問題タブ [amazon-vpc]

AWS VPC 内から S3 にファイルをアップロードする場合、標準 URL で S3 API を介してアップロードを開始する以外に何か特別なことをする必要がありますか?

aws-s3 Ruby gem を使用して転送を行うことを計画しており、データ転送が無料であることを確認するために必要な変更があるかどうかを把握しようとしています。

前もって感謝します！

私はかなりの量のシェフを書いてきましたが、AWS/VPC とネットワーク トラフィックの管理 (特に踏み台ホスト) の両方にかなり慣れていません。

knife ec2 プラグインを使用して、開発者ワークステーションから VM を動的に作成およびブートストラップする機能が必要です。VM は、VPC のパブリックまたはプライベート サブネットに存在できる必要があります。エラスティック IP を使用せずに、これらすべてを実行したいと考えています。また、踏み台ホストをハンドオフしたいと考えています (つまり、踏み台ホストで VM ごとのリッスン トンネルを明示的に作成する必要がないようにしたいと考えています)。

ナイフ ec2 プラグインを使用して、レガシー EC2 モデル (たとえば、VPC の外部) で VM を作成することに成功しました。現在、VPC でインスタンスを作成しようとしています。ナイフのコマンド ラインで、ゲートウェイ、セキュリティ グループ、サブネットなどを指定しています。VM は作成されますが、その後ナイフで ssh に失敗します。

これが私のナイフのコマンドラインです：

私の問題は、要塞ホストの構成に関係していると思われます。グーグルで一日を過ごした後、機能する構成を見つけることができませんでした。要塞ホストに SSH で接続でき、そこから新しく作成された VM に SSH で接続できます。ゲートウェイ引数を使用してナイフでこれを正常に複製することはできません。

/etc/ssh/ssh_config で遊んでみました。今日の存在は次のとおりです。

また、/home/ubuntu/.ssh/identity を新しいインスタンスの対応する秘密鍵に設定しました。

アップデート：

踏み台ホストの /var/log/auth.log に次のように記録されています。

ローカル ネットワークと Amazon VPC の間に VPN リンクをセットアップしました。

ローカル ネットワークには、対象となる 2 つの IP ブロックがあります。

• 192.168.0.0/16 - ブロック local-A
• 10.1.1.0/24 - ローカル B をブロック

AWS VPC には次の IP ブロックがあります。

• 172.31.0.0/16 - AWS-A をブロック

local-A および local-B IP ブロックへの静的ルートを使用して VPN 接続をセットアップしました。

私はから接続できます：

• local-A から AWS-A および
• AWS-A から local-A へ。

次の場所から接続できません:

• AWS-A から local-B (例: 173.31.17.135 から 10.1.1.251)

173.31.17.135 サーバーから、10.1.1.251 は、ローカル ネットワーク上のサーバーではなく、Amazon サーバーに解決されているようです。これは、ローカル B (10.1.1.0/24) を VPN のルートとして設定しているにもかかわらずです。tracert の出力を参照...

AWS 内からアクセスしたときに 10.1.1.251 アドレスがローカルネットワーク上のサーバーに解決されるように構成を変更するにはどうすればよいですか?

開示 - serverfault でも同じ質問をしました。

編集...他のサブネットへのtracert

#2...tracecp を悪い宛先と良い宛先に編集します。

ホップ #3 は、ローカル側の VPN エンド ポイントです。私たちはそこまで進んでいますが、何かがそれを超えてルーティングできていません。そうです、問題は私たちの側にあります。つまり、AWS のセットアップは問題ありません。底に着いたら更新します。

編集 #3

修理済み！問題は、社内で運用している Barracuda Firewall でした。ファイアウォールに着信と発信の穴を作成し、宛先への要求がブロックされたことを示すログがなかったため、早い段階で原因としてファイアウォールを除外しました. 必死になって、すぐにファイアウォールをオフにすると、接続は正常に完了しました。その後、ファイアウォールのファームウェアを更新した結果、問題が修正され、ファイアウォールがトラフィックの通過を許可するようになりました。

tracert と tracetcp は診断に役立ちましたが、ファイアウォールはホップのリストに表示されませんでした (現在でも修正されています)。すべてのトラフィックがファイアウォールを通過し、ファイアウォールがホップ リストにあると予想していました。助けてくれてありがとう。

EIP を使用して、プライベート サブネット内のいくつかのインスタンスにアクセスしたいと考えています。方法はありますか？あまり意味がないことはわかっています。しかし、詳しく説明させてください。

2 つのサブネットを持つ VPC があります。

1) 192.168.0.0/24 (パブリックサブネット) には EIP が接続されています

2) 192.168.1.0/24 (プライベートサブネット)

これらの間には NAT インスタンスがあり、プライベート インスタンスがインターネットへのアウトバウンド アクセスを許可します。ここに記載されているように、すべて正常に動作します: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

しかし今、一時的に、EIP を使用してインターネットからプライベート サブネット上のインスタンスに直接アドレス指定する必要があります。その特定のインスタンスだけに新しいルート テーブルを設定することで、これは可能ですか? それとも何か？制限事項は次のとおりです。

1) プライベートサブネット上のインスタンスでダウンタイムが発生することはありません

2) したがって、言うまでもなく、新しいサブネットを作成して、これらのインスタンスをそこに移動することはできません。

-> 添付するのと同じくらい簡単です。使用する 。削除する。私が今持っている唯一の他の方法は、パブリックサブネット（EIPを持つ）上のインスタンスからプライベートサブネット上の任意のインスタンスへのiptablesでのある種のポートフォワーディングです...しかし、これは面倒です.

それを行う他の方法はありますか？

パブリックサブネットとプライベートサブネットで構成された VPC があります。

私のパブリック インスタンスは ELB (インターネットに面している) の後ろにあり、アウトバウンド トラフィックを igw にルーティングします。パブリック インスタンスの SG は 80+443 トラフィックの受信を許可し、私の ELB は 80+443 トラフィックをそれらに転送します。

この設定により、ELB DNS 名を介してパブリック Web インスタンスにアクセスできますが、問題は、インスタンスに ssh するときに、それらを更新 (apt-get) したり、Web ページ (wget) にアクセスしたりできないことです。

Auto-Scaling をすぐにセットアップする予定であり、必要だとは思わないため、パブリック Web インスタンスに EIP を割り当てていません。

NAT インスタンス apt-get/wget などを介してパブリック Web インスタンスをルーティングすると、動作しますが、ELB dns 名は動作しなくなります。

誰かが正しいセットアップがどうあるべきかを私に説明できますか?

VPC を利用するために、アプリケーションの CloudFormation テンプレートを適応させています。このテンプレート内で、VPC サブネットに使用される CIDR ブロックをプログラムで生成して、CloudFormation スタック間で競合しないようにする必要があります。

私の最初の計画は、文字列を連結して CIDR を生成することでした。次に例を示します。

ただし、さらに検討すると、スタックごとに VPC を使用するのではなく、単一の VPC を使用する必要があります。

AWS は、VPC で最大/16CIDR ブロックを使用するように制限しています (この制限の引き上げを求めましたが、明らかに不可能です)。これは、スタックごとに合計 255 を超えるアドレスにまたがるサブネットが必要なため、この連結方法を使用することはもはや不可能であることを意味します。

CIDR ブロックを CloudFormation テンプレートのパラメーターとして定義するのではなく、オンザフライで生成したいと考えています。

私が持っていた 1 つのアイデアは、各スタックが「基本整数」を持ち、それに各サブネットの CIDR ブロックを追加することでした。

例えば：

VpcCidrStartは、スクリプト内で 3 番目の CIDR オクテットを開始する値を設定する整数で、3サブネット番号です。

明らかにFn::Sum組み込み関数は存在しないので、誰かが VPC に整数を追加する解決策を持っているかどうか (CloudFormation は文字列指向であるため、それは不可能であるように思われます)、またはこれに対するより良い解決策があるかどうかを知りたいと思いました。一般的な難問。

いろいろ探しましたが、なかなか見つかりません。VPC の下にある単一の EC2 インスタンスにアクセスしようとしていると想定しているようです。

シナリオ: 複数の Web サイト (Windows を実行) をホストしている VPC の下に 1 つの EC2 メディアがあり、同じ VPC の下で Linux EC2 を起動して、サイトの 1 つのフォーラムを実行する必要があります。Windows サーバーでホストされているdomain.com/forum場所で実行されます。domain.comIIS でリバース プロキシを使用してフォーラムを取得しようとしていますが、最初にフォーラムにアクセスする必要があります。NAT インスタンスは私が探しているものでしょうか?

何か案は？

VPC で Chef Server を設定しようとしています。シェフ サーバーは、パブリック サブネットの下のインスタンスにインストールされ、Elastic VPC IP も与えられます。Chef-server-ctl reconfigure は正常に実行されますが、ブラウザからサーバーに接続しようとすると、「502 Bad Gateway」が表示されます

シェフサーバーの下のNginxログが表示されます

この問題を解決するにはどうすればよいですか。どんな助けでも大歓迎です。