Возможные причины тайм-аута при попытке доступа к инстансу EC2

Я не могу подключиться к своему экземпляру по SSH - время операции истекло. В чем могут быть причины и что я могу сделать, чтобы решить эту проблему? Перезагрузка обычно занимает много времени и может только усугубить ситуацию.

ОБНОВЛЕНИЕ: речь идет не о разрешениях - я могу нормально войти в систему. Я подозреваю, что это может быть из-за проблем с памятью

Вы установили подходящую группу безопасности для экземпляра? Т.е. тот, который разрешает доступ из вашей сети к порту 22 экземпляра. (По умолчанию весь трафик запрещен.)

Обновление: Хорошо, это не проблема группы безопасности. Но сохраняется ли проблема, если вы запускаете другой экземпляр из того же AMI и пытаетесь получить к нему доступ? Возможно, этот конкретный экземпляр EC2 просто случайно отказал - это только вопрос времени, что что-то подобное произойдет. (Рекомендуемая литература: « Архитектура для облака: передовые методы» (PDF), доклад Джинеша Вариа, евангелиста веб-сервисов в Amazon. См. Особенно раздел «Проектирование на случай отказа, и ничего не выйдет».)

У меня была та же проблема, и решение закончилось добавлением IP моего локального компьютера в список правил для входящих подключений в активной группе безопасности. Во входящем диалоговом окне ниже введите 22 в диапазоне портов, ваш локальный IP / 32 в поле источника и оставьте «настраиваемое правило tcp» в раскрывающемся списке.

Разрушай и создавай заново

У меня была одна зона доступности, где я мог подключиться, а другая, где я не мог. Через несколько часов я так расстроился, что удалил все в этой зоне доступности.

Собирая все обратно, я должен был убедиться, что создал ВСЕ. Это включало:

• Создать VPC
  • CIDR: 10.0.0.0/24
• Создать интернет-шлюз
• Подключите интернет-шлюз к VPC
• Создать таблицу маршрутизации
• Добавить маршрут в таблицу маршрутизации
  • Destination: 0.0.0.0/0
  • Target: <Internet Gateway from earlier>
• Создать подсеть
  • CIDR: 10.0.0.0/24
  • Routing Table: <Routing Table from earlier

Мне потребовалось много усилий, чтобы понять все это. Я упорядочил шаги наиболее эффективным способом, который, на мой взгляд, может быть наиболее эффективным, но вам, возможно, придется скорректировать их, чтобы сделать один элемент доступным для следующего.

Предложение

Я не предлагаю вам заняться термоядерной реакцией, как я. Я предлагаю всю эту информацию, чтобы вы могли проверить эти ассоциации и убедиться, что они подходят.

Это ответ для глупых людей (вроде меня). Публичный DNS вашего EC2 может (изменится) после перезапуска. Если вы этого не понимаете и попытаетесь подключиться к старому общедоступному DNS по SSH, соединение остановится и истечет время ожидания. Это может привести вас к предположению, что что-то не так с вашим EC2 или группой безопасности или ... Нет, просто подключитесь по SSH к новому DNS. И обновите свой ~/.ssh/configфайл, если нужно!

Для подключения используйте ssh так:

ssh -i keyname.pem username@xxx.xx.xxx.xx

Где keyname.pemимя вашего закрытого ключа, usernameправильное имя пользователя для вашего дистрибутива ОС иxxx.xx.xxx.xx публичный IP-адрес.

Когда время ожидания истекает или происходит сбой, проверьте следующее:

Группа безопасности

Убедитесь, что у TCP-порта 22 есть правило для входящего трафика. трафика и для всех IP-адресов или для вашего IP-адреса. Вы можете найти группу безопасности через меню ec2 в параметрах экземпляра.

Таблица маршрутизации

Для новой подсети в vpc вам необходимо перейти на таблицу маршрутизации, которая указывает 0.0.0.0/0 на цель интернет-шлюза. . Когда вы создаете подсеть в своем vpc, по умолчанию она назначает таблицу маршрутизации по умолчанию, которая, вероятно, не принимает входящий трафик из Интернета. Вы можете редактировать параметры таблицы маршрутизации в меню vpc, а затем в подсетях.

Эластичный IP

Для экземпляра в vpc вам необходимо назначить общедоступный эластичный IP-адрес и связать его с экземпляром. Доступ к частному IP-адресу извне невозможен. Вы можете получить эластичный IP-адрес в меню ec2 (не в меню экземпляра).

Имя пользователя

Убедитесь, что вы используете правильное имя пользователя . Это должно быть одно из ec2-userили rootили ubuntu. При необходимости попробуйте их все.

Закрытый ключ

Убедитесь, что вы используете правильный закрытый ключ (тот, который вы загружаете или выбираете при запуске экземпляра). Кажется очевидным, но копипаст получил меня дважды.

Вы смотрели вывод консоли из экземпляра? Вы можете сделать это через консоль AWS (Экземпляры -> Щелкните правой кнопкой мыши экземпляр -> Получить системный журнал). У меня были случаи, когда сетевые службы на экземпляре EC2 не запускались правильно, что приводило к истечению времени ожидания соединений SSH; перезапуск экземпляра обычно исправлял ситуацию.

ЧЕРЕЗ 2 ЧАСА Я НАШЕЛ ЭТО

Обратите внимание, что ssh ip 120.138.105.251/32

• НЕ ЯВЛЯЕТСЯ IP-АДРЕСОМ экземпляра aws

• Это не ваш локальный ip 127.0.0.1

• Это не ваш локальный ip localhost

НО НО НО

Это ваш общедоступный IP-адрес вашего персонального компьютера, с которого вы пытаетесь получить доступ к экземпляру aws.

1. Перейдите на https://www.whatismyip.com/ с любым введенным IP-адресом. ssh.

ЕСЛИ ВЫ ХОТИТЕ ПОЛНОСТЬЮ ОТКРЫТЬ SSH ДЛЯ ВСЕХ IP-АДРЕСОВ

ТАК ПОЛНОСТЬЮ ДОСТУПНЫЕ ЗАПИСИ - РЕКОМЕНДУЕТСЯ

ЭТО ИСПОЛЬЗУЮ В ПРОИЗВОДСТВЕ

Возможны следующие проблемы:

• Наиболее вероятным является то, что группа безопасности не настроена должным образом для предоставления SSH-доступа через порт 22 к вашему IP-адресу. Изменение настроек безопасности не требует перезапуска сервера, чтобы они вступили в силу, но необходимо подождать несколько минут, чтобы это стало возможным. применимо.

• Конфигурация локального брандмауэра не разрешает доступ SSH к серверу. (вы можете попробовать другое интернет-соединение, ваш телефон / ключ, чтобы попробовать)

• Сервер не запускается должным образом (тогда проверки доступа не будут выполнены даже на консоли Amazon), и в этом случае вам нужно будет остановить и запустить сервер.

Ознакомьтесь с этой справочной страницей в документации AWS:

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html#TroubleshootingInstancesConnectionTimeout Здесь вы, вероятно, найдете свое решение. для меня эта часть исправила:

[EC2-VPC] Проверьте таблицу маршрутизации для подсети. Вам нужен маршрут, который отправляет весь трафик, предназначенный за пределами VPC, на интернет-шлюз для VPC.

• Откройте консоль Amazon VPC по адресу https://console.aws.amazon.com/vpc/ .

• На панели навигации выберите Интернет-шлюзы. Убедитесь, что к вашему VPC подключен интернет-шлюз. В противном случае выберите «Создать Интернет-шлюз» и следуйте инструкциям по созданию Интернет-шлюза, выберите Интернет-шлюз, а затем выберите «Подключить к VPC» и следуйте инструкциям, чтобы подключить его к своему VPC.

• На панели навигации выберите Подсети, а затем выберите свою подсеть.

• На вкладке Route Table убедитесь, что существует маршрут с 0.0.0.0/0 в качестве пункта назначения и интернет-шлюз для вашего VPC в качестве цели. В противном случае выберите идентификатор таблицы маршрутов (rtb-xxxxxxxx), чтобы перейти на вкладку Routes для таблицы маршрутов, выберите Edit, Add another route, введите 0.0.0.0/0 в Destination, выберите свой интернет-шлюз в Target, а затем выберите Сохранить.

Но я предлагаю вам проверить все варианты, описанные по ссылке выше, вы можете найти там одну или несколько проблем, которые у вас возникли.

Моя проблема - у меня был открыт порт 22 для «Мой IP-адрес», и я изменил подключение к Интернету и вызвал изменение IP-адреса. Так что пришлось поменять обратно.

Основываясь на @ted.straussответе, вы можете выбрать SSHи MyIPв раскрывающемся меню вместо перехода на сторонний сайт.

Просто перезагрузите экземпляр Ec2 после применения правил.

Разрешите ssh и порт 22 из ufw, затем включите его и проверьте с помощью команды status

sudo ufw allow ssh
sudo ufw allow 22
sudo ufw enable
sudo ufw status

Еще одна возможность. Группы безопасности AWS настроены для работы только с определенными входящими IP-адресами. Если ваша группа безопасности настроена таким образом, вам (или владельцу учетной записи) нужно будет добавить свой IP-адрес в группу безопасности. Для этого откройте панель управления AWS, выберите группы безопасности, выберите группу безопасности и щелкните вкладку входящих. Затем добавьте свой ip по мере необходимости.

У меня была та же проблема, и решение разрешало доступ из любого места к списку входящих правил в активной группе безопасности. Во входящем диалоговом окне введите 22 в диапазоне портов в любом месте исходного поля и выберите «ssh» в раскрывающемся списке.

PS: Это может быть не рекомендуемое решение, поскольку это означает, что этот экземпляр можно использовать ssh'ed с любого компьютера, но я не мог заставить его работать с моим локальным IP.

У меня была аналогичная проблема, когда я использовал общедоступный Wi-Fi, у которого не было пароля. Переключение интернет-соединения на безопасное соединение решило проблему.

Если доступ по SSH не работает для вашего экземпляра EC2, вам необходимо проверить:

• Группа безопасности для вашего экземпляра разрешает входящий доступ SSH (проверьте: просмотреть правила ).

Если вы используете VPC экземпляр (вы VPC ID и Subnet ID прилагается к экземпляру), проверьте:

1. На панели управления VPC найдите использованный идентификатор подсети, который привязан к вашему VPC.
2. Проверьте прикрепленную к нему таблицу маршрутов, которая должна иметь 0.0.0.0/0назначение, а ваш интернет-шлюз - цель.

В Linux вы также можете проверить информацию о маршруте в системном журнале в сети экземпляра, например:

++++++++++++++++++++++++++++++++++++++Net device info+++++++++++++++++++++++++++++++++++++++
+--------+------+------------------------------+---------------+-------+-------------------+
| Device |  Up  |           Address            |      Mask     | Scope |     Hw-Address    |
+--------+------+------------------------------+---------------+-------+-------------------+
|   lo   | True |          127.0.0.1           |   255.0.0.0   |   .   |         .         |
|  eth0  | True |         172.30.2.226         | 255.255.255.0 |   .   | 0a:70:f3:2f:82:23 |
+--------+------+------------------------------+---------------+-------+-------------------+
++++++++++++++++++++++++++++Route IPv4 info+++++++++++++++++++++++++++++
+-------+-------------+------------+---------------+-----------+-------+
| Route | Destination |  Gateway   |    Genmask    | Interface | Flags |
+-------+-------------+------------+---------------+-----------+-------+
|   0   |   0.0.0.0   | 172.30.2.1 |    0.0.0.0    |    eth0   |   UG  |
|   1   |   10.0.3.0  |  0.0.0.0   | 255.255.255.0 |   lxcbr0  |   U   |
|   2   |  172.30.2.0 |  0.0.0.0   | 255.255.255.0 |    eth0   |   U   |
+-------+-------------+------------+---------------+-----------+-------+

где UG флаги, показывающие ваш интернет-шлюз.

Дополнительные сведения см. В разделе «Устранение неполадок при подключении к вашему экземпляру» в документации Amazon.

Чтобы включить ssh-доступ из Интернета для экземпляров в подсети VPC, выполните следующие действия:

• Подключите интернет-шлюз к своему VPC.
• Убедитесь, что таблица маршрутизации вашей подсети указывает на интернет-шлюз.
• Убедитесь, что экземпляры в вашей подсети имеют глобально уникальный IP-адрес (общедоступный IPv4-адрес, эластичный IP-адрес или IPv6-адрес).
• Убедитесь, что ваш контроль доступа к сети (на уровне VPC) и правила группы безопасности (на уровне ec2) позволяют соответствующему трафику проходить к вашему экземпляру и от него. Убедитесь, что общедоступный IP-адрес вашей сети включен для обоих. По умолчанию Network AcL разрешает весь входящий и исходящий трафик, если иное не указано явно.

Для меня это был сервер apache, размещенный на экземпляре EC2 t2.micro linux, а не сам экземпляр EC2.

Я исправил это, выполнив:

sudo su

service httpd restart

У меня была такая же проблема, и я решил ее, добавив правило в группы безопасности.

Входящий SSH 0.0.0.0/0

Или вы можете добавить только свой IP-адрес

Для меня это было то, что я удалил все с загрузочного тома. И больше не мог подключиться к экземпляру.

Я работал над экземпляром, и все было нормально, уже на следующий день, когда я попытался подключиться к своему экземпляру по SSH, он сказал: «Тайм-аут соединения».

Я пытался просмотреть этот пост, но ничего не помогло. Так я и сделал -

В Edit inbound rulesстолбце из источника выберите, MY IPи он автоматически заполнит ваш общедоступный IP-адрес в формате CIDR (XXX.XXX.XXX.XX/32 ).

Я попытался ответить на @ ted.strauss, указав локальный IP-адрес, но в моем случае это не помогло. Я выбрал МОЙ IP-адрес, и это сработало.

Надеюсь, это кому-то поможет!

сначала проверьте DNS. В случае неудачи настройте правила для входящих / исходящих сообщений в мастере запуска. настроить ВСЕ трафик и ВСЕ протокол и просто сохранить с параметрами по умолчанию. Пинг снова с вашей локальной системой, а затем должен работать

Если вы только что создали новый экземпляр и не можете подключиться к нему, я смог решить проблему, прервав этот экземпляр и создав новый. Конечно, это будет работать, только если это новый экземпляр, и вы больше не работали над ним.