Impossible d'établir une connexion d'appairage VPC à partir d'Amazon Lightsail

8

AWS a une nouvelle offre VPS barebones, Lightsail, qui est en quelque sorte une offre EC2-Lite - extrêmement légère - avec seulement quelques classes d'instance de taille fixe, une tarification simplifiée et très peu d'options, ainsi que] sa propre très minimaliste console, comme je l'ai expliqué dans Quelle est la différence entre Lightsail et EC2? .

Tout sur ce service est simplifié, et il est présenté comme quelque peu distinct d'AWS, mais pas vraiment. Cela fait partie de votre compte AWS, si vous vous y inscrivez, et ...

Amazon Lightsail peut voir et se connecter à d'autres ressources AWS, telles qu'une base de données Amazon RDS ou Amazon Aurora. Sur cette page, vous pouvez essayer d'associer votre VPC Lightsail à votre VPC AWS. Par exemple, vous souhaiterez peut-être séparer votre niveau de données de votre application.

https://lightsail.aws.amazon.com/ls/webapp/account

Remarquez le pessimisme. "Vous pouvez essayer de regarder." C'est presque comme s'ils avaient anticipé ce problème.

Soit dit en passant, les instances Lightsail ont le point de terminaison de métadonnées EC2 habituel et sont en fait des instances t2, à l'intérieur d'un VPC "furtif" que vous ne pouvez pas voir dans votre console AWS. Et je vais à ce problème parce qu'ils ont des cas d'utilisation intéressants malgré leurs limites (comme une allocation étonnamment raisonnable pour la bande passante liée à Internet). Alors, comment activez-vous l'homologation avec votre VPC existant?

C'est une case à cocher. Aucune option, cliquez simplement sur "Activer l'homologation VPC".

Votre connexion d'appairage VPC a échoué.

Vous pouvez essayer de réactiver l'homologation. Si vous ne pouvez toujours pas égaler votre VPC avec les ressources Lightsail, contactez le support client.

J'ai essayé à nouveau, plusieurs fois en plusieurs heures, et toujours ... pas de dés, pas de sortie de diagnostic, rien.

Vérifier les choses évidentes, comme vérifier le fait qu'aucun des blocs CIDR des VPC existants dans la région n'entre en conflit avec le bloc CIDR du VPC dans lequel mon instance Lightsail de test semble être, et essayer d'appairer les VPC en étant connecté en tant que l'utilisateur root au lieu d'un utilisateur IAM, ne révèle rien ... Je l'ai même essayé sur un deuxième compte AWS (existant), et cela n'a pas fonctionné non plus. Même erreur.

Pourquoi ça ne marche pas? Y a-t-il autre chose que je dois faire du côté AWS avant d'essayer de configurer l'homologation VPC à partir de Lightsail?

De plus, si j'ai plusieurs VPC dans la région, comment choisir celui (s) avec lequel le VPC Lightsail caché sera regardé? Il semble y avoir très peu de documentation à ce sujet ... ce qui semble cohérent avec la philosophie de conception apparente de Lightsail - il y a si peu d'options qu'il y en a très peu qui devraient avoir besoin de documentation.

Michael - sqlbot
la source

Réponses:

11

Apparemment, vous ne pouvez pas réellement choisir le VPC Lightsail qui essaiera de regarder - il veut regarder avec votre VPC par défaut.

Une fois l'homologation VPC activée, vous pouvez adresser d'autres ressources AWS dans votre AWS VPC par défaut en utilisant leurs adresses IP privées.

https://amazonlightsail.com/docs/#faq

Je ne sais pas si j'ai oublié cela à l'origine, ou s'il a été ajouté par la suite à la documentation. C'est la dernière phrase d'un paragraphe et je l'ai peut-être simplement ignoré. Dans les régions où j'ai un VPC par défaut, je ne l'utilise pas, préférant "rouler le mien" à partir de zéro.

Le VPC par défaut n'est pas simplement un VPC que vous avez sélectionné comme «par défaut», mais fait plutôt référence à un VPC spécifique dans chaque région qui est initialement créé par l'infrastructure VPC, pré-provisionné.

Le problème est que vous n'en avez peut-être pas dans chaque région ... et vous rencontrerez exactement le problème décrit ici, si vous n'avez pas de VPC par défaut dans la région Lightsail en question (quand cela a été écrit à l'origine, LightSail n'était disponible que dans us-east-1; il a ensuite été lancé dans de nombreuses autres régions AWS). Si cela décrit votre situation, vous pourrez peut-être y remédier vous-même, ou vous devrez peut-être contacter le support. Quoi qu'il en soit, le VPC par défaut semble être le seul VPC avec lequel Lightsail sera pair.

Ne pas avoir de VPC par défaut ne devrait pas être un problème avec un compte AWS relativement nouveau:

Si vous avez créé votre compte AWS après le 2013-12-04, il prend uniquement en charge EC2-VPC. Dans ce cas, vous aurez un VPC par défaut dans chaque région AWS.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/default-vpc.html

Les deux comptes que j'ai testés initialement avec un peu plus vieux que cela.

J'ai créé un nouveau compte AWS aujourd'hui et, sans surprise, le peering Lightsail VPC a fonctionné à la première tentative.

Après avoir sélectionné la région appropriée, si votre page "Tableau de bord EC2" dans la console AWS, en haut à droite de l'écran, indique ...

Plateformes prises en charge

EC2

VPC

... et il n'y a aucune mention d'un VPC par défaut, alors c'est ce qui vous manque. Vous pourriez (à partir du 2017-07-27 ) pouvoir créer vous-même un VPC par défaut . À défaut, vous devrez peut-être contacter le support AWS pour leur demander de reconfigurer votre compte afin que vous disposiez d'un VPC par défaut, qui était le processus standard requis avant de pouvoir mettre à disposition le vôtre. Une fois que vous avez un VPC par défaut dans la région, tout devrait bien se passer.

Mais il y a un petit problème, vous devrez donc prendre des mesures supplémentaires pour préparer votre compte, avant d'essayer de créer un VPC par défaut ou de contacter le support.

Q. Je veux vraiment un VPC par défaut pour mon compte EC2 existant. Est-ce possible?

Oui, cependant, nous ne pouvons activer un compte existant pour un VPC par défaut que si vous ne disposez pas de ressources EC2-Classic pour ce compte dans cette région. De plus, vous devez mettre fin à toutes les ressources Elastic Load Balancers, non RPC, Amazon RDS, Amazon ElastiCache et Amazon Redshift dans cette région. Une fois que votre compte a été configuré pour un VPC par défaut, tous les futurs lancements de ressources, y compris les instances lancées via Auto Scaling, seront placés dans votre VPC par défaut. Pour demander que votre compte existant soit configuré avec un VPC par défaut, contactez le support AWS. Nous examinerons votre demande et vos services AWS existants et la présence EC2-Classic pour déterminer si vous êtes éligible pour un VPC par défaut.

https://aws.amazon.com/vpc/faqs/#Default_VPCs

C'est le problème - vous perdez définitivement l'accès à EC2-Classic - mais si vous me demandez, ce n'est pas vraiment un gros sacrifice.

Donc, si votre compte dispose toujours d'un accès "EC2 Classic" et que le VPC par défaut est manifestement absent, la solution consiste à migrer et à terminer toutes les anciennes instances EC2 Classic (non-VPC), ainsi que tous les services qui s'exécutent sur en haut d'EC2 Classic (comme RDS fonctionnant en dehors de VPC), et ce ne serait probablement pas une mauvaise idée de supprimer des entités de support telles que des adresses IP élastiques non VPC, des groupes de sécurité, etc. Ensuite, vous pouvez contacter AWS et faire reconfigurer votre compte en "EC2-VPC" uniquement dans la région et votre connexion d'appairage depuis Lightsail devrait réussir.

Je dis «devrait réussir» car j'attends toujours que le support AWS «approuve» le changement de compte demandé. Cette dernière note sur le ticket indique que ma demande est "toujours ouverte" et ce processus est ...

généralement assez rapide, mais dans certaines occasions, notre équipe de service peut prendre 24 à 48 heures pour examiner et approuver ce type de demande

Succès. Après quelques jours, le support AWS a reconfiguré mon compte. J'ai maintenant un VPC par défaut dans la région us-east-1, et cliquer sur la case à côté de "Activer l'homologation VPC" fonctionne maintenant comme prévu. Dans la console VPC, je peux maintenant voir que mon VPC par défaut est homologue avec le VPC «furtif» alloué pour Lightsail.

Notez que vous n'avez pas besoin d'un plan de support payant pour demander à AWS de mettre à jour votre compte comme je l'ai décrit ci-dessus. Vous ne demandez pas réellement de support technique. Vous pouvez soumettre cela comme une demande d' assistance de compte .

Si vous souhaitez accéder à des ressources dans d'autres VPC de la région autre que le VPC par défaut, ce n'est pas pris en charge en mode natif, du moins pour le moment. Ce serait plus compliqué pour AWS d'offrir en tant que service géré, car ils contrôlent l'approvisionnement de base de votre VPC par défaut et de votre Vail Lightsail, mais pas des autres.

Les connexions d'appairage VPC ne prennent pas en charge le trafic de transit , il ne s'agit donc pas simplement d'appairer les autres VPC à votre VPC par défaut et de se connecter de cette façon. Pour l'instant, vous devez déployer des serveurs proxy TCP ou HTTP (par exemple, HAProxy, similaire à cette configuration , mais pointant vers des services ou un proxy similaire dans le VPC cible comme backends) ou des instances fournissant un réseau source et de destination privé à privé la traduction d'adresse (NAT) dans le VPC par défaut afin de combler l'écart et de passer dans n'importe quel autre VPC via une connexion d'appairage supplémentaire. Les performances doivent être excellentes, mais assurez-vous de vous familiariser avec la tarification du trafic VPC homologue. Les documents Lightsail et EC2 semblent incompatibles entre eux, en ce qui concerne les coûts de bande passante pour le trafic d'appairage.

Michael - sqlbot
la source
lien correct vers la faq aws.amazon.com/lightsail/faq
jitbit