Es kann keine VPC-Peering-Verbindung von Amazon Lightsail hergestellt werden

8

AWS hat ein neues Barebone-VPS-Angebot, Lightsail, eine Art EC2-Lite - extrem leichtes Angebot mit nur wenigen Instanzklassen fester Größe, vereinfachter Preisgestaltung und sehr wenigen Optionen sowie einem eigenen, sehr minimalistischen Angebot Konsole, wie ich in Was ist der Unterschied zwischen Lightsail und EC2? .

Alles an diesem Service ist vereinfacht und als etwas getrennt von AWS positioniert, aber nicht wirklich. Es ist Teil Ihres AWS-Kontos, wenn Sie sich dafür anmelden, und ...

Amazon Lightsail kann andere AWS-Ressourcen anzeigen und eine Verbindung herstellen, z. B. eine Amazon RDS-Datenbank oder Amazon Aurora. Auf dieser Seite können Sie versuchen, Ihre Lightsail-VPC mit Ihrer AWS-VPC zu vergleichen. Beispielsweise möchten Sie möglicherweise Ihre Datenebene von Ihrer App trennen.

https://lightsail.aws.amazon.com/ls/webapp/account

Beachten Sie den Pessimismus. "Sie können versuchen, zu sehen." Es ist fast so, als hätten sie dieses Problem vorweggenommen.

Übrigens haben die Lightsail-Instanzen den üblichen EC2-Metadatenendpunkt und sind tatsächlich t2-Instanzen in einer "Stealth" -VPC, die Sie in Ihrer AWS-Konsole nicht sehen können. Und ich werde dieses Problem lösen, weil sie trotz ihrer Einschränkungen einige interessante Anwendungsfälle haben (z. B. eine überraschend vernünftige Berücksichtigung der internetgebundenen Bandbreite). Wie aktivieren Sie das Peering mit Ihrer vorhandenen VPC?

Es ist ein Kontrollkästchen. Keine Optionen, klicken Sie einfach auf "VPC-Peering aktivieren".

Ihre VPC-Peering-Verbindung ist fehlgeschlagen.

Sie können versuchen, das Peering erneut zu aktivieren. Wenn Sie Ihre VPC immer noch nicht mit Lightsail-Ressourcen vergleichen können, wenden Sie sich an den Kundendienst.

Ich habe es mehrmals versucht, mehrmals im Laufe von mehreren Stunden, und trotzdem ... keine Würfel, keine Diagnoseausgabe, nichts.

Überprüfen Sie die offensichtlichen Dinge, z. B. überprüfen Sie, ob keiner der CIDR-Blöcke der vorhandenen VPCs in der Region mit dem CIDR-Block der VPC in Konflikt steht, in dem sich meine Test-Lightsail-Instanz zu befinden scheint, und versuchen Sie, die VPCs zu vergleichen, während Sie angemeldet sind Der Root-Benutzer anstelle eines IAM-Benutzers zeigt nichts an ... Ich habe es sogar mit einem zweiten (vorhandenen) AWS-Konto versucht, und es hat dort auch nicht funktioniert. Gleicher Fehler.

Warum geht das nicht? Muss ich auf der AWS-Seite noch etwas tun, bevor ich versuche, VPC-Peering von Lightsail aus einzurichten?

Wenn ich mehrere VPCs in der Region habe, wie wähle ich dann aus, mit welcher (n) die versteckte Lightsail-VPC angesehen werden soll? Es scheint sehr wenig Dokumentation zu diesem Thema zu geben ... was mit der offensichtlichen Designphilosophie von Lightsail in Einklang zu stehen scheint - es gibt so wenige Optionen, dass nur sehr wenig Dokumentation benötigt werden sollte.

Michael - sqlbot
quelle

Antworten:

11

Anscheinend können Sie nicht wirklich auswählen, mit welchem ​​VPC-Lightsail versucht werden soll, mit Ihrer Standard-VPC zu vergleichen.

Sobald das VPC-Peering aktiviert ist, können Sie andere AWS-Ressourcen in Ihrer Standard-AWS-VPC mithilfe ihrer privaten IP-Adressen adressieren.

https://amazonlightsail.com/docs/#faq

Ich weiß nicht, ob ich dies ursprünglich übersehen habe oder ob es später zur Dokumentation hinzugefügt wurde. Es ist der letzte Satz eines Absatzes und ich habe ihn vielleicht einfach übersehen. In Regionen, in denen ich eine Standard-VPC habe, verwende ich diese nicht und ziehe es vor, meine eigene von Grund auf neu zu rollen.

Standard-VPC ist nicht einfach eine VPC, die Sie als "Standard" ausgewählt haben, sondern bezieht sich auf eine bestimmte VPC in jeder Region, die ursprünglich von der vorbereiteten VPC-Infrastruktur erstellt wurde.

Das Problem ist, dass Sie möglicherweise nicht in jeder Region eines davon haben ... und Sie werden genau auf das hier beschriebene Problem stoßen, wenn Sie keine Standard-VPC in der fraglichen Lightsail-Region haben (als dies ursprünglich geschrieben wurde, LightSail war nur in us-east-1 verfügbar (es wurde später in vielen anderen AWS-Regionen eingeführt). Wenn dies Ihre Situation beschreibt, können Sie sie möglicherweise selbst beheben, oder Sie müssen sich an den Support wenden. In beiden Fällen scheint die Standard-VPC die einzige VPC zu sein, mit der Lightsail vergleichbar ist.

Das Fehlen einer Standard-VPC sollte bei einem relativ neuen AWS-Konto kein Problem darstellen:

Wenn Sie Ihr AWS-Konto nach dem 04.12.2013 erstellt haben, wird nur EC2-VPC unterstützt. In diesem Fall haben Sie in jeder AWS-Region eine Standard-VPC.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/default-vpc.html

Beide Accounts habe ich anfangs mit einem etwas älteren getestet.

Ich habe heute ein neues AWS-Konto erstellt, und es überrascht nicht, dass Lightsail VPC-Peering beim ersten Versuch funktioniert hat.

Wenn nach Auswahl der entsprechenden Region auf Ihrer Seite "EC2-Dashboard" in der AWS-Konsole oben rechts auf dem Bildschirm ...

Unterstützte Plattformen

EC2

VPC

... und dort wird keine Standard-VPC erwähnt, dann fehlt Ihnen das. Möglicherweise können Sie ( Stand: 27.07.2017 ) selbst eine Standard-VPC erstellen . Andernfalls müssen Sie sich möglicherweise an den AWS-Support wenden, um die Neukonfiguration Ihres Kontos anzufordern, sodass Sie über eine Standard-VPC verfügen. Dies war der Standardprozess, der erforderlich war, bevor die Möglichkeit zum Erstellen eines eigenen Kontos verfügbar gemacht wurde. Sobald Sie eine Standard-VPC in der Region haben, sollte alles in Ordnung sein.

Da es jedoch einen kleinen Haken gibt, müssen Sie zusätzliche Schritte unternehmen, um Ihr Konto vorzubereiten, bevor Sie versuchen, eine Standard-VPC zu erstellen oder den Support zu kontaktieren.

F. Ich möchte wirklich eine Standard-VPC für mein vorhandenes EC2-Konto. Ist das möglich?

Ja, wir können jedoch nur ein vorhandenes Konto für eine Standard-VPC aktivieren, wenn Sie in dieser Region keine EC2-Classic-Ressourcen für dieses Konto haben. Darüber hinaus müssen Sie alle nicht von VPC bereitgestellten Elastic Load Balancer-, Amazon RDS-, Amazon ElastiCache- und Amazon Redshift-Ressourcen in dieser Region beenden. Nachdem Ihr Konto für eine Standard-VPC konfiguriert wurde, werden alle zukünftigen Ressourcenstarts, einschließlich Instanzen, die über die automatische Skalierung gestartet wurden, in Ihrer Standard-VPC abgelegt. Wenden Sie sich an den AWS-Support, um die Einrichtung Ihres vorhandenen Kontos mit einer Standard-VPC anzufordern. Wir überprüfen Ihre Anfrage und Ihre vorhandenen AWS-Services sowie die Präsenz von EC2-Classic, um festzustellen, ob Sie für eine Standard-VPC berechtigt sind.

https://aws.amazon.com/vpc/faqs/#Default_VPCs

Das ist der Haken - Sie verlieren dauerhaft den Zugang zu EC2-Classic - aber wenn Sie mich fragen, ist das kein wirkliches Opfer.

Wenn Ihr Konto weiterhin über "EC2 Classic" -Zugriff verfügt und die Standard-VPC auffällig fehlt, besteht die Lösung darin, von allen alten EC2 Classic-Instanzen (Nicht-VPC-Instanzen) und allen laufenden Diensten zu migrieren und diese zu beenden Neben EC2 Classic (z. B. RDS, das außerhalb von VPC ausgeführt wird) ist es wahrscheinlich keine schlechte Idee, unterstützende Entitäten wie nicht-VPC-elastische IPs, Sicherheitsgruppen usw. zu entfernen. Anschließend können Sie sich an AWS wenden und Ihr Konto neu konfigurieren "EC2-VPC" - nur in der Region, und Ihre Peering-Verbindung von Lightsail sollte erfolgreich sein.

Ich sage "sollte erfolgreich sein", da ich immer noch darauf warte, dass der AWS-Support meine angeforderte Kontoänderung "genehmigt". Diese letzte Notiz auf dem Ticket besagt, dass meine Anfrage "noch offen" ist und dieser Prozess ...

Normalerweise ziemlich schnell, aber manchmal kann es 24 bis 48 Stunden dauern, bis unser Serviceteam diese Art von Anfrage überprüft und genehmigt hat

Erfolg. Nach einigen Tagen hat der AWS-Support mein Konto neu konfiguriert. Ich habe jetzt eine Standard-VPC in der Region us-east-1, und das Klicken auf das Feld neben "VPC-Peering aktivieren" funktioniert jetzt wie erwartet. In der VPC-Konsole kann ich jetzt sehen, dass meine Standard-VPC mit der für Lightsail zugewiesenen "Stealth" -VPC gespickt ist.

Beachten Sie, dass Sie keinen kostenpflichtigen Supportplan benötigen, um AWS aufzufordern, Ihr Konto wie oben beschrieben zu aktualisieren. Sie fragen eigentlich nicht nach technischer Unterstützung. Sie können dies als Kontounterstützungsanfrage senden .

Wenn Sie auf Ressourcen in anderen VPCs in einer anderen Region als der Standard-VPC zugreifen möchten, wird dies zumindest derzeit nicht nativ unterstützt. Dies wäre für AWS als verwalteter Service komplizierter, da sie die grundlegende Bereitstellung Ihrer Standard-VPC und Lightsail-VPC steuern, jedoch keine anderen.

VPC-Peering-Verbindungen unterstützen keinen Transitverkehr. Es geht also nicht nur darum, die anderen VPCs auf Ihre Standard-VPC zu spähen und auf diese Weise eine Verbindung herzustellen. Derzeit müssen Sie TCP- oder HTTP-Proxyserver (z. B. HAProxy, ähnlich wie bei dieser Konfiguration , jedoch mit Verweisen auf Dienste oder einen ähnlichen Proxy in der Ziel-VPC als Backends) oder Instanzen bereitstellen, die ein privates zu privates Quell- und Zielnetzwerk bereitstellen Adressübersetzung (NAT) in der Standard-VPC, um die Lücke zu schließen und über eine zusätzliche Peering-Verbindung in eine andere VPC überzugehen. Die Leistung sollte ausgezeichnet sein, aber machen Sie sich unbedingt mit den Preisen für Peered VPC-Verkehr vertraut. Die Lightsail-Dokumente und EC2-Dokumente scheinen in Bezug auf die Bandbreitenkosten für Peering-Datenverkehr nicht miteinander übereinzustimmen.

Michael - sqlbot
quelle
korrekter Link zu faq aws.amazon.com/lightsail/faq
jitbit