我想解决 Amazon Virtual Private Cloud (Amazon VPC) 端点和端点服务之间的连接问题。
简述
要解决接口 Amazon VPC 端点和端点服务之间的连接问题,请检查以下配置:
- 端点连接状态
- 可用区映射
- 可用区独立性
- 网络负载均衡器响应
- 网络负载均衡器侦听器端口
- 区域 DNS 名称
- 安全组和网络访问控制列表(网络 ACL)规则
解决方案
检查端点连接状态
端点连接必须处于可用状态。如果端点连接处于待处理或已拒绝状态,则从接口端点发送到网络负载均衡器的连接都会超时。
要解决此问题,请执行以下其中一项操作:
- 向服务使用者授予创建服务接口端点的权限。有关更多信息,请参阅管理权限。
- 检查您是否接受了连接请求。如果您未接受连接请求,则服务使用者无法访问您的端点服务。
- 请求端点服务提供商接受端点连接请求以激活连接。默认情况下,端点服务提供商必须手动接受连接请求。此外,端点服务提供商可以将接受设置配置为自动接受连接请求。
检查可用区映射
要解决或防止可用区映射问题,请确保在创建资源时使用可用区 ID。有关更多信息,请参阅当我尝试映射 Amazon VPC 端点时,如何解决 “endpoint does not support the Availability Zone” 错误?
检查可用区的独立性
如果服务提供商的网络负载均衡器的区域目标不正常,则开启跨区域负载均衡。该操作会将请求发送到负载均衡器后面的正常区域,无论使用者的端点区域如何。
检查网络负载均衡器的响应
您可以模拟来自与网络负载均衡器位于同一 Amazon VPC 中的实例的连接请求。如果您没有收到预期的响应,请对网络负载均衡器进行故障排除。
检查网络负载均衡器侦听器端口
检查接口 Amazon VPC 端点是否将流量发送到网络负载均衡器的正确侦听器端口。例如,如果您的侦听器端口配置为端口 80,但流量发送至端口 443,则会出现 **“Connection refused” **错误。
检查区域 DNS 名称
如果您使用了接口 Amazon VPC 端点的区域 DNS 名称,请检查服务提供商端的区域响应能力。最佳做法是使用 AWS 区域 DNS 名称来确认请求是否已发送到正常区域。
解决服务使用者接口端点的连接问题
确保安全组和网络 ACL 规则允许流量进出端点服务。有关更多信息,请参阅如何解决我的 Amazon VPC 接口端点的连接问题?