Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
Comment puis-je résoudre les problèmes liés aux points de terminaison de VPC dans la configuration réseau de mon environnement Elastic Beanstalk privé ?
Je souhaite résoudre des problèmes de réseau dans mon environnement AWS Elastic Beanstalk entièrement privé.
Brève description
Les environnements entièrement privés présentent la configuration suivante et autorisent l'accès à votre application Web uniquement depuis le même Amazon Virtual Private Cloud (Amazon VPC).
- Visibilité de l'équilibreur de charge : Privé
- Sous-réseaux de l'équilibreur de charge : Sous-réseaux privés
- Adresse IP publique de l'instance : Désactivé
- Sous-réseaux d'instance : Sous-réseaux privés
Toutes les communications à travers le VPC s'effectuent via des points de terminaison de VPC configurés. De plus, toutes les communications au sein du VPC s'effectuent via la route locale dans la table de routage. Les erreurs courantes que vous pouvez rencontrer dans l'environnement en raison des configurations réseau sont les suivantes :
- Les instances Amazon Elastic Compute Cloud (Amazon EC2) n'ont pas réussi à communiquer avec Elastic Beanstalk. L'échec de communication est dû à des problèmes de configuration du VPC ou à une instance EC2 en échec. Vérifiez votre configuration VPC et essayez de lancer à nouveau l’environnement.
- Les instances n'ont pas répondu dans le délai de commande autorisé.
Résolution
Lorsque vous créez un environnement Elastic Beanstalk entièrement privé, assurez-vous que les configurations suivantes sont définies :
- Vous devez disposer d'un VPC avec au moins deux sous-réseaux privés dans différentes zones de disponibilité.
- Les noms d'hôte DNS et les résolutions DNS doivent être activés sur le VPC. Le fait de les activer ajoute une entrée DNS dans votre VPC qui mappe le point de terminaison du service public au point de terminaison du VPC d'interface.
- Vous devez créer des points de terminaison de VPC afin que les services AWS extérieurs au VPC et l'instance à l'intérieur du VPC puissent communiquer via ces points de terminaison.
Vérifier les points de terminaison de VPC
Un environnement Elastic Beanstalk standard doit disposer des points de terminaison de VPC suivants pour réussir sa création :
- com.amazonaws.your-region.elasticbeanstalk (point de terminaison de l'interface Elastic Beanstalk)
- com.amazonaws.your-region.elasticbeanstalk-health (point de terminaison de l'interface d’état Elastic Beanstalk)
- com.amazonaws.your-region.cloudformation (point de terminaison de l'interface AWS CloudFormation)
- com.amazonaws.your-region.logs (point de terminaison de l'interface de journaux)
- com.amazonaws.your-region.sqs (point de terminaison de l'interface Amazon Simple Queue Service (Amazon SQS))
- com.amazonaws.your-region.s3 (point de terminaison de passerelle Amazon Simple Storage Service (Amazon S3))
Les environnements exécutés sur la plateforme Docker qui s'exécute sur Amazon Linux 2 64 bits doivent disposer des points de terminaison de VPC supplémentaires suivants :
- com.amazonaws.your-region.ecr.dkr
- com.amazonaws.your-region.ecr.api
Les environnements exécutés sur la plate-forme Amazon Elastic Container Service (Amazon ECS) qui s'exécute sur Amazon Linux 2 64 bits doivent disposer des points de terminaison de VPC supplémentaires suivants :
- com.amazonaws.your-region.ecs
- com.amazonaws.your-region.ecr.api
- com.amazonaws.your-region.ecr.dkr
Remarque : Pour vous assurer que votre environnement Docker et Multi-Docker fonctionnent correctement, fournissez une image Docker privée.
Vérifier le groupe de sécurité
Lors de la création du point de terminaison de VPC d'interface, vous devez choisir les sous-réseaux et le groupe de sécurité pour votre point de terminaison de VPC. Assurez-vous de choisir les sous-réseaux privés et le groupe de sécurité avec les règles entrantes appropriées.
Le groupe de sécurité attaché aux points de terminaison de VPC de l'interface doit disposer d'une règle entrante pour le port 443 (HTTPS) :
Règle entrante :
| Type | Protocole | Plage de ports | Source |
| HTTPS | TCP | 443 | Adresse IP du client (voir note) |
Remarque : Pour protéger le trafic entrant via le point de terminaison du VPC, pensez à spécifier uniquement l'adresse IP ou le réseau du client dans la source.
Vérifiez également que le groupe de sécurité associé à l'instance autorise le trafic HTTP provenant du groupe de sécurité de l'équilibreur de charge :
Règle entrante :
| Type | Protocole | Plage de ports | Source |
| HTTP | TCP | 80 | Groupe de sécurité de l'équilibreur de charge |
Vérifiez que le groupe de sécurité associé à l'équilibreur de charge autorise tout le trafic HTTP dans la règle entrante :
Règle entrante :
| Type | Protocole | Plage de ports | Source |
| HTTP | TCP | 80 | 0.0.0.0/0 |
Remarque : Il n'est pas nécessaire de restreindre le trafic sortant dans l’un des groupes de sécurité précédents.
Vérifier les entrées de la table de routage
Lorsque vous créez des points de terminaison de passerelle, vous avez la possibilité de choisir une table de routage. Assurez-vous de choisir la table de routage associée au sous-réseau privé du VPC. La table de routage associée au sous-réseau privé doit disposer d'une route pour chaque point de terminaison de VPC de passerelle. Par exemple, vous devez disposer d'une route pour chaque point de terminaison de VPC de passerelle associé à Amazon Simple Storage Service (Amazon S3) ou Amazon DynamoDB.
Entrées de la table de routage :
| Destination | Cible |
| 172,xx.x.0/16 | locale |
| pl-63a5xxx | vpce-04xxx |
Vérifier les stratégies de point de terminaison de VPC
Les stratégies de point de terminaison de VPC doivent permettre à votre environnement Elastic Beanstalk de communiquer en privé avec le service. Lorsque vous créez une interface ou un point de terminaison de passerelle, vous pouvez y associer une stratégie de point de terminaison. La stratégie de point de terminaison détermine quels responsables AWS peuvent utiliser le point de terminaison de VPC pour accéder au service de point de terminaison. Les principaux AWS incluent les comptes AWS, les utilisateurs d'AWS Identity and Access Management (IAM) et les rôles IAM. Si vous ne spécifiez pas de stratégie de point de terminaison lorsque vous créez un point de terminaison, celui-ci dispose par défaut d'un accès complet.
Voici un exemple de stratégie minimale de point de terminaison de VPC S3 Gateway qui est requise pour un point de terminaison S3 lorsque vous utilisez Elastic Beanstalk.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EBBucketAccess", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:PutObjectAcl", "s3:DeleteObject", "s3:PutBucketPolicy", "s3:PutObjectVersionAcl" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-*", "arn:aws:s3:::elasticbeanstalk-*/*", "arn:aws:s3:::cloudformation*/*" ] } ] }
Informations connexes
Accéder à un service AWS à l’aide d’un point de terminaison de VPC d’interface
Contenus pertinents
- demandé il y a 10 mois
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 5 mois