AWS re:Postを使用することにより、以下に同意したことになります 利用規約

タグ付けされた質問 Amazon VPC

コンテンツの言語: 日本語

並べ替え 最新

以下に記載されている質問と回答を閲覧したり、フィルタリングして並べ替えて結果を絞り込んだりできます。

  • 1
  • 12 件 / ページ

オンプレ側からAWS側からのアクセスはできるのに、逆からアクセスできない考えられる原因

今回のAWS使用するにあたり、VPCを構築しまして、オンプレのデータセンタをInternetVPNで接続しました。 オンプレのほうからVPCに構築しましたEC2とはsshやpingなどは接続可能ですが、AWSのVPCのEC2から通信ができくて困っております。 考えられる原因等をご教示頂けますでしょうか。 Tunnel StatusはTunnel1、2ともUPになっております。 サイト間VPNの静的ルートは172.16.0.0/12 (対向側)が設定されていて、 EC2があるサイトのルーティングテーブルは 192.168.64.0/18 local 172.16.0.0/12 vgw-XXXXX 0.0.0.0/0 nat-gateway EC2に割り当てているセキュリティグループのアウトバウンドはport範囲すべて、送信先0.0.0.0/0 を設定し、適切に設定されていると考えております。 ネットワークACLはいじってません。 対向側のFW(Fortigate)は切り分けのためにVPNのInterFace#1,#2、ともにAWS側からのすべてをアクセスルールを許可をしました。 EC2のほうからオンプレ側にpingやncatを打ってもTimeoutしてしまいます。 pingを打つ先(オンプレ側)はもちろんfirewalldなどは解除してます。 オンプレ側からAWS側からのアクセスはできるのに、逆からアクセスできない考えられる原因をご教示頂けますでしょうか。
8
回答
0
投票
7
ビュー
nabeo
質問済み 2年前

EC2側のCA証明書の設定を変更していないにも関わらず、RDS側に対してSSL接続が行われている理由

お世話になっております。 RDSの証明書設定変更に関して不明点があるため、ご相談させていただきます 現状は、RDSの証明書の設定変更が完了してこれまで通り疎通はできているのですが、プラットフォームの理解が不足しており、3月5日以降も正しく動作するという確証が持てない状況です。 詳細は以下の通りです ■システムの構成 EC2(AmazonLinux)・RDS(PostgreSQL) EC2とRDSは、同一VPC・同一セキュリティグループ内に存在 ■現状 ・公式ドキュメント等を参考にRDSの設定を2019年版の証明書に変更し、RDSの再起動を行って設定変更の適用が完了している https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-postgresql.html ・RDSの設定変更後に、以下の3つの方法で、SSL接続ができている事を確認済 ・・アプリケーションを操作してDBに接続されている事を確認 ・・EC2インスタンスからpsqlで接続した場合もSSL接続される事を確認 ・・以下を参考に、pg_stat_ssl・pg_stat_activityでも、SSLで接続されている事を確認 https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-postgresql.html#ssl-certificate-rotation-postgresql.determining-server ■不明点・不安点 ・今回のRDSの設定変更において、EC2側のCA証明書の設定変更などは一切行っていない ・アプリケーション側の設定や、EC2インスタンス上のCA証明書に関する設定は調べた限りではない(ただしアプリケーションの開発およびAWSの設定をした開発担当者はいないため、未知の設定が存在する可能性はゼロではない) 上記による可能性としては以下の2通りの解釈が可能だと思っています。 ①同一VPCのセキュリティグループにあるRDSに対しては、内部的に自動でSSLによる接続が行われる仕様となっている。そのためSSLの接続情報や証明書がなくてもSSL接続となる ②RDSの設定変更後も、依然として何らかの未知の接続情報が有効になっており、3/5以降に接続が無効となる ①に該当するドキュメントが見当たらなかったため推測の域を出ておらず、②の可能性が排除できないです。 そのため作業を完了とみなして良いのか判断できず困っております。 ご教示いただけると幸いです Edited by: tunemage on Jan 20, 2020 10:21 PM
2
回答
0
投票
6
ビュー
質問済み 3年前

windowsのラインセン認証を1日以内におこなってください。 ライセンス認証後 エラー0xC004F074

お世話になっております。 1日前ぐらいから、ログインすると、「windowsのラインセン認証を1日以内におこなってください。」 といいうメッセージが表示されるようになりました。 ライセンス認証後を実行すると、エラー「0xC004F074」と表示れます。 フォーラムの過去ログなどひとおとり調べ https://forums.aws.amazon.com/thread.jspa?messageID=516377񾄙 や 「"Windows のライセンス認証ができません"」 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/common-messages.html#activate-windows など試してみたのですが、ダメでした。 KMSサーバーへtelnet 169.254.169.250 1688 など確認してみたのですが、疎通できてないようです。 インスタンスはVPC上にあり、 Windows 2008 Datacenter インスタンスID:i-01fc91cdd1e7e79d5 です。 ちょうど、1日前くらいに時計がずれていたので、時刻の同期をNTPサーバーへ手動で行いましたが、これが原因でしょうか? 他に何か試した方がよいことがあれば、ご教示いただけますでしょうか。 ラインセン認証が1日以内・・・となっているので、明日になったらどうなるか不安ですので、出来ましたら、急ぎですと助かります。 宜しくお願い致します。 Edited by: 4suta on Jan 24, 2018 1:36 AM
14
回答
0
投票
3
ビュー
4suta
質問済み 5年前

VPCフローログの設定した結果、cloudtrailを見ると、自動でcreatelogstreamされます。この操作の発信元IPは確認できないのか?

最近VPCフローログを設定したところ、cloudtrailに以下(一番下)が出力されるようになりました。 cloudtrailに想定しない操作があった場合(発信元IPが不明とか)はアラートするよう監視ツールで設定しているのですが、以下が疑問です。 1)vpc-flow-logging+8xxxxxxxxxxx は誰なのか? 2)発信者IP("sourceIPAddress")の "54.240.200.68"ってAWS側のアドレスでよいのか(利用者ではなく)? 上記共にAWS側のユーザ、IPアドレスと認識しているのですが、その記載がAWSDocumentを探し回っても、見当たらず。 特にIPアドレスは一定していないように見えるので、無視していいアドレスか確認できなくて困っています。 どなたか、AWS側のアドレスだから無視できると判断できる情報の記載箇所を教えていただけると大変助かります。 #他のAWSサービス(ELBとか)でも、AWS側からの自動処理と思われる操作があるのですが、同様にIPアドレス、ユーザが不明で困っています。 #AWSサービス提供側による自動実行処理を、「AWS側」と私は表現しています。 ■補足 以下URLにAWS全体のIPRANGEが記載されていますが、これって利用者のIP含んでるんですよね? だとしたらそのままでは使えない(セキュリティ的な意味で無視できない)と思っています。 http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html ■cloudtrailコンソール { "eventVersion": "1.04", "userIdentity": { "type": "AssumedRole", "principalId": "AROAZZZZZZZZZZZZZZZZZ:vpc-flow-logging+8xxxxxxxxxxx", "arn": "arn:aws:sts::8xxxxxxxxxxx:assumed-role/flowlogsRole/vpc-flow-logging+8xxxxxxxxxxx", "accountId": "8xxxxxxxxxxx", "accessKeyId": "ASIAZZZZZZZZZZZZZZZZZ", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-11-07T13:52:55Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAZZZZZZZZZZZZZZZZZ", "arn": "arn:aws:iam::8xxxxxxxxxxx:role/flowlogsRole", "accountId": "8xxxxxxxxxxx", "userName": "flowlogsRole" } } }, "eventTime": "2017-11-07T14:09:54Z", "eventSource": "logs.amazonaws.com", "eventName": "CreateLogStream", "awsRegion": "ap-northeast-1", "sourceIPAddress": "54.240.200.68", "userAgent": "aws-vpc-flow-logs, aws-internal/3", "requestParameters": { "logGroupName": "flowlogs-loggroup", "logStreamName": "eni-cf563ac0-accept" }, "responseElements": null, "requestID": "53d57134-c3c5-11e7-9fc1-7370821a1dfe", "eventID": "dc10a380-d2ee-4787-9093-0f89b0217a75", "eventType": "AwsApiCall", "apiVersion": "20140328", "recipientAccountId": "8xxxxxxxxxxx" } Edited by: keep-eye-on-Ad3 on Nov 8, 2017 8:14 PM
2
回答
0
投票
2
ビュー
質問済み 5年前
  • 1
  • 12 件 / ページ