Модули EKS не могут получить доступ к экземпляру EC2, работающему в общедоступной подсети в том же VPC.

Anadi Misra

29.01.2023, 07:28

Можно ли подключить узел EKS Faragte или экземпляр EC2, работающий в частной подсети, к экземпляру ec2, работающему в общедоступной подсети в том же VPC?

Когда я пытаюсь выполнить тест из «Анализатора достижимости» VPC для пути от ENI, подключенного к шлюзу NAT, до экземпляра EC2, тест проходит успешно.

Когда я бегу завиток изнутри EKS POD (который, по сути, работает как узел в частной подсети VPC) в экземпляр, работающий в общедоступной подсети того же VPC, когда время ожидания команды истекло.

Я бегу к причалу 0.0.0.0 порт 28980 в этом целевом экземпляре общедоступной подсети EC2.

239

0 + 0

амазон-веб-сервисы

Tim

29.01.2023, 08:07

Похоже на проблему с маршрутизацией. Предложите отредактировать свой вопрос, чтобы показать снимок обеих ваших таблиц маршрутизации и сообщить нам диапазон CIDR для VPC, а также для частных и общедоступных подсетей.

Ответить

Anadi Misra

29.01.2023, 12:24

Привет! проблема заключалась в том, что мы прикрепляли группы безопасности к экземпляру ec2, чтобы он блокировал трафик из-за несоответствия CIDR. Вместо этого прикреплены правила в качестве группы безопасности по умолчанию для VPC.

Ответить

Tim

29.01.2023, 17:26

Как правило, лучше всего удалить VPC по умолчанию и удалить все правила из группы безопасности по умолчанию, а также создать свои собственные группы безопасности. Различные стандарты соответствия предполагают это. Пожалуйста, ответьте на свой вопрос, чтобы он не оставался висящим :)

Ответить

Рейтинг:0

Server

Anadi Misra

30.01.2023, 14:15

Проблема была в этом

мы хотим ограничить трафик нашей VPN и Jenkins, работающим на EKS; мы собирались добавить группы безопасности в VMS, с чем стало трудно справиться.

Таким образом, мы переместили все правила безопасности в VPC Default Security, и любая виртуальная машина, подключенная к VPC, имеет эти правила. Мое предположение заключалось в том, что, поскольку VPC разрешают весь трафик внутри них, пинг частной и общедоступной подсети не будет проблемой.

Но это было не так, мне все равно пришлось добавить правило с VPC CIDR в группу безопасности VPC по умолчанию, и тогда все заработало.

0 + 0

Admin

Этот вопрос на других языках:

EN: EKS pods cannot reach EC2 instance running in public subnet wihtin the same VPC

TH: พ็อด EKS ไม่สามารถเข้าถึงอินสแตนซ์ EC2 ที่ทำงานอยู่ในซับเน็ตสาธารณะที่มี VPC เดียวกัน

RO: Pod-urile EKS nu pot ajunge la instanța EC2 care rulează în subrețea publică cu același VPC

RU: Модули EKS не могут получить доступ к экземпляру EC2, работающему в общедоступной подсети в том же VPC.

VI: Nhóm EKS không thể truy cập phiên bản EC2 đang chạy trong mạng con công cộng với cùng một VPC

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.