当安全组和网络 ACL 允许入站流量时,为什么我无法连接到服务?

上次更新日期:2021 年 3 月 3 日

我无法连接到 Amazon Elastic Compute Cloud (Amazon EC2) 实例上运行的服务。我已启用至安全组和网络访问控制列表(网络 ACL)的必要端口的入站流量,但仍不起作用。如何修复此问题?

简短描述

安全组是有状态的,因此,允许至必要端口的入站流量将会启用连接。网络 ACL 是无状态的,因此,您必须允许入站和出站流量。

解决方法

要启用至实例上运行的服务的连接,关联的网络 ACL 必须允许:

  • 服务所侦听的端口上的入站流量
  • 至临时端口的出站流量

当客户端连接到服务器时,临时端口范围 (1024-65535) 中的随机端口将会成为客户端的源端口。

指定的临时端口将会成为服务返回流量的目标端口。必须在网络 ACL 中允许至临时端口的出站流量。有关修改网络 ACL 规则的更多信息,请参阅添加和删除规则

默认情况下,网络 ACL 允许所有的入站和出站流量。如果您的网络 ACL 具有更高的限制,则您需要显式允许至临时端口范围的流量。

注意:如果您接受来自互联网的流量,则您还必须通过互联网网关建立路由。如果您接受通过 VPN 或 Amazon Direct Connect 的流量,则您必须通过虚拟私有网关建立路由。


这篇文章对您有帮助吗?


您是否需要账单或技术支持?