web-dev-qa-db-ja.com

Amazon LightsailからVPCピアリング接続を確立できません

AWSには新しいベアボーンVPSオファリングであるLightsailがあります。これはEC2-Liteの一種であり、非常に軽量です。固定サイズのインスタンスクラスがいくつかあり、価格設定が簡単で、オプションが非常に少ないだけでなく、独自の非常にミニマルなものです。 LightsailとEC2の違いは何ですか? で説明したように、コンソール。

このサービスのすべてが簡素化されており、AWSからは多少分離しているように見えますが、実際はそうではありません。サインアップした場合、それはAWSアカウントの一部です...

Amazon Lightsailは、Amazon RDSデータベースやAmazon Auroraなどの他のAWSリソースを表示して接続できます。このページでは、Lightsail VPCをAWS VPCとピアリングすることができます。たとえば、データ層をアプリから分離することができます。

https://lightsail.aws.Amazon.com/ls/webapp/account

悲観論に注意してください。 「ピアに試行できます。」彼らがこの問題を予期しているかのようです。

ちなみに、Lightsailインスタンスには通常のEC2メタデータエンドポイントがあり、実際にはt2インスタンスであり、AWSコンソールでは確認できない「ステルス」VPC内にあります。そして、これらの制限にも関わらず興味深い使用例がいくつかあるため(インターネットにバインドされた帯域幅に対する驚くほど妥当な許容量など)、この問題が発生します。では、どのようにして既存のVPCとのピアリングを有効にしますか?

チェックボックスです。オプションはありません。「VPCピアリングを有効にする」をクリックするだけです。

VPCピアリング接続に失敗しました。

ピアリングを再度有効にしてみてください。それでもVPCをLightsailリソースとピアリングできない場合は、カスタマーサポートにお問い合わせください。

数時間かけて何度か試してみましたが、それでも...サイコロ、診断結果、何もありませんでした。

明らかなことを確認します。たとえば、リージョン内の既存のVPCのCIDRブロックが、テスト用のLightsailインスタンスが存在するように見えるVPCのCIDRブロックと競合していないことを確認し、ログインしているときにVPCをピアリングしようとします。 IAMユーザーの代わりにrootユーザーが何も表示されない...私は2番目の(既存の)AWSアカウントでも試してみましたが、そこでも機能しませんでした。同じエラー。

なぜこれが機能しないのですか? LightsailからVPCピアリングを設定する前に、AWS側で何かする必要があるのですか?

また、リージョンに複数のVPCがある場合、非表示のLightsail VPCとピアリングするVPCを選択するにはどうすればよいですか?これに関するドキュメントは非常に少ないようです...これは、Lightsailの明らかな設計哲学と一致しているようです-オプションが非常に少ないため、ドキュメントが必要なものはほとんどありません。

amazon-web-servicesamazon-vpcamazon-lightsail
8
Michael - sqlbot

どうやら、実際にはどのVPC Lightsailがピアリングしようとするかを選択することはできません-デフォルトVPCとピアリングしたいのです。

VPCピアリングが有効になったら、プライベートIPを使用して、デフォルトのAWS VPC内の他のAWSリソースに対応できます。

https://amazonlightsail.com/docs/#faq

私がこれを最初に見落としたのか、それともその後ドキュメントに追加されたのかはわかりません。それは段落の最後の文であり、私は単に見落としたかもしれません。私がデフォルトのVPCを持っているリージョンでは、それを使用せず、「自分で自分でロール」することを好みます。

デフォルトVPCは単に「デフォルト」として選択したVPCではなく、最初に作成された各リージョンで 特定のVPC を参照します事前プロビジョニングされたVPCインフラストラクチャによって。

問題は、すべてのリージョンでこれらの1つが存在しない可能性があることです。問題のLightsailリージョンにデフォルトVPCがない場合(これが最初に作成されたとき、 LightSailはus-east-1でのみ利用可能でした;その後、他の多くのAWSリージョンでリリースされました)。それが自分の状況を説明している場合は、自分で解決できるか、サポートに連絡する必要があります。いずれにしても、デフォルトのVPCは、Lightsailがピアリングする唯一のVPCであるように見えます。

デフォルトのVPCがないことは、比較的新しいAWSアカウントでは問題になりません。

2013-12-04以降にAWSアカウントを作成した場合、EC2-VPCのみがサポートされます。この場合、各AWSリージョンにデフォルトのVPCがあります。

http://docs.aws.Amazon.com/AmazonVPC/latest/UserGuide/default-vpc.html

私が最初にテストした両方のアカウントは、それよりかなり古いバージョンでテストしました。

今日、新しいAWSアカウントを作成しましたが、当然のことながら、Lightsail VPCピアリングが最初の試みに取り組みました。

適切なリージョンを選択した後、画面右上の「AWSコンソール」の「EC2ダッシュボード」ページに、次のように表示されます...

サポートされているプラ​​ットフォーム

EC2

VPC

...そしてそこにデフォルトVPCについての言及がない場合、それが欠落しています。 ( 2017-07-27現在デフォルトのVPCを作成 自分でできるかもしれません。それができない場合は、AWSサポートに連絡して、アカウントを再構成してデフォルトVPCを取得するよう依頼する必要がある場合があります。リージョンにデフォルトVPCを設定すると、すべて正常に動作するはずです。

ただし、多少の落とし穴があるため、デフォルトVPCを作成したり、サポートに連絡したりする前に、アカウントを準備するための追加の手順を実行する必要があります。

Q。既存のEC2アカウントのデフォルトVPCが本当に必要です。それは可能ですか?

はい。ただし、そのリージョンにそのアカウントのEC2-Classicリソースがない場合は、既存のアカウントをデフォルトVPCに対してのみ有効にすることができます。さらに、VPC以外でプロビジョニングされたElastic Load Balancer、Amazon RDS、Amazon ElastiCache、およびそのリージョンのAmazon Redshiftリソースをすべて終了する必要があります。アカウントがデフォルトVPC用に構成された後、Auto Scalingを介して起動されたインスタンスを含む、今後のすべてのリソース起動は、デフォルトVPCに配置されます。既存のアカウントにデフォルトのVPCを設定するようリクエストするには、AWSサポートにお問い合わせください。リクエストと既存のAWSサービスとEC2-Classicの存在を確認して、デフォルトVPCの対象かどうかを判断します。

https://aws.Amazon.com/vpc/faqs/#Default_VPCs

それは問題です-EC2-Classicに永久にアクセスできなくなります-しかし、私に尋ねても、それはそれほど多くの犠牲にはなりません。

したがって、アカウントに「EC2クラシック」アクセス権があり、デフォルトのVPCが著しく存在しない場合、解決策は、実行中のサービスとともに、古いEC2クラシック(非VPC)インスタンスから移行して終了することです。 EC2クラシック(VPCの外部で実行されているRDSなど)の上部にあり、非VPCエラスティックIP、セキュリティグループなどのサポートエンティティを削除することはおそらく悪い考えではありません。その後、AWSに連絡して、アカウントを再構成できます。 「EC2-VPC」のみ-リージョンで、Lightsailからのピアリング接続は成功するはずです。

AWSサポートがリクエストされたアカウント変更を「承認」するのをまだ待っているので、「成功するはずです」と言います。チケットの最後のメモには、私のリクエストは「まだ開いている」とあり、このプロセスは...

通常は非常に迅速ですが、サービスチームがこのタイプのリクエストを確認して承認するのに24〜48時間かかる場合があります。

成功。数日後、AWSサポートは私のアカウントを再構成しました。 us-east-1リージョンにデフォルトのVPCがあり、[VPCピアリングを有効にする]の横のボックスをクリックすると、期待どおりに機能するようになりました。 VPCコンソールで、デフォルトのVPCがLightsailに割り当てられた「ステルス」VPCとピアリングされていることがわかります。

上記で説明したように、AWSにアカウントの更新をリクエストするために有料のサポートプランは必要ありません。あなたは実際に技術サポートを求めているのではありません。これをaccount supportリクエストとして送信できます。

デフォルトVPC以外のリージョンの他のVPCのリソースにアクセスする場合、少なくとも現時点では、これはネイティブでサポートされていません。 AWSがマネージドサービスとして提供する場合、デフォルトVPCとLightsail VPCの基本的なプロビジョニングのみを制御するため、これは複雑になります。

VPCピアリング接続はトランジットトラフィックをサポートしていません なので、他のVPCをデフォルトVPCにピアリングしてそのように接続するだけの問題ではありません。現時点では、TCPまたはHTTPプロキシサーバー(例:HAProxy、 this configuration と同様)をデプロイする必要がありますが、ターゲット内のサービスまたは同様のプロキシをポイントしていますバックエンドとしてのVPC)またはデフォルトのVPCでプライベートからプライベートのソースおよび宛先ネットワークアドレス変換(NAT)を提供するインスタンスにより、ギャップを埋め、追加のピアリング接続を介して他のVPCにクロスオーバーします。パフォーマンスは優れていますが、ピアリングされたVPCトラフィックの料金をよく理解してくださいピアリングトラフィックの帯域幅コストに関して、LightsailドキュメントとEC2ドキュメントは互いに矛盾しているようです。

11
Michael - sqlbot