Come posso risolvere i problemi di connettività sui miei endpoint VPC gateway e di interfaccia?

Ultimo aggiornamento: 05/04/2022

Come posso risolvere i problemi di connettività sui miei endpoint Amazon Virtual Private Cloud (Amazon VPC) del gateway e di interfaccia?

Risoluzione

La seguente risoluzione copre vari parametri importanti per stabilire connessioni end-to-end su endpoint VPC. Sono inclusi anche passaggi per la risoluzione dei problemi di connettività.

Endpoint VPC gateway

Gli endpoint VPC gateway ti consentono di connetterti ad Amazon Simple Storage Service (Amazon S3) e Amazon DynamoDB in modo privato dal tuo VPC.

Quando si utilizzano gli endpoint gateway, ci sono quattro fattori che influiscono sulla connettività ai rispettivi servizi:

  • La policy dell'endpoint,
  • La lista di controllo degli accessi (ACL) della rete della sottorete del VPC,
  • La tabella di routing della sottorete di origine,
  • I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) o AWS Lambda di origine,

Policy dell’endpoint

Quando si utilizza una policy dell’endpoint personalizzata, assicurati che la policy associata all'endpoint consenta l'accesso necessario per eseguire operazioni rispetto al servizio. La policy dell’endpoint di default consente l'accesso completo al servizio.

Per ulteriori informazioni, consulta Policy degli endpoint per gli endpoint gateway.

Lista di controllo degli accessi della rete della sottorete del VPC

Gli ACL della rete della sottorete devono consentire connessioni TCP sia in entrata che in uscita ai CIDR S3 e DynamoDB all'interno della regione AWS. È possibile visualizzare i CIDR degli IP per S3 e DynamoDB in una determinata regione AWS emettendo il seguente comando da AWS Command Line Interface (AWS CLI).

Nota: se ricevi un messaggio di errore durante l'esecuzione dei comandi AWS CLI, assicurati di utilizzare la versione più recente di AWS CLI.

aws ec2 describe-prefix-lists --region <AWS Region>

Nota: i CIDR degli indirizzi IP pubblici per i servizi AWS possono cambiare. Per assicurarti di avere tutti i CIDR consentiti nelle regole delle liste di controllo degli accessi alla rete, esegui nuovamente il comando precedente in modo intermittente per verificare la presenza di nuovi intervalli di CIDR.

Gruppi di sicurezza EC2 o Lambda di origine

I gruppi di sicurezza associati all'origine che sta avviando la connettività agli endpoint S3 e DynamoDB devono consentire quanto segue:

  • Connessioni in uscita (outbound) ai CIDR degli IP pubblici.
    -oppure-
  • L'ID elenco di prefissi per S3 e DynamoDB rispettivamente nella regione AWS interessata.

Nota: quando si configurano i gruppi di sicurezza e le regole ACL di rete, fai riferimento ai documenti relativi agli endpoint di Simple Storage Service (Amazon S3) e DynamoDB per verificare i protocolli supportati. Utilizza queste informazioni per impostare le restrizioni sul traffico.

Tabella di routing della sottorete

Quando crei l'endpoint gateway, selezionare le tabelle di routing su cui verranno installati gli instradamenti verso il servizio. Assicurati che la tabella di routing di origine contenga routing con l'ID elenco prefissi del servizio previsto che punta all'endpoint VPC del gateway.

Conferma del flusso di traffico su un endpoint gateway

Quando utilizzi gli endpoint VPC gateway, puoi eseguire tcptrace-route sulla porta 80 o 443 per confermare che il traffico stia fluendo sull'endpoint:

sudo tcptraceroute s3.us-east-1.amazonaws.com 80

traceroute to s3.us-east-1.amazonaws.com (52.217.85.238), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  s3-1.amazonaws.com (52.217.85.238) <syn,ack>  0.797 ms  1.298 ms  0.821 ms

Nell'output precedente non ci sono hop, ad eccezione della destinazione dell'endpoint S3. Questo dimostra che il traffico sta attraversando l'endpoint gateway del VPC. Se vedi più hop pubblici sulla trace-route TCP, allora il traffico sta andando su Internet.

Per ulteriori informazioni, consulta Perché non riesco a connettermi a un bucket S3 attraverso un endpoint VPC gateway?

Endpoint VPC di interfaccia (AWS PrivateLink)

Quando si lavora con gli endpoint VPC di interfaccia, verifica quanto segue:

Risoluzione dei nomi DNS

Per i servizi AWS:

Con i nomi DNS privati attivati, puoi eseguire chiamate API AWS sugli endpoint del servizio (ad esempio, ec2.us-east-1.amazonaws.com). Questi si risolvono negli IP privati delle interfacce endpoint.

Se non hai attivato i nomi DNS privati, puoi eseguire le chiamate API specificando esplicitamente il nome DNS dell'endpoint VPC regionale o zonale.

Per ulteriori informazioni, consulta Perché non riesco a risolvere i nomi di dominio del servizio per un endpoint VPC di interfaccia?

Usa i comandi dig o nslookup per verificare la risoluzione DNS per il nome dell'endpoint VPC dell'interfaccia a cui stai provando a connetterti.

Servizi endpoint (servizi gestiti da partner o clienti)

Assicurati che ci siano destinazioni nel back-end in tutte le zone di disponibilità abilitate per Network Load Balancer sul lato del provider. Per ulteriori informazioni, consulta Perché non posso connettermi a un servizio di endpoint dall'endpoint di interfaccia in Amazon VPC?

Ad esempio, supponi che il Network Load Balancer sia fornito per il servizio in due zone di disponibilità, us-east-1a e us-east-1b. Effettua il provisioning delle destinazioni in entrambe le zone di disponibilità. Se non ci sono destinazioni nelle zone di disponibilità, attiva il bilanciamento del carico tra zone per soddisfare tutte le richieste.

Policy dell’endpoint

La policy di default consente l'accesso completo al servizio. Quando utilizzi una policy personalizzata, assicurati che la policy consenta l'accesso per eseguire le operazioni rispetto al servizio.

Gruppo di sicurezza dell’endpoint VPC

Con gli endpoint VPC di interfaccia, è possibile associare gruppi di sicurezza per controllare l'accesso. Assicurati che le regole in ingresso per il gruppo di sicurezza consentano la comunicazione tra l'interfaccia di rete dell'endpoint e le risorse (VPC o on-premise) che accedono al servizio.

A seconda delle porte su cui il servizio accetta connessioni, consenti le connessioni a quella porta e quel protocollo.

Esempio:

Il Network Load Balancer del servizio endpoint è in ascolto sulle porte TCP 6169 e 8443. In questo caso, consenti il traffico TCP verso le porte 6169 e 8443 dagli indirizzi di origine appropriati sulle regole in ingresso del gruppo di sicurezza degli endpoint VPC.

Le regole in uscita del gruppo di sicurezza non vengono valutate per gli endpoint di interfaccia. Pertanto, puoi lasciarli vuoti o limitati.

ACL di rete della sottorete

Gli ACL di rete della sottorete devono consentire connessioni sia in entrata che in uscita alle interfacce di rete elastica dell'endpoint di interfaccia dalle reti di origine quando ci si connette dall'esterno del VPC.

Per ulteriori informazioni, consulta In che modo posso configurare i gruppi di sicurezza e le liste di controllo degli accessi (ACL) alla rete durante la creazione di un endpoint VPC basato su interfaccia per i servizi di endpoint?

Routing

Gli endpoint VPC di interfaccia possono essere utilizzati per accedere ai servizi in privato dall'interno di AWS o da una rete on-premise.

Quando ci si connette dallo stesso VPC dell'endpoint di interfaccia, il routing viene gestito dall’instradamento locale nelle tabelle di routing della sottorete. Pertanto, non sono necessarie configurazioni di routing aggiuntive.

Se ti stai connettendo all'endpoint dall'esterno del VPC (VPC tra regioni o rete on-premise), assicurati che sia possibile stabilire la connettività da una o più reti di origine alle sottoreti dell'interfaccia di rete elastica dell'endpoint VPC dell'interfaccia.

Test della connettività per interfacciare gli endpoint VPC

Per verificare se è possibile raggiungere il servizio utilizzando un endpoint di interfaccia, è possibile utilizzare strumenti di connettività di rete rispetto alle porte appropriate.

Di seguito è riportato un esempio di test della connettività a un endpoint di interfaccia per un servizio AWS:

telnet ec2.us-east-1.amazonaws.com 443
telnet PrivateIPofInterfaceEndpointENI 443

Di seguito è riportato un esempio di test della connettività a un endpoint di interfaccia, supponendo che il provider a cui ti stai connettendo sia in ascolto sulla porta 6169:

telnet vpce-aaaabbbbcccc-dddd.vpce-svc-12345678.us-east-1.vpce.amazonaws.com 6169
telnet PrivateIPofInterfaceEndpointENI 6169

Se utilizzi nomi di dominio, assicurati che la connessione sia stata stabilita con l'IP corretto e che abbia esito positivo. Per la verifica SSL, puoi utilizzare gli strumenti curl o OpenSSL per i test.

Per i servizi endpoint, puoi contattare il provider per risolvere i problemi relativi al Network Load Balancer.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?