問題タブ [amazon-vpc]

AWS VPC では、作成した各ルート テーブルにデフォルト (ローカル ルート 10.0.0.0/16) が付属しており、EC2 インスタンスに別の EC2 インスタンスをデフォルト ゲートウェイとして持たせたい場合に問題が発生します。

たとえば、A (サブネット 10.0.30.0/24 内) と B (サブネット 10.0.40.0/24 内) という 2 つの EC2 インスタンスがあり、A を B のデフォルト ゲートウェイとして設定すると、B からのすべてのパケットは経由で送信されません。 A. 代わりに、10.0.40.1 経由で送信されます。

新しいルートテーブルを作成して、次のようなルートを追加しようとしました：0.0.0.0/0はAのNICを経由しますが、これはA経由でトラフィックをルーティングしません

B で 10.0.40.1 へのルートを削除すると、B へのすべての接続が失われます

私の質問は次のとおりです。

1. B からのすべてのパケットが常に A 経由で送信されるようにするにはどうすればよいですか?
2. 10.0.0.0/16 のローカル ルートを削除することはできますか?
3. 自分がやりたいことをするために他に何ができますか？

与えられた:

• instance-1 : us-east-1c ( VPC 内にない)
• instance-2 : us-east-1c (私の VPC 内)

インスタンス 2がプライベート IP 経由でインスタンス 1と通信するように、2 つの間のルートを構成する方法はありますか?

現在、インスタンス 1のパブリック アドレスを使用して、インターネット ゲートウェイ経由で通信しています。

IAM でグループ ポリシーを設定して、特定の vpc を使用して特定の地域のユーザーにアクセスを提供しようとしています。リソースタグがec2で機能しないため、AWSドキュメントを参照して、vpc IDを使用してインスタンスをフィルタリングしようとしています（EC2で機能する場合はResourceTagの方が適しています）。同じために次のルールを作成しましたが、役に立ちませんでした。

結果は、EC2ページに「インスタンスデータのフェッチ中にエラーが発生しました」と表示されます。

これを修正するための提案はありますか?

ありがとうございました

リコさん、お返事ありがとうございます:-)

残念ながら、指定されたポリシーは、私の要件では機能しませんでした。

特定のリージョンのユーザーにアクセス権を付与する必要があり、ユーザーは特定のリソース タグ、VPC、サブネット、またはセキュリティ グループに基づいてインスタンスにアクセスできる必要があります。

ユーザーは何かを起動または編集する権限を持たない必要があり、ユーザーは前述のようにフィルターに基づいてインスタンスを一覧表示して、インスタンスの詳細を表示できる必要があります (読み取り専用)。

上記の側面を考慮して、ARN がリソースでうまく機能しないため、二重条件で同様のポリシーを定義しました。

リソースに ARN を使用すると、以下の形式では機能しません。

リソース タグ、インスタンス ID、セキュリティ グループ、およびサブネットを使用して、インスタンスをフィルタリングしてみました。

今のところ VPC フィルターは使用できないというご回答でわかりました。

私のインスタンスのリソースタグについては、画像を参照してください。

あなたの迅速な対応は高く評価されます。

前もって感謝します！

AWS ソリューション アーキテクトと次の更新について話し合いました。

EC2 の Describe* API は、まだ特定のリソースに制限できません。EC2 のリソース レベルのアクセス許可の最初のリリースでは、新しいリソースを作成したり、既存のリソースを変更したりするアクションに重点を置いていました。EC2 でサポートされているアクションの完全なリストについては、http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html#ec2-supported-iam-actions-resourcesを参照してください。リソース レベルのアクセス許可。

リソースレベルのアクセス制御のサポートをより多くのアクションに拡張するために取り組んでいますが、これが Describe* API で利用可能になる日付を提供することはできません.

リソース レベルのアクセス許可がサポートされているかどうかは、アクションによって異なります。上記のリンクを参照してください。特に、EC2 Describe* アクションをリソースに制限することは現時点では不可能ですが、上記の ARN を使用して、リソースを変更するアクションを制限できます。

リソース タグ、サブネット、セキュリティ グループ、および vpc は、IAM ポリシー ステートメントの「条件」セクションでサポートされていますが、特定のアクションに対してのみサポートされています。http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam を参照してください。利用可能なキーの -policies-for-amazon-ec2.html#amazon-ec2- keys。ただし、リソース タグ、サブネット、セキュリティ グループ、および vpc は、Describe* API の条件ではサポートされていません。

最後に、ユーザーをリージョンのみに制限することで回避策を終了します。

私は Amazon EC2 を使用しており、インターネットに接続する ELB (ロードバランサー) をプライベートサブネット上の 2 つのインスタンスに配置したいと考えています。パブリックサブネットとプライベートサブネットで VPC を使用しています。

• プライベート サブネットを ELB に追加しただけでは、接続が確立されません。
• 両方のサブネットを ELB にアタッチすると、インスタンスにアクセスできますが、多くの場合タイムアウトが発生します。(スクリーンショット 1 参照)
• パブリック サブネットのみにアタッチすると、パブリック サブネットにインスタンスがないため、ELB にアタッチされたインスタンスが OutOfService を取得し、インスタンス数が 0 になります(スクリーンショット 2 を参照) 。

スクリーンショット 1:両方のサブネットが接続されている

スクリーンショット 2:接続されているパブリック サブネットのみ

私の質問は、実際にはこの質問の延長です。受け入れられた回答に記載されている6つの手順をすべて実行した後でも、ELBに接続されているインスタンスがOutOfServiceになります。EC2 インスタンスと ELB のセキュリティ グループでポートを許可してみましたが、役に立ちませんでした。

助けてください、私はこれで頭が壊れています。

EC2 インスタンスでのテスト目的で AWS アカウントを作成したので、AWS EC2 コンソールにアクセスしてインスタンスを開始し、ニーズに合わせてカスタマイズしてから、スナップショット (プライベート AMI) を作成しました。

次に、CLI ツールをインストールしてコマンド ラインで起動しましたが、デフォルトの VPC が AWS EC2 コンソールのものと同じではなかったため、どのインスタンスにも個人の AMI にもアクセスできませんでした。それを変更しようとしましたが、方法がありませんでした。

Web ブラウザーからの EC2 コンソール: デフォルト VPC: vpc-9bc325fe

コマンドプロンプトで：

$ ec2-describe-vpcs VPC vpc-384db15d 利用可能 172.31.0.0/16 dopt-667b6f04 デフォルト true

どうすればvpcsから切り替えることができるか、または調整する別の方法があるかどうか、誰にも考えがありますか?

botoを使用して、宛先、ターゲットなどのルートテーブルとACLの内容を取得しようとしています。コンテンツではなく ID を取得できます。これを解決する方法を提案してください。

一部のリージョン (us-east-1 など) では、一部のアベイラビリティーゾーンのみがサブネット (したがって VPC インスタンス) の作成に使用できることがわかりました。私の場合、ゾーンは us-east-1c、-1d、および -1e ですが、これらはアカウントによって異なります。

サブネットと VPC インスタンスを生成するスクリプトを作成しているので、どのゾーンが VPC 対応であるかをプログラムで調べると便利です。特に、一連のゾーンが変更できなかった (または少なくとも拡張できなかった) 理由がわかっているためです。時間とともに。

この投稿は基本的に同じ質問をしていましたが、受け入れられた回答は実際には私とその質問者が探していた情報を提供しません (ec2-describe-availability-zones に私が認識していない VPC 固有のパラメータがない限り): Amazon VPC の可用性

考えられる回避策の 1 つを見つけました。それは、ガベージ vpc-id とアベイラビリティ ゾーンを使用してサブネットを作成することです ( ec2-create-subnet -c garbage -i 10.0.0.0/24 -z garbage)。この呼び出しのエラー メッセージには、サブネットをホストできる AZ のリストが含まれており、探している情報についてその出力を解析できます。ただし、これはハックのように感じます。必要がない場合、この種のエラー動作やエラー メッセージの特定の形式に依存するのは好きではありません。より良い方法はありますか？

更新:コメントに基づいてもう少し詳細を追加します...

私が ALWAYS を呼び出すと、ec2-describe-availability-zonesus-east-1a から us-east-1e までの 5 つの値が返されますが、VPC サブネットは 1c、1d、および 1e にしか作成できません。1b を除くすべてのゾーンで実行されているインスタンスがあり、通常のインスタンスでさえ起動できませんでした (段階的に廃止されているようです)。このアカウントは VPC 機能のリリース前から存在していたので、「レガシー」アカウントのようなものだと思います。これは、サブネットと VPC インスタンスの作成が許可されている場所と、ec2-describe-availability-zones が戻ってくる時期との不一致に関係している可能性があります。AWS サポートに質問を投稿し、ここで調査結果を報告します。