Cloudwatch VPC 接口端点超时
Cloudwatch VPC interface endpoint times out
我正在尝试连接私有子网内的 EC2 主机设置,以将日志发布到云监视。我已经为 com.amazonaws.us-east-1.logs 设置了一个 VPC 接口端点。
接口端点和 EC2 都在私有子网中。
我的安全组
接口端点的安全组规则
Inbound rule
Type Protocol Port Range Destination
All TCP TCP 0 - 65535 sg-OfEC2Server
Outbound rules - None
EC2 的安全组规则
Inbound rules - None
Outbound rule
Type Protocol Port Range Destination
All TCP TCP 0 - 65535 sg-OfInterfaceEndpoint
cloudwatch 代理不断超时,所以我感觉到我的安全组规则存在问题,但 none 的故障排除步骤有所帮助。
我重新创建了您的设置并在使用与您相同的安全组时遇到了同样的问题。
我发现问题是由以下出站规则引起的:
All TCP TCP 0 - 65535 sg-OfInterfaceEndpoint
这允许 EC2 仅连接到接口端点,而不是其他任何地方。将其更改为我的 VPC (10.1.0.0/16) 的 CIDR 解决了问题,我可以使用接口端点。
我认为超时的根本原因是使用原始出站规则,您(和我的)私有实例无法连接到 VPC 的 DHCP 或 DNS 服务器。随后,无法解析 logs 端点的 DNS 名称。
我正在尝试连接私有子网内的 EC2 主机设置,以将日志发布到云监视。我已经为 com.amazonaws.us-east-1.logs 设置了一个 VPC 接口端点。 接口端点和 EC2 都在私有子网中。
我的安全组
接口端点的安全组规则
Inbound rule
Type Protocol Port Range Destination
All TCP TCP 0 - 65535 sg-OfEC2Server
Outbound rules - None
EC2 的安全组规则
Inbound rules - None
Outbound rule
Type Protocol Port Range Destination
All TCP TCP 0 - 65535 sg-OfInterfaceEndpoint
cloudwatch 代理不断超时,所以我感觉到我的安全组规则存在问题,但 none 的故障排除步骤有所帮助。
我重新创建了您的设置并在使用与您相同的安全组时遇到了同样的问题。
我发现问题是由以下出站规则引起的:
All TCP TCP 0 - 65535 sg-OfInterfaceEndpoint
这允许 EC2 仅连接到接口端点,而不是其他任何地方。将其更改为我的 VPC (10.1.0.0/16) 的 CIDR 解决了问题,我可以使用接口端点。
我认为超时的根本原因是使用原始出站规则,您(和我的)私有实例无法连接到 VPC 的 DHCP 或 DNS 服务器。随后,无法解析 logs 端点的 DNS 名称。