Como solucionar problemas de conectividade de endpoints de interface da Amazon VPC?
Quero solucionar problemas de conectividade de endpoints de interface da Amazon Virtual Private Cloud (Amazon VPC).
Breve descrição
Para solucionar problemas de conectividade de endpoints de interface da Amazon VPC, verifique o seguinte:
- Resolução de nomes DNS
- Política de endpoint
- Grupo de segurança do endpoint da Amazon VPC
- Listas de controle de acesso à rede (ACLs de rede) da sub-rede
- Configuração de roteamento
- Resultados do Reachability Analyzer
- Conectividade com os endpoints de interface da Amazon VPC
Resolução
Resolução de nomes DNS
Quando nomes DNS privados são ativados, as chamadas de API da AWS podem ser executadas nos endpoints de serviço. Essas chamadas são resolvidas nos endereços IP privados dos endpoints de interface. Se os nomes DNS privados não estiverem ativados, especifique o nome DNS regional ou zonal do endpoint da Amazon VPC para executar as chamadas de API.
Para confirmar a resolução de DNS para o nome do endpoint de interface da Amazon VPC ao qual você deseja se conectar, use os comandos dig ou nslookup.
Para obter mais informações, consulte Por que não consigo resolver nomes de domínio de serviço para um endpoint de interface da VPC?
Política de endpoint
A política de endpoint padrão permite acesso total ao serviço. Ao usar uma política personalizada, certifique-se de que a política tenha as permissões necessárias para permitir o acesso para execução das ações necessárias. Para obter mais informações, consulte Controlar o acesso a endpoints da VPC usando políticas de endpoint.
Grupo de segurança do endpoint da Amazon VPC
Grupos de segurança podem ser associados a endpoints de interface da Amazon VPC para controlar o acesso. Certifique-se de que as regras de entrada do grupo de segurança permitam a comunicação com portas e protocolos com base nas portas nas quais o serviço aceita conexões.
Observação: se você criar um endpoint de interface e um grupo de segurança não estiver selecionado, o grupo de segurança padrão será usado.
ACLs de rede da sub-rede
Verifique se as ACLs de rede da sub-rede permitem conexões de entrada e saída para as interfaces de rede elástica do endpoint de interface. Certifique-se de que as conexões sejam permitidas a partir das redes de origem quando você se conectar de fora da Amazon VPC.
Para obter mais informações, consulte How do I configure security groups and network ACLs when creating a VPC interface endpoint for endpoint services?
**Configuração de roteamento **
Os endpoints de interface da Amazon VPC podem ser usados para acessar serviços de forma privada a partir da AWS ou de uma rede on-premises. Quando você se conecta a partir da mesma Amazon VPC que o endpoint de interface, a rota local gerencia o roteamento nas tabelas de rotas da sub-rede. Além disso, nenhuma configuração adicional de roteamento é necessária.
Se você se conectar ao endpoint de fora da Amazon VPC, certifique-se de que a conectividade possa ser estabelecida. Confirme a conectividade entre uma ou mais redes de origem e as sub-redes de interface de rede elástica do endpoint de interface da Amazon VPC.
Resultados do Reachability Analyzer
Use o Reachability Analyzer para solucionar problemas de conectividade entre a origem e o endpoint de interface. Para obter mais informações, consulte Como uso o Amazon VPC Reachability Analyzer para solucionar problemas de conectividade de um recurso da Amazon VPC?
Conectividade com os endpoints de interface da Amazon VPC
Para verificar se um endpoint de interface pode ser usado para acessar um serviço, use ferramentas de conectividade de rede nas portas apropriadas.
Se o DNS privado estiver ativado, execute o seguinte comando:
telnet ec2.us-east-1.amazonaws.com 443
Observação: substitua <example-private-IP-interface-endpoint-ENI> pelo endereço IP privado da interface de rede elástica do endpoint de interface.
telnet <example-private-IP-interface-endpoint-ENI> 443
Se o DNS privado estiver desativado, execute o seguinte comando:
Observação: substitua <example-vpc-endpoint-region> pelo nome DNS regional ou zonal do endpoint de interface.
telnet <example-vpc-endpoint-region>.amazonaws.com 443
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há 21 dias
- AWS OFICIALAtualizada há um mês
- AWS OFICIALAtualizada há um ano