我有一个 VPC,它有一个互联网网关和一些子网,这些子网使用 RAM 在多个 AWS 组织账户之间共享。VPC 受防火墙管理器管理的安全组保护,以确保将其复制到所有被授予共享子网访问权限的账户。而且,子网受 NACL 保护。NACL 和 SG 配置为允许在端口 80、443、22 和一些 ICMP 端口上进行双向通信。这一切似乎都正常工作。
但是,当我进入共享子网的帐户并将 ec2 实例启动到具有到互联网网关(公共子网)的路由的共享子网中时,我根本无法 ssh 进入 ec2 实例,而且我正在寻找一些关于我可能做错了什么的建议。
到目前为止我已经:
- 确认 NACL 允许端口 22 上的双向 TCP 连接
- 确认安全组允许端口 22 上的 TCP 连接
- 确认实例所连接的公共子网具有通向互联网网关的路由
- 确认实例具有与网络接口关联的公共 IP 地址
- 确认实例的操作系统不是问题的原因。我将完全相同的映像和配置启动到另一个未共享的 VPC 和子网,并且能够通过 SSH 进入。
- 运行网络分析器以确认互联网网关和实例的网络接口之间存在路径
- 从网络外部对实例的公共 IP 进行 ping 操作
- 从网络外部对端口和公共 IP 运行 nmap - 显示它已被过滤
是否有人有在 AWS 中共享子网的经验,并对为什么共享子网上的 ec2 实例可能不接受 ssh 连接有一些建议?提前致谢。