Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

如何對閘道 Amazon VPC 端點的連線問題進行疑難排解？

2 分的閱讀內容

我想對閘道 Amazon Virtual Private Cloud (Amazon VPC) 端點的連線問題進行疑難排解。

解決方法

閘道 VPC 端點連線問題可能是因為允許連線的網路存取或安全規則所導致。

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤，則請參閱對 AWS CLI 進行錯誤疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

使用 Reachability Analyzer

使用 Reachability Analyzer 對來源與閘道端點之間的連線問題進行疑難排解。如需詳細資訊，請參閱如何使用 Amazon VPC Reachability Analyzer 對 Amazon VPC 資源的連線問題進行疑難排解？

檢查區域組態

您僅能在建立閘道端點的區域中使用閘道端點。請務必在與 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 Amazon DynamoDB 資料表相同的區域中建立閘道端點。若要尋找儲存貯體的區域，請執行 get-bucket-location AWS CLI 命令。

此外，當您使用 SDK 以從閘道端點存取服務時，請將區域設定為與服務資源相同的位置。您可以針對 Boto3 使用 Config 物件，並針對 AWS CLI 使用 aws configure。

**注意：**傳送至錯誤區域的請求，可能會導致逾時，或允許透過網際網路存取服務。實際情形取決於您在來源子網路上設定的路由表。

檢查 DNS 解析

更新 VPC 中的 DNS 屬性以啟用 DNS 解析。如果您使用自有 DNS 伺服器，請確定將 AWS 服務的 DNS 請求解析成 AWS 維護的 IP 位址。

檢查子網路路由表設定

檢查路由表設定，以確認是否有使用閘道 VPC 端點連線至 Amazon S3 和 DynamoDB 的路由。

檢查安全群組

檢查與啟動 Amazon S3 和 DynamoDB 連線相關聯的安全群組。確認可用的傳出規則允許 Amazon S3 或 DynamoDB 的流量。如果安全群組的限制規則比預設傳出規則多，請確認下列其中一項規則：

具有一個傳出規則，允許與閘道 VPC 端點相關聯之字首清單 ID 的流量。
目的地具有一個特定服務 CIDR 區塊 (IP 位址範圍)。如果沒有服務特定 CIDR 區塊，則無法新增該類區塊。因為 AWS 管理字首清單 IP 位址範圍，所以使用服務提供的字首清單 ID 是最佳實務。

若要檢視特定區域中 Amazon S3 和 DynamoDB 的公用 IP 位址 CIDR，請執行 describe-prefix-lists AWS CLI 命令：

aws ec2 describe-prefix-lists --region example-Region

**注意：**使用您的區域取代 example-Region。

檢查網路 ACL 規則

子網路網路網路存取控制清單 (network ACL) 必須允許與區域內 Amazon S3 或 DynamoDB 服務 CIDR 的傳入和傳出 TCP 連線。

新增執行下列作業的網路 ACL 規則：

允許從您嘗試在暫時性 TCP 連接埠 1024-65535 上存取之服務的傳入傳回流量。
允許在 HTTPS 上進入服務 CIDR 區塊 (IP 位址範圍) 的流量。

**注意：**預設情況下，網路 ACL 會允許所有傳入和傳出 IPv4 和 IPv6 流量。如果您的網路 ACL 規則限制流量，請針對服務 (您已為其建立閘道端點) 指定 CIDR 區塊。最佳實務是設定服務 IP 位址變更時的通知，並使用指令碼自動更新網路 ACL 規則。如需詳細資訊，請參閱如何在 Amazon S3 變更其 IP 位址時收到通知？

檢查 VPC 端點政策

檢閱 VPC 端點政策，以判斷其是自訂政策還是預設政策。自訂端點政策必須允許存取權，以針對服務執行動作。預設端點政策允許對服務進行完整存取。如需詳細資訊，請參閱使用端點政策控制對 VPC 端點的存取。

檢查 Amazon S3 儲存貯體政策

檢閱 Amazon S3 儲存區政策，以確認政策是否允許從閘道 VPC 端點和 VPC 進行存取。如需詳細資訊，請參閱使用儲存區政策控制 VPC 端點的存取權。

**注意：**您的儲存貯體政策只能限制來自特定公用或彈性 IP 位址 (與 VPC 內的執行個體相關聯) 的存取。政策可以根據與執行個體相關聯的私有 IP 位址來限制存取。如需詳細資訊，請參閱 Amazon S3 儲存貯體政策範例。

如果您使用 Proxy 伺服器，請確認允許透過伺服器進行 VPC 連線。如果您未將 Proxy 伺服器用於 Amazon S3，請在存取儲存貯體時執行下列命令來略過 Proxy 伺服器：

export no_proxy = s3.example-Region.amazonaws.com

**注意：**請使用您的區域取代 example-Region。

檢查 IAM 政策

請檢查 AWS Identity and Access Management (IAM) 政策，以確認 IAM 使用者或角色的關聯使用者具有存取 Amazon S3 所需的權限。如需詳細資訊，請參閱如何將 Amazon S3 儲存貯體存取權限限定在特定 IAM 角色和透過使用者政策控制儲存貯體的存取權。

檢查通過閘道端點的流量

若要檢查流量是否通過閘道端點或介面端點，請參閱如何檢查 Amazon S3 流量是否通過閘道 Amazon VPC 端點或介面 Amazon VPC 端點？