Cloudwatch ведет журналы до конечной точки в частной подсети

Я обнаружил, что процесс настройки Cloudwatch в соответствии с документацией для общедоступных подсетей очень прост, когда я пришел, чтобы повторить процесс, используя конечную точку в частной подсети, я не могу заставить этот процесс работать. Я считаю, что с помощью nc и traceroute я могу видеть, как клиент пытается связаться с Интернетом, все еще сталкиваясь с ip -

BlockquoteConnectTimeout: HTTPSConnectionPool (host = 'logs.eu-west-2.amazonaws.com', port = 443): Превышено максимальное количество повторных попыток с url: / (Вызвано ConnectTimeoutError (, 'Подключение к logs.eu-west-2.amazonaws .com истекло время ожидания. (время ожидания подключения = 60) '))

Я обнаружил, что документы в конфигурации расплывчаты, я считаю, что правильно добавил маршрут в частной подсети, чтобы разрешить маршрутизацию, и я проверил и изменил свои группы безопасности, чтобы разрешить трафик HTTPS - есть ли другой способ, которым я должен проверять и устранять неполадки?


amazon-web-services amazon-cloudwatchlogs
person Zeroburn    schedule 26.07.2017    source источник
comment
Добро пожаловать в StackOverflow? Что вы подразумеваете под конечной точкой в ​​частной подсети? Что вы пытаетесь сделать с CloudWatch (возможно, отправка пользовательских показателей?). У вас есть экземпляр NAT или шлюз NAT, настроенный в вашем VPC? Не стесняйтесь редактировать свой вопрос, чтобы добавить дополнительную информацию.   -  person John Rotenstein    schedule 27.07.2017

Ответы (1)


arrow_upward
2
arrow_downward

Есть два сценария, по которым вы можете получить эту ошибку.

VPC с общедоступными и частными подсетями (NAT). Вам необходимо настроить в таблице маршрутов частной подсети маршрут по умолчанию к шлюзу NAT или экземпляру NAT в общедоступной подсети, чтобы хост logs.eu-west-2.amazonaws.com имел способ перенаправления в инфраструктуру AWS Cloudwatch Logs. Дополнительную информацию об этом типе настройки см. В документации. https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

Только частная подсеть. Вам необходимо настроить частную ссылку VPC. См. Документацию здесь https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html и образец сообщения в блоге по этой теме здесь https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/.

person JavaRocky    schedule 25.05.2018
comment
Еще одна вещь, которую нужно проверить, если вы все еще получаете тайм-аут, - это правила вашей группы безопасности для входящего и исходящего трафика. Например, для журналов облачного наблюдения необходимо включить исходящий и входящий трафик HTTPS в правилах группы безопасности. (Это отличается от DynamoDB и S3 Gateways, которые не требуют включения входящего трафика.) - person abbm; 14.12.2018