Impossibile stabilire una connessione peering VPC da Amazon Lightsail

8

AWS ha una nuova offerta VPS barebone, Lightsail, che è una specie di EC2-Lite - estremamente leggera - che offre solo poche classi di istanze di dimensioni fisse, prezzi semplificati e pochissime opzioni, insieme a] una propria minimalista console, come ho discusso in Qual è la differenza tra Lightsail ed EC2? .

Tutto ciò che riguarda questo servizio è semplificato ed è postulato in qualche modo separato da AWS, ma non proprio. Fa parte del tuo account AWS, se ti registri e ...

Amazon Lightsail può visualizzare e connettersi ad altre risorse AWS, come un database Amazon RDS o Amazon Aurora. In questa pagina, puoi provare a scrutare il tuo VPC Lightsail con il tuo VPC AWS. Ad esempio, potresti voler separare il tuo livello di dati dalla tua app.

https://lightsail.aws.amazon.com/ls/webapp/account

Notare il pessimismo. "Puoi provare a scrutare." È quasi come se avessero anticipato questo problema.

A proposito, le istanze di Lightsail hanno il solito endpoint di metadati EC2 e sono in realtà istanze t2, all'interno di un VPC "invisibile" che non puoi vedere nella tua console AWS. E sto andando a questo problema perché hanno alcuni casi d'uso interessanti nonostante le loro limitazioni (come una tolleranza sorprendentemente ragionevole per la larghezza di banda legata a Internet). Quindi, come si abilita il peering con il VPC esistente?

È una casella di controllo. Nessuna opzione, fai clic su "Abilita peering VPC".

Connessione peering VPC non riuscita.

È possibile tentare di abilitare nuovamente il peering. Se non riesci ancora a scrutare il tuo VPC con risorse Lightsail, contatta l'assistenza clienti.

Ho provato di nuovo, più volte nel corso di diverse ore, e ancora ... niente dadi, nessun risultato diagnostico, niente.

Controllare le cose ovvie, come verificare il fatto che nessuno dei blocchi CIDR dei VPC esistenti nella regione sia in conflitto con il blocco CIDR del VPC in cui sembra essere presente la mia istanza di Lightsail di prova e provare a scrutare i VPC mentre si è effettuato l'accesso come l'utente root invece di un utente IAM, non presenta nulla ... L'ho anche provato su un secondo account AWS (esistente), e non ha funzionato neanche lì. Stesso errore

Perché questo non funziona? C'è qualcos'altro che devo fare sul lato AWS prima di provare a configurare il peering VPC da Lightsail?

Inoltre, se ho più VPC nella regione, come faccio a scegliere quale / i con cui verrà nascosto il VPC di Lightsail nascosto? Sembra che ci sia pochissima documentazione su questo ... che sembra coerente con l'apparente filosofia progettuale di Lightsail - ha così poche opzioni che c'è davvero poco che dovrebbe essere necessaria la documentazione.

amazon-web-services  amazon-vpc  amazon-lightsail 
Michael - sqlbot
fonte

Risposte:

11

Apparentemente, in realtà non puoi scegliere con quale VPC Lightsail proverà a scrutare: vuole fare lo peer con il tuo VPC predefinito.

Una volta abilitato il peering VPC, puoi indirizzare altre risorse AWS nel tuo VPC AWS predefinito utilizzando i loro IP privati.

https://amazonlightsail.com/docs/#faq

Non so se l'ho ignorato inizialmente o se è stato successivamente aggiunto alla documentazione. È l'ultima frase di un paragrafo e potrei averlo semplicemente trascurato. Nelle regioni in cui ho un VPC predefinito, non lo uso, preferendo "rotolare il mio" da zero.

Il VPC predefinito non è semplicemente un VPC che hai selezionato come "predefinito", ma piuttosto si riferisce a un VPC specifico in ogni regione che viene inizialmente creato dall'infrastruttura VPC, pre-provisioning.

Il problema è che potresti non avere uno di questi in ogni regione ... e riscontrerai esattamente il problema qui descritto, se non hai un VPC predefinito nella regione di Lightsail in questione (quando è stato originariamente scritto, LightSail era disponibile solo in us-east-1; successivamente è stato lanciato in molte altre regioni AWS). Se ciò descrive la tua situazione, potresti essere in grado di rimediare da solo o potresti dover contattare l'assistenza. In entrambi i casi, il VPC predefinito sembra essere l'unico VPC con cui Lightsail eseguirà il peering.

Non avere un VPC predefinito non dovrebbe essere un problema con un account AWS relativamente nuovo:

Se hai creato il tuo account AWS dopo il 04-12-2013, supporta solo EC2-VPC. In questo caso, avrai un VPC predefinito in ogni area AWS.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/default-vpc.html

Entrambi gli account che ho inizialmente testato con un po 'più vecchio di così.

Oggi ho creato un nuovo account AWS e, non a caso, il peering LightsPC VPC ha funzionato al primo tentativo.

Dopo aver selezionato l'area appropriata, se la pagina "Dashboard EC2" nella console AWS, nella parte superiore destra dello schermo, dice ...

Piattaforme supportate

EC2

VPC

... e non si fa menzione di un VPC predefinito lì, quindi è quello che ti manca. Potresti (a partire dal 27-07-2017 ) creare personalmente un VPC predefinito . In caso contrario, potrebbe essere necessario contattare l'assistenza AWS per richiedere la riconfigurazione del proprio account in modo da disporre di un VPC predefinito, che era il processo standard richiesto prima che fosse resa disponibile la possibilità di creare il proprio. Una volta che hai un VPC predefinito nella regione, tutto dovrebbe andare bene.

Ma c'è un po 'di problema, quindi dovrai prendere ulteriori misure per preparare il tuo account, prima di provare a creare un VPC predefinito o contattare l'assistenza.

D. Voglio davvero un VPC predefinito per il mio account EC2 esistente. È possibile?

Sì, tuttavia, possiamo abilitare un account esistente per un VPC predefinito solo se non hai risorse EC2-Classic per quell'account in quella regione. Inoltre, è necessario terminare tutte le risorse di bilanciamento del carico elastico con provisioning non VPC, Amazon RDS, Amazon ElastiCache e Amazon Redshift in quella regione. Dopo che l'account è stato configurato per un VPC predefinito, tutti i futuri lanci di risorse, comprese le istanze avviate tramite il ridimensionamento automatico, verranno inseriti nel VPC predefinito. Per richiedere la configurazione dell'account esistente con un VPC predefinito, contatta l'assistenza AWS. Esamineremo la tua richiesta, i tuoi servizi AWS esistenti e la presenza EC2-Classic per determinare se sei idoneo per un VPC predefinito.

https://aws.amazon.com/vpc/faqs/#Default_VPCs

Questo è il problema - perdi permanentemente l'accesso a EC2-Classic - ma se me lo chiedi, non è un gran sacrificio.

Quindi, se il tuo account ha ancora l'accesso "EC2 Classic" e il VPC predefinito è evidentemente assente, la soluzione è migrare lontano e terminare qualsiasi vecchia istanza EC2 Classic (non VPC), insieme a tutti i servizi in esecuzione parte superiore di EC2 Classic (come RDS in esecuzione al di fuori di VPC) e probabilmente non sarebbe una cattiva idea rimuovere entità di supporto come IP elastici non VPC, gruppi di sicurezza, ecc. Quindi è possibile contattare AWS e riconfigurare il proprio account in "EC2-VPC" -solo nella regione, e la tua connessione peering da Lightsail dovrebbe avere successo.

Dico "dovrei riuscire" perché sto ancora aspettando che il supporto AWS "approvi" la modifica dell'account richiesta. L'ultima nota sul biglietto dice che la mia richiesta è "ancora aperta" e questo processo è ...

di solito abbastanza veloce ma in alcune occasioni possono essere necessarie dalle 24 alle 48 ore affinché il nostro team di assistenza riesca a rivedere e approvare questo tipo di richiesta

Successo. Dopo un paio di giorni, il supporto AWS ha riconfigurato il mio account. Ora ho un VPC predefinito nell'area us-east-1 e facendo clic sulla casella accanto a "Abilita peering VPC" ora funziona come previsto. Nella console VPC, ora posso vedere che il mio VPC predefinito è sottoposto a peering con il VPC "invisibile" allocato per Lightsail.

Tieni presente che non è necessario un piano di supporto a pagamento per richiedere che AWS aggiorni il tuo account come ho descritto sopra. In realtà non stai chiedendo supporto tecnico. Puoi inviarlo come richiesta di supporto per l'account .

Se si desidera accedere alle risorse in altri VPC nell'area diversa dal VPC predefinito, non è supportato in modo nativo, almeno al momento. Ciò sarebbe più complicato per AWS da offrire come servizio gestito, poiché controllano il provisioning di base del VPC predefinito e del VPC Lightsail, ma non di altri.

Le connessioni peering VPC non supportano il traffico di transito , quindi non è solo una questione di peering degli altri VPC sul VPC predefinito e connessione in quel modo. Per ora, dovresti distribuire server proxy TCP o HTTP (ad es. HAProxy, simili a questa configurazione , ma che puntano a servizi o un proxy simile nel VPC di destinazione come backend) o istanze che forniscono una rete di origine e destinazione privata-privata traduzione dell'indirizzo (NAT) nel VPC predefinito per colmare il divario e attraversare qualsiasi altro VPC attraverso una connessione peering aggiuntiva. Le prestazioni dovrebbero essere eccellenti, ma assicurati di familiarizzare con i prezzi per il traffico VPC con peering. I documenti Lightsail e EC2 sembrano incoerenti tra loro, per quanto riguarda i costi della larghezza di banda per il peering del traffico.

Michael - sqlbot
fonte
collegamento corretto a faq aws.amazon.com/lightsail/faq
jitbit
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.