Wie behebe ich Probleme mit Verbindungen über das Internet zu Amazon-EC2-Instances in meiner VPC?

Lesedauer: 4 Minute
0

Ich kann über das Internet keine Verbindung zu einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance in einer Amazon Virtual Private Cloud (Amazon VPC) herstellen.

Kurzbeschreibung

Probleme bei Verbindungen zu Amazon-EC2-Instances über das Internet hängen in der Regel mit den folgenden Konfigurationseinstellungen zusammen:

Behebung

Bevor Sie mit der Fehlersuche beginnen, vergewissern Sie sich, dass Ihre EC2-Instance die System- und die Instance-Statusprüfung besteht.

Informationen für den Fall, dass Sie Netzwerk-Firewall verwenden, finden Sie unter How do I troubleshoot issues with Network Firewall when a rule isn't working as expected?

Überprüfen von Sicherheitsgruppen

Vergewissern Sie sich, dass die Sicherheitsgruppe, die der Elastic-Network-Schnittstelle der Instance zugeordnet ist, Verbindungen von den erforderlichen Anschlüssen zulässt. Da Sicherheitsgruppen zustandsbehaftet sind, müssen Sie für Sicherheitsgruppen keine Regeln für ausgehenden Datenverkehr konfigurieren.

Wichtig: Erlauben Sie in einer Produktionsumgebung nur einer bestimmten IP-Adresse oder einem bestimmten Adressbereich den Zugriff auf Ihre Instance. Geben Sie zu Testzwecken die benutzerdefinierte IP-Adresse 0.0.0.0/0 an, sodass alle IP-Adressen SSH oder RDP für den Zugriff auf Ihre Instance verwenden können.

Wenn Sie beispielsweise SSH verwenden, um über das Internet eine Verbindung zur Instance herzustellen, fügen Sie eine Regel auf Anschluss 22 hinzu. Stellen Sie sicher, dass die Regel der Quell-IP-Adresse den Zugriff auf die Instance erlaubt. Damit jeder eine Verbindung herstellen kann, fügen Sie eine Regel hinzu, die Anschluss 80 für die IP-Adresse 0.0.0.0/0 zulässt.

Überprüfen der Netzwerk-ACLs

Überprüfen Sie Ihre Netzwerk-ACLs auf die folgenden Konfigurationseinstellungen:

  • Die Netzwerk-ACLs, die Ihrem VPC-Subnetz zugeordnet sind, müssen Datenverkehr über die erforderlichen Anschlüsse zulassen. Weitere Informationen finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs und Hinzufügen und Löschen von Regeln.
  • Erlauben Sie sowohl eingehenden als auch ausgehenden Datenverkehr. Netzwerk-ACLs sind zustandslos. Antworten auf erlaubten eingehenden Datenverkehr unterliegen den Regeln für ausgehenden Datenverkehr. Antworten auf erlaubten ausgehenden Datenverkehr unterliegen den Regeln für eingehenden Datenverkehr.
  • Stellen Sie sicher, dass nur kurzlebige Anschlüsse für ausgehende Netzwerk-ACLs geöffnet sind. Es ist bewährte Praxis, nur die Anschlüsse zuzulassen, die Sie benötigen.

Wichtig: Wenn Sie sich immer noch nicht wissen, was den Datenverkehr am Zugriff auf Ihre Instance hindert, aktivieren Sie VPC-Flow-Protokolle. Flow-Protokolle erfassen IP-Adressen-Datenverkehr, der durch Ihre VPC fließt. Wenn Sie in Ihren Flow-Protokollen abgelehnten Datenverkehr sehen, überprüfen Sie erneut Ihre Sicherheitsgruppen und Netzwerk-ACL-Einstellungen.

Überprüfen der Routing-Tabellen

Gehen Sie wie folgt vor, um zu überprüfen, ob ein Internet-Gateway an Ihre VPC angeschlossen ist:

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich im Abschnitt Virtual Private Cloud die Option Internet-Gateways aus.
  3. Suchen Sie nach dem Internet-Gateway, das an Ihre VPC angeschlossen ist. Sie können auch nach Ihrer ID der angefügten VPC suchen, z. B. vpc-xxxxxxxx.
  4. Notieren Sie sich die ID des Internet-Gateways, z. B. igw-xxxxxxxx.

Wenn bereits ein Internet-Gateway an Ihre VPC angeschlossen ist, führen Sie die folgenden Schritte aus:

  1. Suchen Sie in den Routing-Tabellen Ihrer VPC nach einer Route zu Ihrem Internet-Gateway. Suchen Sie nach einem Routeneintrag, dessen Ziel die ID des Internet-Gateways ist, das mit Ihrer VPC verbunden ist, und dessen Bestimmungsort 0.0.0.0/0 ist.
  2. Wenn die Route nicht existiert, fügen Sie einen Routeneintrag mit dem Internet-Gateway als Ziel und 0.0.0.0/0 als Bestimmungsort hinzu.
  3. Stellen Sie sicher, dass die Subnetz-Routing-Tabelle ebenso einen Routeneintrag zum Internet-Gateway enthält. Wenn dieser Eintrag nicht vorhanden ist, befindet sich die Instance in einem privaten Subnetz und ist vom Internet aus nicht erreichbar.

Hinweis: Vergewissern Sie sich, dass die Routing-Tabellen auf Betriebssystemebene Datenverkehr aus dem Internet zulassen. Verwenden Sie je nach Konfiguration den Befehl route -n für Linux-Instances oder den Befehl netstat -rn für Linux- oder Windows-Instances.

Überprüfen von IP-Adressen

  • Vergewissern Sie sich, dass Ihrer VPC-Instance eine öffentliche IP-Adresse zugewiesen oder eine Elastic-IP-Adresse an die Netzwerkschnittstelle der Instance angehängt ist. Wenn keine öffentliche IP-Adresse oder Elastic-IP-Adresse zugewiesen ist, weisen Sie eine zu.
    Hinweis: Weitere Informationen finden Sie unter IP addressing for your VPCs and subnets und Work with Elastic IP addresses.
  • Stellen Sie sicher, dass die Software auf Betriebssystemebene oder die Firewalls auf der Instance Datenverkehr über die erforderlichen Ports zulassen.

Verwandte Informationen

Warum können meine EC2-Instances nicht über ein NAT-Gateway auf das Internet zugreifen?

Datenschutz im Netzwerkverkehr in Amazon VPC

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 7 Monaten