virginia una tipos tipo que instancia ec2 east aws amazon-ec2 amazon-web-services connectivity vpc amazon-vpc

amazon ec2 - una - ¿Cómo conectarse al mundo exterior desde amazon vpc?



tipos de instancia en aws (10)

P. ¿Cómo las instancias sin EIP acceden a Internet?

Las instancias sin EIP pueden acceder a Internet de una de dos maneras. Las instancias sin EIP pueden enrutar su tráfico a través de una instancia de NAT para acceder a Internet. Estas instancias usan el EIP de la instancia de NAT para atravesar Internet. La instancia NAT permite la comunicación saliente, pero no permite que las máquinas en Internet inicien una conexión a las máquinas con direcciones privadas que usan NAT, y

http://aws.amazon.com/vpc/faqs/

Puede encontrar instrucciones detalladas sobre cómo configurar una instancia nat aquí: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html

Tengo Amazon VPC configurado a través del asistente como "red pública única", por lo que todas mis instancias se encuentran en subredes públicas.

Las instancias dentro de VPC que tienen Elastic IP asignado se conectan a internet sin ningún problema.

Pero las instancias sin IP elástica no se pueden conectar a ninguna parte.

El portal de Internet está presente. La tabla de rutas en la consola de Aws parece

Destination Target 10.0.0.0/16 local 0.0.0.0/0 igw-nnnnn

y la ruta desde la instancia interna muestra

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.0 * 255.255.255.0 U 0 0 0 eth0 default 10.0.0.1 0.0.0.0 UG 100 0 0 eth0

Traté de abrir TODO el tráfico entrante y saliente a 0.0.0.0/0 en el grupo de seguridad al que pertenece una instancia. Todavía no hay éxito

~$ ping google.com PING google.com (74.125.224.36) 56(84) bytes of data. ^C --- google.com ping statistics --- 6 packets transmitted, 0 received, 100% packet loss, time 5017ms

¿Que más puedo hacer?


¿Revisaste la ACL de la red en la subred?

Revise las reglas de los grupos de seguridad.

La tabla de rutas se ve bien. Deberia de funcionar.


Esto funciona para mí con:

  • Subred de VPC 172.20.0.0/16
  • Pasarela "nat" EC2 172.20.10.10 con EIP

Que hacer :

  • Establecer fuente / dest desactivada. revisa tu "nat gw"
  • crear una nueva subred "nat-sub" ex: 172.20.222.0/24
  • modificar la ruta 0.0.0.0/0 a 172.20.10.10 (my nat gw) para "nat-sub"
  • crea un EC2 usando "nat-sub"
  • en su gateway nat como root, intente:

root @ gw: ~ # sysctl -q -w net.ipv4.ip_forward = 1 net.ipv4.conf.eth0.send_redirects = 0

root @ gw: ~ # iptables -t nat -C POSTROUTING -o eth0 -s 172.20.222.0/24 -j MASQUERADE 2> / dev / null || iptables -t nat -A POSTROUTING -o eth0 -s 172.20.222.0/24 -j MASQUERADE

si funciona, agrega estas 2 líneas en /etc/rc.local



O cree una instancia de NAT dentro de la VPC pública y agregue una ruta estática a esa instancia de NAT

route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.5 eth0

donde 10.0.0.5 es su instancia nat, solo asegúrese de que su grupo de seguridad que contiene la instancia de NAT pueda aceptar el tráfico interno de las cajas que necesita acceso a internet


Parece que la única manera de salir de las instancias que no tienen Elastic IP es:

  • agregue una NAT (Inicie una instancia extra m1.small de ami-vpc-nat-beta) y asigne EIP a ella
  • Crea una subred adicional que será "privada"
  • Mover instancias que no sean EIP a esa subred privada
  • Modificar tablas de rutas: 0.0.0.0/0 de la subred privada debe ir a NAT

Entonces, simplemente agregar NAT no es suficiente. Las instancias deben detenerse y moverse a otra IP desde otra subred.


Puedes hacerlo en cualquier instancia de tu VPC que tenga EIP. Hay algunas instrucciones que describí here deberían ayudarte. Por cierto: no olvides deshabilitar source / dest. comprobar


Tienen un producto relativamente nuevo llamado pasarela NAT que hace exactamente esto, crea una instancia de NAT administrada en el borde de su pub / subredes privadas.


Todo lo que debe hacerse para solucionar este problema es desactivar la "comprobación de origen / destino" para la instancia que ha configurado para hacer NAT. Esto se puede hacer en la consola de AWS, en "Acciones de instancia".

Reference


Grupos de seguridad -> Salientes

* ALL Traffic ALL ALL 0.0.0.0/0 Allow

Por favor permita Outbound, si desea conectarse a servidores externos como google.com o incluso desea actualizar sudo apt-get update

Puede permitir la salida utilizando AWS front-end goto Security Groups -> Outbound

Asegúrese de seleccionar el grupo correcto para su instancia de AWS