如何對 Amazon VPC 介面端點的連線問題進行疑難排解？

簡短描述

如要對介面 Amazon VPC 端點的連線問題進行疑難排解，請檢查下列項目：

• DNS 名稱解析
• 端點政策
• Amazon VPC 端點安全群組
• 子網路存取控制清單 (network ACL)
• 路由組態
• Reachability Analyzer 結果
• 介面 Amazon VPC 端點連線

解決方法

DNS 名稱解析

在私有 DNS 名稱啟用時，可對服務端點執行 AWS API 呼叫。這些呼叫解析至介面端點的私有 IP 地址。如果私有 DNS 名稱未啟用，則指定區域或分區 Amazon VPC 端點 DNS 名稱以執行 API 呼叫。

若要確認您想連線的介面 Amazon VPC 端點名稱的 DNS 解析，請使用 dig 或 nslookup 命令。

如需詳細資訊，請參閱為什麼我無法解析介面 VPC 端點的服務網域名稱？

端點政策

預設端點政策允許對服務進行完整存取。當使用自訂政策時，請確保該政策具有允許存取執行必要動作所需的權限。如需詳細資訊，請參閱使用端點政策控制對 VPC 端點的存取。

Amazon VPC 端點安全群組

安全群組可與介面 Amazon VPC 端點建立關聯以控制存取。請確保安全群組入埠規則允許與基於服務所接受連線的連接埠和協定進行通訊。

**注意：**如果您建立介面端點而未選取安全群組，系統將會使用預設安全群組。

子網路 ACL

確認子網路 ACL 允許入埠和出埠連線至介面端點彈性網路介面。從 Amazon VPC 外部連線時，請確保允許來自來源網路的連線。

如需詳細資訊，請參閱如何在為端點服務建立 VPC 介面端點時設定安全群組和網路 ACL？

路由組態

介面 Amazon VPC 端點可用於從 AWS 內部或從內部部署網路私下存取服務。從與介面端點相同的 Amazon VPC 內連線時，本機路由會管理子網路路由表中的路由。此外，不需要額外的路由組態。

如果從 Amazon VPC 外部連線至端點，請確保可以建立連線。確認一個或多個來源網路與介面 Amazon VPC 端點彈性網路介面子網路之間的連線。

Reachability Analyzer 結果

使用 Reachability Analyzer 對來源與介面端點之間的連線問題進行疑難排解。如需詳細資訊，請參閱如何使用 Amazon VPC Reachability Analyzer 對 Amazon VPC 資源的連線問題進行疑難排解？

介面 Amazon VPC 端點連線

若要檢查介面端點是否可用於存取服務，請在適當連接埠上使用網路連線工具。

如果啟用私有 DNS，請執行以下命令：

telnet ec2.us-east-1.amazonaws.com 443

**注意：**將 <example-private-IP-interface-endpoint-ENI> 取代為介面端點彈性網路介面的私有 IP 地址。

telnet <example-private-IP-interface-endpoint-ENI> 443

如果未啟用私有 DNS，請執行以下命令：

**注意：**將 <example-vpc-endpoint-region> 取代為介面端點的區域或分區 DNS 名稱。

telnet <example-vpc-endpoint-region>.amazonaws.com 443

相關資訊

為什麼我無法從 Amazon VPC 中的介面端點連線至端點服務？