Heute musste Amazon seine Instanzen neu starten, und jetzt haben unsere Produktionsserver keine ausgehenden Verbindungen mehr. (In den Sicherheitsgruppen der AWS-Konsole wurde nichts geändert.)
Ich versuche Google (8.8.8.8) anzupingen und erhalte keine Antwort. Aber wenn ich die Server untereinander pinge, verbinden sie sich.
Welche Informationen wären zur Fehlerbehebung erforderlich? Wie kann ich wieder eine Internetverbindung herstellen?
ifconfig
eth0 Link encap:Ethernet HWaddr 06:63:61:f8:dc:bc
inet addr:192.168.1.11 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::463:61ff:fef8:dcbc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1
RX packets:413185 errors:0 dropped:0 overruns:0 frame:0
TX packets:462710 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:200809359 (191.5 MiB) TX bytes:122009183 (116.3 MiB)
Interrupt:24
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:127991 errors:0 dropped:0 overruns:0 frame:0
TX packets:127991 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:62428475 (59.5 MiB) TX bytes:62428475 (59.5 MiB)
und in AWS-Sicherheitsgruppen ist es für alle offen (nur um zu verdeutlichen, dass es vor dem Neustart funktioniert hat)
linux
networking
amazon-web-services
Tzook Bar Noy
quelle
quelle
ifconfig
) als auch über die EC2-Systemsteuerung, würde sicherlich helfen.Antworten:
Klingt so, als ob Ihre NAT-Instanz ebenfalls zurückgeworfen wurde und nicht zurückkam ... Oder Sie hatten sie in einer Skalierungsgruppe und die Skalierungsgruppe hat eine neue NAT-Instanz aufgerufen, aber die Route oder die Quell- / Zielüberprüfung nicht aktualisiert.
Drei Dinge zu überprüfen ...
Funktioniert die NAT-Instanz? Wenn nicht, beenden Sie es und erstellen Sie ein neues.
Ist die Quell- / Zielüberprüfung auf der NAT-Instanz deaktiviert? Um dies zu überprüfen, gehen Sie zur EC2-Konsole, wählen Sie Ihre Instanz aus und es sollte "Source / Dest Check: False" unter dem Beschreibungsfeld stehen. Wenn dies der Fall ist, wählen Sie die Instanz aus, und gehen Sie zu Aktionen, Quell- / Zielprüfung ändern.
Ist das Routing richtig eingestellt? Gehen Sie zu Ihrem VPC-Dashboard, Subnetze, wählen Sie das private Subnetz aus, das nicht routet, und sehen Sie in der Routentabelle nach, ob Destination 0.0.0.0/0 auf die ENI der Instanz verweisen soll, auf der Ihr NAT ausgeführt wird. Hoffentlich heißt es nicht "Schwarzes Loch".
Beachten Sie, dass die Route auf ein IGW-xxxxx anstelle eines ENI-xxxxx / I-xxxxxx verweist, wenn Sie sich nicht in einem privaten Subnetz befinden
quelle