Como solucionar problemas de conectividade de endpoints de interface da Amazon VPC?

4 minuto de leitura
0

Quero solucionar problemas de conectividade de endpoints de interface da Amazon Virtual Private Cloud (Amazon VPC).

Breve descrição

Para solucionar problemas de conectividade de endpoints de interface da Amazon VPC, verifique o seguinte:

  • Resolução de nomes DNS
  • Política de endpoint
  • Grupo de segurança do endpoint da Amazon VPC
  • Listas de controle de acesso à rede (ACLs de rede) da sub-rede
  • Configuração de roteamento
  • Resultados do Reachability Analyzer
  • Conectividade com os endpoints de interface da Amazon VPC

Resolução

Resolução de nomes DNS

Quando nomes DNS privados são ativados, as chamadas de API da AWS podem ser executadas nos endpoints de serviço. Essas chamadas são resolvidas nos endereços IP privados dos endpoints de interface. Se os nomes DNS privados não estiverem ativados, especifique o nome DNS regional ou zonal do endpoint da Amazon VPC para executar as chamadas de API.

Para confirmar a resolução de DNS para o nome do endpoint de interface da Amazon VPC ao qual você deseja se conectar, use os comandos dig ou nslookup.

Para obter mais informações, consulte Por que não consigo resolver nomes de domínio de serviço para um endpoint de interface da VPC?

Política de endpoint

A política de endpoint padrão permite acesso total ao serviço. Ao usar uma política personalizada, certifique-se de que a política tenha as permissões necessárias para permitir o acesso para execução das ações necessárias. Para obter mais informações, consulte Controlar o acesso a endpoints da VPC usando políticas de endpoint.

Grupo de segurança do endpoint da Amazon VPC

Grupos de segurança podem ser associados a endpoints de interface da Amazon VPC para controlar o acesso. Certifique-se de que as regras de entrada do grupo de segurança permitam a comunicação com portas e protocolos com base nas portas nas quais o serviço aceita conexões.

Observação: se você criar um endpoint de interface e um grupo de segurança não estiver selecionado, o grupo de segurança padrão será usado.

ACLs de rede da sub-rede

Verifique se as ACLs de rede da sub-rede permitem conexões de entrada e saída para as interfaces de rede elástica do endpoint de interface. Certifique-se de que as conexões sejam permitidas a partir das redes de origem quando você se conectar de fora da Amazon VPC.

Para obter mais informações, consulte How do I configure security groups and network ACLs when creating a VPC interface endpoint for endpoint services?

**Configuração de roteamento **

Os endpoints de interface da Amazon VPC podem ser usados para acessar serviços de forma privada a partir da AWS ou de uma rede on-premises. Quando você se conecta a partir da mesma Amazon VPC que o endpoint de interface, a rota local gerencia o roteamento nas tabelas de rotas da sub-rede. Além disso, nenhuma configuração adicional de roteamento é necessária.

Se você se conectar ao endpoint de fora da Amazon VPC, certifique-se de que a conectividade possa ser estabelecida. Confirme a conectividade entre uma ou mais redes de origem e as sub-redes de interface de rede elástica do endpoint de interface da Amazon VPC.

Resultados do Reachability Analyzer

Use o Reachability Analyzer para solucionar problemas de conectividade entre a origem e o endpoint de interface. Para obter mais informações, consulte Como uso o Amazon VPC Reachability Analyzer para solucionar problemas de conectividade de um recurso da Amazon VPC?

Conectividade com os endpoints de interface da Amazon VPC

Para verificar se um endpoint de interface pode ser usado para acessar um serviço, use ferramentas de conectividade de rede nas portas apropriadas.

Se o DNS privado estiver ativado, execute o seguinte comando:

telnet ec2.us-east-1.amazonaws.com 443

Observação: substitua <example-private-IP-interface-endpoint-ENI> pelo endereço IP privado da interface de rede elástica do endpoint de interface.

telnet <example-private-IP-interface-endpoint-ENI> 443

Se o DNS privado estiver desativado, execute o seguinte comando:

Observação: substitua <example-vpc-endpoint-region> pelo nome DNS regional ou zonal do endpoint de interface.

telnet <example-vpc-endpoint-region>.amazonaws.com 443

Informações relacionadas

Por que não consigo me conectar a um serviço de endpoint a partir do meu endpoint de interface em uma VPC da Amazon?

AWS OFICIAL
AWS OFICIALAtualizada há um ano