Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie behebe ich Probleme mit Verbindungen über das Internet zu Amazon-EC2-Instances in meiner VPC?

Lesedauer: 4 Minute
0

Ich kann über das Internet keine Verbindung zu einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance in einer Amazon Virtual Private Cloud (Amazon VPC) herstellen.

Kurzbeschreibung

Probleme bei Verbindungen zu Amazon-EC2-Instances über das Internet hängen in der Regel mit den folgenden Konfigurationseinstellungen zusammen:

Lösung

Bevor du beginnst, vergewissere dich, dass die EC2-Instance die System- und die Instance-Statusprüfung besteht.

Solltest du Network Firewall verwenden, findest du Informationen dazu unter Wie behebe ich Probleme mit Network Firewall, wenn eine Regel nicht wie erwartet funktioniert?

Überprüfen von Sicherheitsgruppen

Vergewissere dich, dass die Sicherheitsgruppe, die der Elastic-Network-Schnittstelle der Instance zugeordnet ist, Verbindungen von den erforderlichen Ports zulässt. Da Sicherheitsgruppen zustandsbehaftet sind, musst du für Sicherheitsgruppen keine Regeln für ausgehenden Datenverkehr konfigurieren.

Wichtig: Erlaube in einer Produktionsumgebung nur einer bestimmten IP-Adresse oder einem bestimmten Adressbereich den Zugriff auf deine Instance. Gib zu Testzwecken die benutzerdefinierte IP-Adresse 0.0.0.0/0 an, sodass alle IP-Adressen SSH oder RDP für den Zugriff auf die Instance verwenden können.

Wenn du beispielsweise SSH verwendest, um über das Internet eine Verbindung zur Instance herzustellen, füge eine Regel auf Port 22 hinzu. Stelle sicher, dass die Regel der Quell-IP-Adresse den Zugriff auf die Instance erlaubt. Damit alle eine Verbindung herstellen können, füge eine Regel hinzu, die Port 80 für die IP-Adresse 0.0.0.0/0 zulässt.

Überprüfen der Netzwerk-ACLs

Überprüfe die Netzwerk-ACLs auf die folgenden Konfigurationseinstellungen:

  • Die Netzwerk-ACLs, die dem VPC-Subnetz zugeordnet sind, müssen Datenverkehr über die erforderlichen Ports zulassen. Weitere Informationen findest du unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs und Hinzufügen und Löschen von Regeln.
  • Erlaube sowohl eingehenden als auch ausgehenden Datenverkehr. Netzwerk-ACLs sind zustandslos. Antworten auf erlaubten eingehenden Datenverkehr unterliegen den Regeln für ausgehenden Datenverkehr. Antworten auf erlaubten ausgehenden Datenverkehr unterliegen den Regeln für eingehenden Datenverkehr.
  • Stelle sicher, dass nur kurzlebige Ports für ausgehende Netzwerk-ACLs geöffnet sind. Es hast sich bewährt, nur die Ports zuzulassen, die du benötigst.

Wichtig: Wenn du immer noch nicht weißt, was den Datenverkehr am Zugriff auf die Instance hindert, aktiviere VPC-Flow-Protokolle. Flow-Protokolle erfassen IP-Adressen-Datenverkehr, der durch die VPC fließt. Wenn du in den Flow-Protokollen abgelehnten Datenverkehr siehst, überprüfe erneut die Sicherheitsgruppen und Netzwerk-ACL-Einstellungen.

Überprüfen der Routing-Tabellen

Gehe wie folgt vor, um zu überprüfen, ob ein Internet-Gateway an die VPC angefügt ist:

  1. Öffne die Amazon-VPC-Konsole.
  2. Wähle im Navigationsbereich im Abschnitt Virtual Private Cloud die Option Internet-Gateways aus.
  3. Suche nach dem Internet-Gateway, das an die VPC angefügt ist. Du kannst auch nach der ID der angefügten VPC suchen, z. B. vpc-xxxxxxxx.
  4. Notiere dir die ID des Internet-Gateways, z. B. igw-xxxxxxxx.

Wenn bereits ein Internet-Gateway an die VPC angefügt ist, führe die folgenden Schritte aus:

  1. Suche in den Routing-Tabellen deiner VPC nach einer Route zu deinem Internet-Gateway. Suche nach einem Routeneintrag, dessen Ziel die ID des Internet-Gateways ist, das an die VPC angefügt ist, und dessen Zieladresse 0.0.0.0/0 ist.
  2. Wenn die Route nicht existiert, füge einen Routeneintrag mit dem Internet-Gateway als Ziel und 0.0.0.0/0 als Zieladresse hinzu.
  3. Stelle sicher, dass die Subnetz-Routing-Tabelle ebenso einen Routeneintrag zum Internet-Gateway enthält. Wenn dieser Eintrag nicht vorhanden ist, befindet sich die Instance in einem privaten Subnetz und ist vom Internet aus nicht erreichbar.

Hinweis: Vergewissere dich, dass die Routing-Tabellen auf Betriebssystemebene Datenverkehr aus dem Internet zulassen. Verwende je nach Konfiguration den Befehl route -n für Linux-Instances oder den Befehl netstat -rn für Linux- oder Windows-Instances.

Überprüfen von IP-Adressen

  • Vergewissere dich, dass deiner VPC-Instance eine öffentliche IP-Adresse zugewiesen oder eine Elastic IP-Adresse an die Netzwerkschnittstelle der Instance angefügt ist. Wenn keine öffentliche IP-Adresse oder Elastic IP-Adresse zugewiesen ist, weise eine zu.
    Hinweis: Weitere Informationen findest du unter IP-Adressierung für die VPCs und Subnetze und Arbeiten mit Elastic-IP-Adressen.
  • Stelle sicher, dass die Software auf Betriebssystemebene oder die Firewalls auf der Instance Datenverkehr über die erforderlichen Ports zulassen.

Ähnliche Informationen

Warum können meine EC2-Instances nicht über ein NAT-Gateway auf das Internet zugreifen?

Datenschutz im Netzwerk-Datenverkehr in Amazon VPC

Themen
Networking & Content Delivery
Tags
Amazon VPC
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 3 Jahren

Relevanter Inhalt