Регистрация Войти
Рейтинг:0
avatar Server

Вторичный сетевой интерфейс не может быть пропингован с помощью Amazon Linux 2 AMI

флаг ru
Cal

Краткая история: оба частных IP-адреса на первичном сетевом интерфейсе могут быть пропингованы, но оба частных IP-адреса на вторичном сетевом интерфейсе не могут быть пропингованы.

Длинная история:

На основе эта документация aws, используя Amazon Linux 2 AMI, он автоматически настроит дополнительные сетевые интерфейсы и IP-адреса.

Экземпляр micro ec2 теоретически может иметь 4 частных IP-адреса (2 сетевых интерфейса, 2 IP-адреса на каждом сетевом интерфейсе).

Мои шаги:

  1. Создайте экземпляр ec2 из Amazon Linux 2 AMI, задайте два частных IP-адреса во время создания.
  2. Свяжите эластичный IP-адрес
  3. После создания подключите дополнительный сетевой интерфейс с двумя частными IP-адресами (та же подсеть и та же группа безопасности, что и у основного сетевого адаптера).
  4. Войдите в инстанс, перезапустите сетевой интерфейс командой из документации: перезапуск сети службы sudo

IP а вывод:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    ссылка/петля 00:00:00:00:00:00 брд 00:00:00:00:00:00
    инет 127.0.0.1/8 область хоста lo
       valid_lft навсегда
    inet6 :: 1/128 узел области видимости
       valid_lft навсегда
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP group default qlen 1000
    ссылка/эфир 0e:31:86:22:95:b4 brd ff:ff:ff:ff:ff:ff
    inet 172.31.1.101/20 brd 172.31.15.255 область глобальная динамическая eth0
       valid_lft 2509 сек. selected_lft 2 509 сек.
    inet 172.31.1.102/20 brd 172.31.15.255 область глобальная вторичная eth0
       valid_lft навсегда
    ссылка на область inet6 fe80::c31:86ff:fe22:95b4/64
       valid_lft навсегда
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP group default qlen 1000
    ссылка/эфир 0e:ff:4a:aa:cb:66 brd ff:ff:ff:ff:ff:ff
    inet 172.31.2.201/20 brd 172.31.15.255 область глобальная динамическая eth1
       valid_lft 2325 секунд предпочитаемый_lft 2 325 секунд
    inet 172.31.2.202/20 brd 172.31.15.255 область глобальная вторичная eth1
       valid_lft навсегда
    inet6 fe80::cff:4aff:feaa:cb66/64 ссылка на область действия
       valid_lft навсегда

ip р вывод:

по умолчанию через 172.31.0.1 dev eth0
по умолчанию через 172.31.0.1 dev eth1 metric 10001
169.254.169.254 разработчик eth0
172.31.0.0/20 dev eth0 ссылка на протоядерную область ядра src 172.31.1.101
172.31.0.0/20 dev eth1 ссылка на область ядра proto src 172.31.2.201

IP-правило вывод:

0: из всех локальных поисковых систем
32764: из 172.31.2.202 поиск 10001
32765: из 172.31.2.201 поиск 10001
32766: из всех основных поисковых запросов
32767: из всех поисковых запросов по умолчанию

ip route показать таблицу 10001 вывод:

по умолчанию через 172.31.0.1 dev eth1
172.31.0.0/20 dev eth1 ссылка на область ядра proto src 172.31.2.201

sysctl -ar 'conf.eth.\.arp_' вывод:

net.ipv4.conf.eth0.arp_accept = 0
net.ipv4.conf.eth0.arp_announce = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.arp_ignore = 0
net.ipv4.conf.eth0.arp_notify = 0
net.ipv4.conf.eth1.arp_accept = 0
net.ipv4.conf.eth1.arp_announce = 0
net.ipv4.conf.eth1.arp_filter = 0
net.ipv4.conf.eth1.arp_ignore = 0
net.ipv4.conf.eth1.arp_notify = 0

Со всей вышеуказанной конфигурацией оба частных IP-адреса на основном сетевом интерфейсе могут быть пропингованы (из другого экземпляра ec2). Но оба IP-адреса на вторичном сетевом интерфейсе НЕ МОГУТ быть пропингованы (целевой хост недоступен).

Также установка группы безопасности на открытие для всего трафика, всех источников не помогает.

134
0 + 4
A.B avatar
флаг cl
A.B
Для полноты вам нужно добавить `ip route show table 10001`. В любом случае, полная картина схемы сети не ясна (для тех, кто плохо знает AWS). Я бы также проверил настройки arp для такого случая: `sysctl -ar 'conf.eth.\.arp_'`.
0
Ответить
флаг ru
Cal
@A.B Я добавил информацию об этих двух частях, пожалуйста, дайте мне знать, если вам нужно что-то еще. Спасибо!
0
Ответить
A.B avatar
флаг cl
A.B
Извините, знание того, как устроена сеть AWS, не помешало бы. Я могу только предложить некоторые тесты. Когда вы пытаетесь установить соединение, запустите tcpdump на клиентском хосте и два на этом целевом хосте: по одному на каждом интерфейсе. ищите как предполагаемый трафик (например, ICMP для ping), так и трафик ARP (вы можете сбросить таблицу ARP на клиенте Linux с помощью `ip neigh flush all`). Обычно вы должны видеть одну и ту же широковещательную рассылку ARP на обоих интерфейсах, иначе настройка сети не соответствует моим ожиданиям. Я действительно не знаю, как идти дальше
0
Ответить
флаг ru
Cal
@A.B Большое спасибо, позвольте мне попробовать.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.