我正在尝试连接私有(private)子网内的 EC2 主机设置,以将日志发布到云监视。我已经为 com.amazonaws.us-east-1.logs 设置了一个 VPC 接口(interface)端点。 接口(interface)端点和 EC2 都在私有(private)子网中。
我的安全组
接口(interface)端点的安全组规则
Inbound rule
Type Protocol Port Range Destination
All TCP TCP 0 - 65535 sg-OfEC2Server
Outbound rules - None
EC2 的安全组规则
Inbound rules - None
Outbound rule
Type Protocol Port Range Destination
All TCP TCP 0 - 65535 sg-OfInterfaceEndpoint
cloudwatch 代理不断超时,所以我感觉到我的安全组规则存在问题,但所有故障排除步骤都没有帮助。
最佳答案
我重新创建您的设置并在使用与您相同的安全组时遇到了同样的问题。
我发现问题是由以下出站规则引起的:
All TCP TCP 0 - 65535 sg-OfInterfaceEndpoint
这允许 EC2 仅连接到接口(interface)端点,而不是其他任何地方。将其更改为我的 VPC (10.1.0.0/16) 的 CIDR 解决了问题,我可以使用接口(interface)端点。
我认为超时的根本原因是使用原始出站规则,您(和我的)私有(private)实例无法连接到 VPC 的 DHCP 或 DNS 服务器。随后,无法解析 logs 端点的 DNS 名称。
关于amazon-web-services - Cloudwatch VPC 接口(interface)端点超时,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61946277/