如何解决接口 Amazon VPC 端点和端点服务之间的连接问题？

简述

要解决接口 Amazon VPC 端点和端点服务之间的连接问题，请检查以下配置：

• 端点连接状态
• 可用区映射
• 可用区独立性
• 网络负载均衡器响应
• 网络负载均衡器侦听器端口
• 区域 DNS 名称
• 安全组和网络访问控制列表（网络 ACL）规则

解决方案

检查端点连接状态

端点连接必须处于可用状态。如果端点连接处于待处理或已拒绝状态，则从接口端点发送到网络负载均衡器的连接都会超时。

要解决此问题，请执行以下其中一项操作：

• 向服务使用者授予创建服务接口端点的权限。有关更多信息，请参阅管理权限。
• 检查您是否接受了连接请求。如果您未接受连接请求，则服务使用者无法访问您的端点服务。
• 请求端点服务提供商接受端点连接请求以激活连接。默认情况下，端点服务提供商必须手动接受连接请求。此外，端点服务提供商可以将接受设置配置为自动接受连接请求。

检查可用区映射

要解决或防止可用区映射问题，请确保在创建资源时使用可用区 ID。有关更多信息，请参阅当我尝试映射 Amazon VPC 端点时，如何解决 “endpoint does not support the Availability Zone” 错误？

检查可用区的独立性

如果服务提供商的网络负载均衡器的区域目标不正常，则开启跨区域负载均衡。该操作会将请求发送到负载均衡器后面的正常区域，无论使用者的端点区域如何。

检查网络负载均衡器的响应

您可以模拟来自与网络负载均衡器位于同一 Amazon VPC 中的实例的连接请求。如果您没有收到预期的响应，请对网络负载均衡器进行故障排除。

检查网络负载均衡器侦听器端口

检查接口 Amazon VPC 端点是否将流量发送到网络负载均衡器的正确侦听器端口。例如，如果您的侦听器端口配置为端口 80，但流量发送至端口 443，则会出现 **“Connection refused” **错误。

检查区域 DNS 名称

如果您使用了接口 Amazon VPC 端点的区域 DNS 名称，请检查服务提供商端的区域响应能力。最佳做法是使用 AWS 区域 DNS 名称来确认请求是否已发送到正常区域。

解决服务使用者接口端点的连接问题

确保安全组和网络 ACL 规则允许流量进出端点服务。有关更多信息，请参阅如何解决我的 Amazon VPC 接口端点的连接问题？