.xxx地址这和预期的一样。 但是,当我从实例2或实例3调用nslookup ec2-[instance1].compute-1.amazonaws.com ,将返回实例1的54.xxx公用地址而不是其10.xxx地址。 我错过什么或做错了什么? 我已经能够做到这一点(许多月前),我不明白为什么现在不工作。
我有我的生产EC2实例内VPC和从我们使用S3提供的S3url获取数据。 到目前为止,数据stream是通过互联网,我已经实现了VPC端点来redirectVPC内的数据stream,以使其安全并降低成本。 我configuration了我的VPC端点,但是我的安全组没有将其列在EC2选项卡的正常安全组页面中。 我必须导航到VPC选项卡,然后导航到安全组以确定端点。 VPC中的EC2安全组和安全组是否有区别? 请参阅下面的2个安全组图
我试图find一种方法来设置Cluster.template JSON文件中的默认VPC,子网和安全组。 有没有办法通过内置的“Ref”将现有的VPC(或Subnet / Security组)作为parameter passing给模板? 这显然没有工作: "Parameters": { "VpcId": { "Type": "AWS::EC2::VPC::Id", "Default": { "Ref" : "vpc-123456789" }, …. }
我的目标是启动一些应由自动缩放组pipe理的EC2实例。 所有的实例都应该有公有的IP。 在我的testing中,我发现取决于AWS账户的configuration,这并不总是可能的。 在我可以使用的testing帐户中,某些地区有默认的VPC。 在那个地区,我能够获得公共知识产权。 在其他地区,我们没有configuration默认的VPC。 在这种情况下,我的理解是不可能获得公共IP。 那是对的吗? 另外,AWS文档提到了ClassicLink这个术语。 根据我的理解,这个概念只适用于旧账户。 它也允许有公共IP,但是只有在设置了“ClassicLink”标志的VPCconfiguration的情况下。 (在我的帐户,情况并非如此,所以我无法testing它。) 总之,我想问我的理解是否正确。 如果至less有一个条件成立,那么您是否可以在自动缩放组中只有EC2实例的公有IP? 在该地区,存在一个默认的VPC 您有一个旧帐户(支持EC2-Classic),并且在该地区至less有一个启用了ClassicLink的VPC (请注意,我不能使用ELB,因为实例不相同,如果ELB洗牌请求,会混淆系统,因为发件人需要控制哪个实例处理请求。)
我部署了一个VPC,为192.168.0.0/16创build了一个子网。 然后,我部署了一个Windows EC2,为其分配了一个弹性IP:私有IP公共IP 192.168.196.16 34.211.1.247 但是我不能通过RDP连接,连接失败, 有什么build议吗? 谢谢。
据我所知,一个公共子网是一个可以通过互联网网关将stream量发送到互联网的子网,而一个私人子网是一个不能够到达互联网的networking,也不能通过互联网到达互联网。 为了访问互联网,私有子网需要通过NAT网关路由stream量。 我可以证实这一点,因为我实际上使用这个设置成功。 但是… 亚马逊文件却另有说明(大胆强调是我的): 公有子网中的实例可以直接从Internet接收入站stream量,而私有子网中的实例则不能。 公有子网中的实例可以将出站stream量直接发送到Internet,而私有子网中的实例则不能。 相反,私有子网中的实例可以通过使用启动到公有子网中的networking地址转换(NAT)实例访问Internet。 NAT网关所在的位置是否重要? 如果是这样,把它放在私有/公有子网中的用例是什么?
如果您为EC2-classic实例启用“经典链接”,则可以与您的VPC通话。 您现有的EC2安全组(分配到传统服务器) – 控制所有stream量到EC2-classic实例EXCEPT的链接VPCstream量(根据文档 )。 EC2-classic实例与VPS之间的stream量由您在设置此“经典链接”时分配的单独安全组来控制。 现在。 简单地允许此VPC安全组中的所有端口上的所有stream量安全吗? 假设,它只能连接到我的私人VPC。 我想我的问题是 – 当一个经典的链接启用时,它“链接”我的EC2实例到我的和唯一我的VPC,正确的? 没有其他交通可以通过这个链接实际获得,我说得对吗? 谢谢。