Wie behebe ich Verbindungsprobleme mit meinen Amazon VPC-Gateway-Endpunkten?
Ich möchte Verbindungsprobleme mit meinen Amazon Virtual Private Cloud (Amazon VPC)-Gateway-Endpunkten beheben.
Kurzbeschreibung
Gateway-VPC-Endpunkte ermöglichen es Ihnen, von Ihrer Amazon VPC aus eine private Verbindung zu Amazon Simple Storage Service (Amazon S3) und Amazon DynamoDB herzustellen. Verbindungsprobleme mit Gateway-VPC-Endpunkten können auf den Netzwerkzugriff oder auf Sicherheitsregeln zurückzuführen sein, die die Verbindung zulassen.
Verwenden Sie den Reachability Analyzer, um Verbindungsprobleme zu beheben. Überprüfen Sie auch die folgenden Konfigurationen:
- AWS-Regionskonfigurationen
- Die DNS-Auflösung
- Die Einstellungen der Subnetz-Routing-Tabelle
- Sicherheitsgruppen
- Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACL)-Regeln
- Die Amazon VPC-Endpunktrichtlinie
- Amazon S3-Bucket-Richtlinie
- AWS Identity and Access Management (IAM)-Richtlinie
- Der Datenfluss über den Gateway-Endpunkt
Behebung
**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Fehlerbehebung bei AWS CLI-Fehlern. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.
Den Reachability Analyzer verwenden
Verwenden Sie den Reachability Analyzer, um Verbindungsprobleme zwischen der Quelle und dem Schnittstellenendpunkt zu beheben. Weitere Informationen finden Sie unter Wie verwende ich den Amazon VPC Reachability Analyzer zur Behebung von Verbindungsproblemen mit einer Amazon VPC-Ressource?
Überprüfen Sie die Regionskonfigurationen
Gateway-Endpunkte sind nur in der Region verfügbar, in der sie erstellt wurden. Stellen Sie sicher, dass Sie Ihren Gateway-Endpunkt in derselben Region wie Ihre Amazon S3-Buckets oder DynamoDB-Tabellen erstellen. Um die Region Ihres Buckets zu ermitteln, führen Sie den AWS-CLI-Befehl get-bucket-location aus.
Bestätigen Sie außerdem die Region, wenn Sie ein SDK verwenden, um vom Gateway-Endpunkt aus auf einen Dienst zuzugreifen. Stellen Sie sicher, dass die Region für denselben Standort wie die Serviceressourcen konfiguriert ist. Verwenden Sie beispielsweise das Config-Objekt für Boto3 und aws configure für die AWS CLI.
Hinweis: Anfragen, die an eine falsche Region gesendet werden, können zu Zeitüberschreitungen oder zum Zugriff auf den Dienst über das Internet führen. Dies hängt von der Routing-Tabelle ab, die im Quellsubnetz konfiguriert ist.
Überprüfen Sie die DNS-Auflösung
Überprüfen Sie die DNS-Einstellungen in Ihrer Amazon VPC. Sie müssen die DNS-Auflösung in Ihrer Amazon VPC aktivieren. Wenn Sie Ihren eigenen DNS-Server verwenden, stellen Sie sicher, dass DNS-Anfragen an AWS-Services auf die von AWS verwalteten IP-Adressen aufgelöst werden.
Überprüfen Sie die Einstellungen der Subnetz-Routing-Tabelle
Überprüfen Sie die Einstellungen der Routing-Tabelle. Vergewissern Sie sich, dass es eine Route zu Amazon S3 und DynamoDB gibt, die den Gateway-VPC-Endpunkt verwendet.
Überprüfen Sie die Sicherheitsgruppen
Überprüfen Sie die Sicherheitsgruppen, die der Quelle zugeordnet sind, die die Verbindungen zu Amazon S3 und DynamoDB initiiert. Vergewissern Sie sich, dass die verfügbaren Regeln für ausgehenden Datenverkehr zu Amazon S3 oder DynamoDB zulassen. Wenn die Sicherheitsgruppe restriktivere Regeln als die Standardregeln für ausgehenden Datenverkehr hat, bestätigen Sie eine der folgenden Optionen:
- Es gibt eine ausgehende Regel, die Datenverkehr an die ID der Präfixliste zulässt, die dem Gateway-Amazon-VPC-Endpunkt zugeordnet ist.
- Im Ziel befindet sich ein dienstspezifischer CIDR-Block (IP-Adressbereich). Wenn es keinen dienstspezifischen CIDR-Block gibt, können Sie keinen dienstspezifischen CIDR-Block hinzufügen. Es hat sich bewährt, die vom Service bereitgestellte Präfixliste-ID zu verwenden, da AWS die IP-Adressbereiche der Präfixliste verwaltet.
Um die öffentlichen IP-CIDRs für Amazon S3 und DynamoDB in einer bestimmten Region anzuzeigen, führen Sie den AWS CLI-Befehl describe-prefix-lists aus. Ersetzen Sie example-Region durch Ihre Region:
aws ec2 describe-prefix-lists --region <example-Region>
Überprüfen Sie die Netzwerk-ACL-Regeln
Subnetznetzwerk-ACLs müssen eingehende und ausgehende TCP-Verbindungen zu Amazon S3- oder DynamoDB-Service-CIDRs innerhalb der Region zulassen. Überprüfen Sie die Netzwerk-ACL-Regeln und bestätigen Sie Folgendes:
- Vergewissern Sie sich in der Ansicht Eingehende Regeln, dass die Regeln eingehenden Rückverkehr von dem Dienst zulassen, auf den Sie über die kurzlebigen TCP-Anschlüsse 1024-65535 zugreifen möchten.
- Vergewissern Sie sich in der Ansicht Ausgehende Regeln, dass die Regeln den Datenverkehr zum CIDR-Block (IP-Adressbereich) des Dienstes unter HTTPS zulassen.
Hinweis: Standardmäßig lassen Netzwerk-ACLs den gesamten eingehenden und ausgehenden IPv4- und IPv6-Verkehr zu. Wenn Ihre Netzwerk-ACL-Regeln den Datenverkehr einschränken, geben Sie den CIDR-Block für den Dienst an, für den der Gateway-Endpunkt erstellt wurde. Es hat sich bewährt, Benachrichtigungen einzurichten, wenn sich Dienst-IP-Adressen ändern, und Skripts zu verwenden, um die Netzwerk-ACL-Regeln automatisch zu aktualisieren. Weitere Informationen finden Sie unter Wie kann ich Benachrichtigungen erhalten, um nach Änderungen der Amazon S3-IP-Adresse zu suchen?
Überprüfen der Amazon-VPC-Endpunktrichtlinie
Überprüfen Sie die Amazon VPC-Endpunktrichtlinie. Wenn Sie eine benutzerdefinierte Endpunktrichtlinie verwenden, stellen Sie sicher, dass die Richtlinie, die dem Endpunkt zugeordnet ist, den Zugriff ermöglicht, um Aktionen gegen den Dienst auszuführen. Die standardmäßige Endpunktrichtlinie ermöglicht vollen Zugriff auf den Dienst. Weitere Informationen finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.
Überprüfen der Amazon S3-Bucket-Richtlinie
Überprüfen Sie die Amazon S3-Bucket-Richtlinie und stellen Sie sicher, dass die Bucket-Richtlinie den Zugriff vom Gateway-Amazon-VPC-Endpunkt und der Amazon VPC aus ermöglicht. Weitere Informationen finden Sie unter Steuern des Zugriffs mithilfe von Bucket-Richtlinien.
Hinweis: Ihre Bucket-Richtlinie kann den Zugriff nur von einer bestimmten öffentlichen oder elastischen IP-Adresse aus einschränken, die mit einer Instance in einer Amazon VPC verknüpft ist. Ihre Bucket-Richtlinie kann den Zugriff auf der Grundlage von privaten IP-Adressen einschränken, die mit Instances verknüpft sind. Weitere Informationen finden Sie unter Zugriff auf der Grundlage bestimmter IP-Adressen verwalten.
Wenn Sie einen Proxyserver verwenden, stellen Sie sicher, dass Ihre Amazon VPC-Verbindungen über den Server zulässig sind. Wenn Sie keinen Proxyserver für Amazon S3 verwenden, führen Sie den folgenden Befehl aus, um den Proxyserver zu umgehen, wenn Sie auf Ihren Bucket zugreifen. Ersetzen Sie example-Region durch Ihre Region:
export no_proxy = mybucket.s3.<example-Region>.amazonaws.com
Überprüfen der IAM-Richtlinie
Überprüfen Sie die IAM-Richtlinie und stellen Sie sicher, dass die zugehörigen Benutzer des IAM-Benutzers oder der IAM-Rolle über die erforderlichen Berechtigungen für den Zugriff auf Amazon S3 verfügen. Weitere Informationen finden Sie unter So beschränken Sie den Amazon S3-Bucket-Zugriff auf eine bestimmte IAM-Rolle und Steuern des Zugriffs auf einen Bucket mit Benutzerrichtlinien.
Überprüfen des Datenflusses über einen Gateway-Endpunkt
Um zu überprüfen, ob der Datenverkehr über einen Gateway-Endpunkt oder Schnittstellen-Endpunkt geleitet wird, siehe Wie überprüfe ich, ob mein Amazon S3-Verkehr über einen Gateway-VPC-Endpunkt oder einen Schnittstellen-VPC-Endpunkt geleitet wird?
Ähnliche Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Jahr