假设我有一个 EC2 虚拟机,我们在安全组 S1 中将其称为 V。我有一个 EFS 挂载点,我们在安全组 S2 中将其称为 M。一切都位于同一个 VPC、同一个子网、同一个可用区中。我已允许从 S1 到 S2 的 TCP 端口 2049 入站。两个SG都出局了。然而,V 在尝试挂载 M 时超时。Cloudwatch 显示REJECT OK从 V 的 IP 地址到 M 的 IP 地址。
一切看起来对我来说,正如文档所描述的那样,但我显然错过了一些东西,我还能在哪里深入研究这个问题?
答案1
Cloudwatch 显示从 V 的 IP 地址到 M 的 IP 地址的 REJECT OK。
这意味着您的 VPC 正在阻止从 V 到 M 的流量,并且该流量被 NACL 或安全组阻止。您引用的日志条目应该告诉您该流量被阻止的网络接口。参考本文档有关如何读取 VPC 流日志的更多信息。您应该查看该网络接口 (ENI) 并查看附加到它的安全组或 NACL。
尝试挂载 EFS 时出现超时错误的原因有 4 个:
- 安全组不允许端口 2049 上来自 EFS 安全组的入站流量。
- 您有 NACL 阻止该流量。
- 您的实例内运行的防火墙正在阻止该流量。
- 您的网络配置和路由(在 EC2 实例或 VPC 上)配置错误。
- EFS 或 EC2 服务出现问题(可能性很小,但如果是这种情况,您将看到相关错误消息,例如状态检查失败等)
如果您使用更“复杂”的设置,例如将 EFS 安装到 VPC 外部的计算机,那么您必须相应地扩展故障排除范围。 AWS 也有相关文档EFS 故障排除。