He amazon VPC establece a través de la asistente como «público de la red», así que toda mi instancias se encuentran en la subred pública.

Instancias dentro de pvc que han de Elastic IP asignada conectarse a internet sin ningún tipo de problemas.

Pero de los casos sin elastic IP no se puede conectar en cualquier lugar.

Puerta de enlace de Internet está presente. La ruta de la tabla de consola de aws parece

Destination Target 
10.0.0.0/16 local
0.0.0.0/0   igw-nnnnn

y la ruta desde el interior de ejemplo muestra

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
default         10.0.0.1        0.0.0.0         UG    100    0        0 eth0

Traté de abrir TODO el tráfico entrante y saliente a 0.0.0.0/0 en el grupo de seguridad de una instancia que pertenece. Todavía sin éxito.

~$ ping google.com
PING google.com (74.125.224.36) 56(84) bytes of data.
^C
--- google.com ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5017ms

¿Qué otra cosa puedo hacer?

11 Comentarios

  1. 55

    Parece que la única manera de conseguir fuera de los casos que no han de Elastic IP es:

    • agregar un NAT (Lanzamiento de un extra de m1.pequeño ejemplo de ami-vpc-nat-beta) y asignar EIP para que
    • Crear un extra de subred que será «privado»
    • Mueve sin EIP-instancias a que subred privada
    • Modificar las tablas de ruta: 0.0.0.0/0 de la subred privada debe ir a NAT

    Así, con sólo la adición de NAT no es suficiente. Las instancias debe ser detenido y trasladado a otra IP de otra subred.

    • Los médicos dicen que también se le debe asignar una EIP a la instancia de NAT.
    • De hecho, sin la asignación de EIP a la instancia de NAT, NO VA a funcionar. Sólo probado.
    • Por supuesto, su NAT debe tener EIP. Implícitas que. Editado la respuesta
    • No olvide desactivar en la instancia de NAT de origen/destino de verificación.
    • Se debe sólo recientemente han puesto en la «instancia de NAT de origen/destino de verificación» porque nunca he usado a tener que desactivar antes de conectar. Bastante tonto configuración predeterminada a no permitir conexiones externas cuando eso era lo que la mayoría de las personas estarían utilizando para que me imagino.
    • Ya que este es el aceptado respuesta, consulte a su Acl de red demasiado (VPC -> Seguridad> Acl de Red). Asegúrese de que no está bloqueando la entrada o salida de tráfico. En mi caso, estaba en decadencia debido a mi red ACL no permitir el tráfico entrante.

  2. 9

    P. ¿Cómo instancias sin Eip acceso a Internet?

    De los casos sin que estos programas pueden tener acceso a la Internet en una de dos maneras
    De los casos sin Eip pueden dirigir el tráfico a través de una instancia de NAT
    para acceder a Internet. Estos casos de uso de la EIP de la NAT
    instancia para recorrer la Internet. La instancia de NAT permite la salida
    de la comunicación, pero no permite que los equipos en el Internet para iniciar
    una conexión a los equipos de direcciones privadas el uso de NAT, y

    http://aws.amazon.com/vpc/faqs/

    Puede encontrar instrucciones detalladas sobre cómo configurar una instancia de nat aquí: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html
    Cómo conectarse fuera del mundo de amazon vpc?

  3. 4

    O crear una Instancia de NAT en el público, VPC y agregar una ruta estática a la instancia de NAT

    route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.5 eth0

    donde 10.0.0.5 es su instancia de nat, sólo asegúrese de que su el grupo de seguridad que contiene la instancia de NAT puede aceptar el tráfico interno de los cuadros que requieren acceso a internet

    • Yo hice lo mismo pero en mal estado de los metadatos para las instancias con la ruta estática añadido. Metadatos: docs.aws.amazon.com/AWSEC2/latest/UserGuide/… Subred Pública + EIP y la Subred Privada + instancia de NAT es el camino a seguir.
  4. 2

    Usted puede hacerlo en cualquier instancia de su VPC, que ha EIP. Hay algunas instrucciones que he descrito aquí debe ayudarle. BTW: no olvide desactivar la fuente/dest. compruebe

    • Sí, no hay realmente ninguna necesidad a la que he dedicado instancia de NAT. Cualquier instancia puede desempeñar este papel.
  5. 1

    De los casos sin que estos programas pueden tener acceso a la Internet en una de dos maneras Instancias sin Eip puede enrutar el tráfico a través de una instancia de NAT para acceder a Internet. Estos casos de uso de la EIP de la instancia de NAT para recorrer la Internet. La instancia de NAT permite la comunicación saliente, pero no permite que los equipos de la Internet para iniciar una conexión a los equipos de direcciones privadas mediante NAT.

    https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html

  6. 0

    ¿Has comprobado la Red ACL en la subred?

    Verificación cruzada de los grupos de seguridad para las reglas.

    La tabla de rutas se ve bien. Se debe trabajar.

    • tenga en cuenta que la pregunta es respondida hace 5 meses. Tenga en cuenta que «traté de abrir TODO el tráfico entrante y saliente a 0.0.0.0/0 en el grupo de seguridad de una instancia que pertenece. Todavía no hay éxito.» significa que no está conectado con los grupos de seguridad.
  7. 0

    Todo lo que necesita hacer para solucionar este problema, es deshabilitar «de origen/destino de verificación» de la instancia que se han configurado para hacer NAT. Esto se puede hacer en la consola de AWS, en «Instancia de las Acciones».

    Referencia

    • Si has creado una instancia de NAT, que es. Lo que no está claro que el usuario ha hecho así.
  8. 0

    Este me funciona con :

    • VPC subred 172.20.0.0/16
    • EC2 «nat» puerta de enlace 172.20.10.10 con EIP

    Hacer :

    • Conjunto de discapacidad de origen/destino. compruebe en su «nat gw»
    • crear un nuevo «nat-sub» de subred ex: 172.20.222.0/24
    • modificar la ruta 0.0.0.0/0 a 172.20.10.10 (mi nat gw) por «nat-sub»
    • crear una EC2 uso de «nat-sub»
    • en su puerta de enlace nat como root, intente :

    [email protected]:~# sysctl-p -w net.ipv4.ip_forward=1
    net.ipv4.conf.eth0.send_redirects=0

    [email protected]:~# iptables -t nat -C POSTROUTING -o eth0 -s 172.20.222.0/24 -j
    La MASCARADA de 2> /dev/null || iptables -t nat -a POSTROUTING -o eth0 -s
    172.20.222.0/24 -j MASQUERADE

    si funciona, añadir 2 líneas en /etc/rc.local

  9. 0

    Grupos de seguridad -> Salida

    *   ALL Traffic ALL     ALL     0.0.0.0/0   Allow
    

    Favor de permitir la Salida, si desea conectarse a servidores externos como google.com
    o incluso desea actualizar – sudo apt-get update

    Puede permitir la salida mediante el uso de AWS front-end goto Grupos de Seguridad -> Salida

    Asegúrese de seleccionar el grupo adecuado para su instancia de AWS

    • No, la pregunta es acerca de los casos sin que se de elastic IP.
  10. 0

    Tienen un producto relativamente nuevo llamado puerta de enlace NAT que hace exactamente esto, se crea un administrado instancia de NAT en el borde de su pub/subredes privadas.

Dejar respuesta

Please enter your comment!
Please enter your name here