Cloudwatch VPC 接口端点超时

【问题标题】:Cloudwatch VPC interface endpoint times outCloudwatch VPC 接口端点超时
【发布时间】:2020-09-08 18:40:21
【问题描述】:

我正在尝试将我的 EC2 主机设置连接到私有子网中,以将日志发布到云手表。我已经为 com.amazonaws.us-east-1.logs 设置了一个 VPC 接口端点。 接口端点和 EC2 都在私有子网中。

我的安全组

  1. 接口端点的安全组规则

    入站规则

    类型协议端口范围目标

    所有 TCP TCP 0 - 65535 sg-OfEC2Server

    出站规则 - 无

  2. EC2 的安全组规则

    入站规则 - 无

    出站规则

    类型协议端口范围目标

    所有 TCP TCP 0 - 65535 sg-OfInterfaceEndpoint

cloudwatch 代理一直超时,所以我感觉我的安全组规则存在问题,但故障排除步骤没有任何帮助。

【问题讨论】:

  • 出站规则不应该用于`sg-ForEC2Server`吗?
  • 更新了问题。
  • VPC 的 DNS 设置是否启用?
  • 启用DNS解析和DNS主机名
  • 我假设实例具有调用CW权限的角色,接口策略也是允许的?

标签: amazon-web-services amazon-cloudwatch amazon-vpc


【解决方案1】:

重新创建您的设置,但在使用与您相同的安全组时遇到了同样的问题

我发现问题是由以下出站规则引起的:

所有 TCP TCP 0 - 65535 sg-OfInterfaceEndpoint

这允许 EC2 仅连接到接口端点,而不能连接到其他任何地方。将其更改为我的 VPC (10.1.0.0/16) 的 CIDR 解决了问题,我可以使用接口端点。

我认为超时的根本原因是使用原始出站规则,您(和我的)私有实例无法连接到 VPC 的 DHCP 或 DNS 服务器。随后,无法解析logs端点的DNS名称。

【讨论】:

    猜你喜欢
    • 2023-02-07
    • 1970-01-01
    • 2020-02-07
    • 2021-11-25
    • 1970-01-01
    • 1970-01-01
    • 2019-07-05
    • 2021-05-30
    • 2021-06-22
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode