Tidak dapat membuat koneksi peering VPC dari Amazon Lightsail

AWS memiliki penawaran VPS barebones baru, Lightsail, yang merupakan semacam EC2-Lite - sangat ringan - penawaran dengan hanya beberapa kelas instance ukuran tetap, harga yang disederhanakan, dan sangat sedikit pilihan, bersama dengan] miliknya sendiri yang sangat minimalis. konsol, seperti yang saya bahas dalam Apa perbedaan antara Lightsail dan EC2? .

Segala sesuatu tentang layanan ini disederhanakan, dan posisinya agak terpisah dari AWS, tetapi tidak juga. Itu bagian dari akun AWS Anda, jika Anda mendaftar untuk itu, dan ...

Amazon Lightsail dapat melihat dan terhubung ke sumber daya AWS lainnya, seperti database Amazon RDS atau Amazon Aurora. Pada halaman ini, Anda dapat mencoba mengintip Vail Lightsail Anda dengan AWS VPC Anda. Misalnya, Anda mungkin ingin memisahkan tingkat data Anda dari aplikasi Anda.

https://lightsail.aws.amazon.com/ls/webapp/account

Perhatikan pesimisme. "Kamu bisa mencoba mengintip." Hampir seolah-olah mereka mengantisipasi masalah ini.

Ngomong-ngomong, instans Lightsail memang memiliki titik akhir metadata EC2 biasa dan pada kenyataannya adalah instance t2, di dalam VPC "tersembunyi" yang tidak dapat Anda lihat di konsol AWS Anda. Dan saya akan masalah ini karena mereka memiliki beberapa kasus penggunaan yang menarik terlepas dari keterbatasan mereka (seperti penyisihan yang masuk akal untuk bandwidth internet-terikat). Jadi, bagaimana Anda mengaktifkan mengintip dengan VPC yang ada?

Ini kotak centang. Tidak ada opsi, cukup klik "Aktifkan VPC Peering."

Koneksi peering VPC Anda gagal.

Anda dapat mencoba mengaktifkan peering lagi. Jika Anda masih tidak dapat mengintip VPC Anda dengan sumber daya Lightsail, hubungi Dukungan Pelanggan.

Saya mencoba lagi, beberapa kali selama beberapa jam, dan masih ... tidak ada dadu, tidak ada hasil diagnostik, tidak ada.

Memeriksa hal-hal yang sudah jelas, seperti memverifikasi fakta bahwa tidak ada blok CIDR dari VPC yang ada di wilayah tersebut yang bertentangan dengan blok CIDR dari VPC tempat contoh Lightsail pengujian saya muncul, dan mencoba mengintip VPC saat masuk sebagai pengguna root alih-alih pengguna IAM, tidak menghasilkan apa-apa ... Saya bahkan mencobanya pada akun AWS kedua (yang sudah ada), dan itu juga tidak berhasil di sana. Kesalahan yang sama.

Mengapa ini tidak berhasil? Apakah ada hal lain yang perlu saya lakukan di sisi AWS sebelum mencoba mengatur peeling VPC dari Lightsail?

Juga, jika saya memiliki beberapa VPC di wilayah tersebut, bagaimana cara memilih yang mana Vail Lightsail yang tersembunyi akan diintip? Tampaknya ada sangat sedikit dokumentasi mengenai hal ini ... yang tampaknya konsisten dengan filosofi desain yang jelas dari Lightsail - ia memiliki begitu sedikit opsi sehingga hanya ada sedikit yang perlu didokumentasikan.

Rupanya, Anda tidak benar-benar bisa memilih Vail Lightsail yang akan coba diajak berteman - ia ingin mengintip dengan VPC Default Anda .

Setelah peering VPC diaktifkan, Anda dapat menangani sumber daya AWS lainnya di AWS VPC default Anda dengan menggunakan IP pribadi mereka.

https://amazonlightsail.com/docs/#faq

Saya tidak tahu apakah saya mengabaikan ini pada awalnya, atau apakah itu kemudian ditambahkan ke dokumentasi. Ini adalah kalimat terakhir dari sebuah paragraf dan saya mungkin mengabaikannya. Di daerah di mana saya memiliki VPC default, saya tidak menggunakannya, lebih memilih untuk "roll sendiri" dari awal.

VPC default bukan hanya VPC yang Anda pilih sebagai "default," tetapi lebih mengacu pada VPC spesifik di setiap wilayah yang awalnya dibuat oleh infrastruktur VPC, yang sudah ditentukan sebelumnya.

Masalahnya adalah, Anda mungkin tidak memiliki salah satu dari ini di setiap wilayah ... dan Anda akan menemukan masalah yang dijelaskan di sini, jika Anda tidak memiliki VPC Default di wilayah Lightsail yang bersangkutan (saat ini awalnya ditulis, LightSail hanya tersedia di us-east-1; setelah itu telah diluncurkan di banyak wilayah AWS lainnya). Jika itu menggambarkan situasi Anda, Anda mungkin dapat memperbaikinya sendiri, atau Anda mungkin perlu menghubungi dukungan. Apa pun itu, VPC Default tampaknya merupakan satu-satunya VPC yang akan ditelaah oleh Lightsail.

Tidak memiliki VPC Default seharusnya tidak menjadi masalah dengan akun AWS yang relatif baru:

Jika Anda membuat akun AWS Anda setelah 2013-12-04, itu hanya mendukung EC2-VPC. Dalam hal ini, Anda akan memiliki VPC default di setiap wilayah AWS.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/default-vpc.html

Kedua akun saya awalnya diuji dengan sedikit lebih tua dari itu.

Saya membuat akun AWS baru hari ini, dan, tidak mengherankan, peering Lightsail VPC bekerja pada upaya pertama.

Setelah memilih wilayah yang sesuai, jika halaman "EC2 Dashboard" Anda di konsol AWS, di kanan atas layar, tertulis ...

Platform yang didukung

EC2

VPC

... dan tidak disebutkan tentang VPC Default di sana, maka itulah yang Anda lewatkan. Anda mungkin ( per 2017-07-27 ) dapat membuat sendiri VPC Default . Jika gagal, Anda mungkin perlu menghubungi dukungan AWS untuk meminta mereka mengkonfigurasi ulang akun Anda sehingga Anda memiliki VPC Default, yang merupakan proses standar yang diperlukan sebelum kemampuan untuk membuat milik Anda tersedia. Setelah Anda memiliki VPC Default di wilayah tersebut, semuanya akan baik-baik saja.

Tetapi ada sedikit kesulitan, jadi Anda harus mengambil langkah-langkah tambahan untuk menyiapkan akun Anda, sebelum mencoba membuat VPC Default atau menghubungi dukungan.

P. Saya benar-benar ingin VPC default untuk akun EC2 saya yang ada. Apakah itu mungkin?

Ya, bagaimanapun, kami hanya dapat mengaktifkan akun yang ada untuk VPC default jika Anda tidak memiliki sumber daya EC2-Classic untuk akun itu di wilayah itu. Selain itu, Anda harus menghentikan semua sumber daya Penyeimbang Beban yang disediakan VPC, Amazon RDS, Amazon ElastiCache, dan sumber daya Redshift Amazon yang tidak disediakan VPC di wilayah itu. Setelah akun Anda dikonfigurasikan untuk VPC default, semua sumber daya diluncurkan di masa depan, termasuk instance yang diluncurkan melalui Penskalaan Otomatis, akan ditempatkan di VPC default Anda. Untuk meminta akun Anda yang sudah ada disiapkan dengan VPC default, hubungi Dukungan AWS. Kami akan meninjau permintaan Anda dan layanan AWS Anda yang ada dan kehadiran EC2-Classic untuk menentukan apakah Anda memenuhi syarat untuk VPC default.

https://aws.amazon.com/vpc/faqs/#Default_VPCs

Itulah masalahnya - Anda secara permanen kehilangan akses ke EC2-Classic - tetapi jika Anda bertanya kepada saya, itu tidak terlalu banyak pengorbanan.

Jadi, jika akun Anda masih memiliki akses "EC2 Classic" dan VPC default tidak ada, maka solusinya adalah bermigrasi jauh dari, dan mengakhiri, setiap instance EC2 Classic (non-VPC) lama, bersama dengan layanan apa pun yang berjalan pada atas EC2 Classic (seperti RDS yang berjalan di luar VPC), dan itu mungkin bukan ide yang buruk untuk menghapus entitas pendukung seperti IP Elastis non-VPC, Grup Keamanan, dll. Kemudian Anda dapat menghubungi AWS dan mengatur ulang akun Anda untuk "EC2-VPC" -hanya di wilayah ini, dan koneksi peering Anda dari Lightsail akan berhasil.

Saya mengatakan "harus berhasil" karena saya masih menunggu Dukungan AWS untuk "menyetujui" perubahan akun yang saya minta. Catatan terakhir pada tiket mengatakan permintaan saya "masih terbuka" dan proses ini ...

biasanya cukup cepat tetapi pada beberapa kesempatan dibutuhkan 24 - 48 jam bagi Tim Layanan kami untuk meninjau dan menyetujui jenis permintaan ini

Keberhasilan. Setelah beberapa hari, dukungan AWS mengkonfigurasi ulang akun saya. Saya sekarang memiliki VPC default di wilayah us-east-1, dan mengklik kotak di sebelah "Aktifkan VPC Peering" sekarang berfungsi seperti yang diharapkan. Di konsol VPC, sekarang saya dapat melihat bahwa VPC default saya diintip dengan VPC "tersembunyi" yang dialokasikan untuk Lightsail.

Perhatikan bahwa Anda tidak memerlukan paket dukungan berbayar untuk meminta AWS memperbarui akun Anda seperti yang telah saya jelaskan di atas. Anda sebenarnya tidak meminta dukungan teknis. Anda dapat mengirimkan ini sebagai permintaan dukungan akun .

Jika Anda ingin mengakses sumber daya di VPC lain di wilayah selain VPC Default, itu tidak didukung secara alami, setidaknya saat ini. Ini akan lebih rumit untuk ditawarkan oleh AWS sebagai layanan terkelola, karena mereka mengontrol penyediaan dasar VPC Default dan Lightsail VPC Anda, tetapi tidak yang lain.

Koneksi VPC Peering tidak mendukung lalu lintas transit , jadi ini bukan hanya masalah mengintip VPC lain ke VPC Default Anda dan menghubungkannya. Untuk saat ini, Anda perlu menggunakan server proksi TCP atau HTTP (mis. HAProxy, mirip dengan konfigurasi ini , tetapi menunjuk ke layanan atau proxy serupa di VPC target sebagai backends) atau contoh yang menyediakan sumber ke jaringan pribadi dan ke jaringan tujuan dan tujuan terjemahan alamat (NAT) dalam VPC Default untuk menjembatani kesenjangan dan menyeberang ke VPC lain melalui koneksi peering tambahan. Kinerja harus luar biasa, tetapi pastikan untuk membiasakan diri dengan harga untuk lalu lintas VPC yang mengintip. Lightsail docs dan EC2 docs tampaknya tidak konsisten satu sama lain, berkaitan dengan biaya bandwidth untuk mengintip lalu lintas.