Не удается установить пиринговое соединение VPC от Amazon Lightsail

У AWS есть новое базовое VPS-предложение Lightsail, которое является своего рода EC2-Lite - чрезвычайно легким - предлагает всего несколько классов экземпляров фиксированного размера, упрощенное ценообразование и очень мало опций, а также] свой собственный очень минималистичный консоль, как я уже говорил в чем разница между Lightsail и EC2? ,

Все в этом сервисе упрощено и позиционируется как нечто отдельное от AWS, но не совсем. Это часть вашей учетной записи AWS, если вы подпишитесь на нее, и ...

Amazon Lightsail может видеть и подключаться к другим ресурсам AWS, таким как база данных Amazon RDS или Amazon Aurora. На этой странице вы можете попытаться использовать ваш Lightsail VPC в AWS VPC. Например, вы можете отделить свой уровень данных от вашего приложения.

https://lightsail.aws.amazon.com/ls/webapp/account

Обратите внимание на пессимизм. «Вы можете попытаться всмотреться». Это почти как если бы они предвидели эту проблему.

Кстати, экземпляры Lightsail имеют обычную конечную точку метаданных EC2 и на самом деле являются экземплярами t2 внутри «скрытого» VPC, который вы не можете видеть в консоли AWS. И я иду к этой проблеме, потому что у них действительно есть некоторые интересные случаи использования, несмотря на их ограничения (такие как удивительно разумное допущение для связанной с Интернет пропускной способности). Итак, как вы включаете пиринг с вашим существующим VPC?

Это флажок. Нет вариантов, просто нажмите «Включить пиринг VPC».

Ваше пиринговое соединение VPC не удалось.

Вы можете попытаться снова включить пиринг. Если вы все еще не можете использовать свой VPC с помощью ресурсов Lightsail, обратитесь в службу поддержки.

Я попробовал еще раз, несколько раз в течение нескольких часов, и все же ... ни кубиков, ни диагностических данных, ничего.

Проверка очевидных вещей, например, проверка того факта, что ни один из блоков CIDR существующих VPC в регионе не конфликтует с блоком CIDR того VPC, в котором, по-видимому, находится мой тестовый экземпляр Lightsail, и попытка одноранговых VPC во время входа в систему как пользователь root, а не пользователь IAM, ничего не обнаруживает ... Я даже попробовал его на второй (существующей) учетной записи AWS, и там он тоже не работал. Та же ошибка

Почему это не работает? Есть ли что-то еще, что мне нужно сделать на стороне AWS, прежде чем пытаться настроить пиринг VPC из Lightsail?

Кроме того, если у меня есть несколько VPC в регионе, как я могу выбрать, с какими скрытыми VPC Lightsail будет работать? По-видимому, документации по этому вопросу очень мало ... что, похоже, согласуется с очевидной философией дизайна Lightsail - у него так мало вариантов, что очень мало необходимости в документации.

По-видимому, вы на самом деле не можете выбрать, с каким VPC Lightsail будет пытаться установить соединение - он хочет взаимодействовать с вашим VPC по умолчанию.

После включения пиринга VPC вы можете обращаться к другим ресурсам AWS в своем AWC VPC по умолчанию, используя их частные IP-адреса.

https://amazonlightsail.com/docs/#faq

Я не знаю, пропустил ли я это изначально или был ли он впоследствии добавлен в документацию. Это последнее предложение абзаца, и я, возможно, просто упустил его. В регионах, где у меня есть VPC по умолчанию, я не использую его, предпочитая «свернуть свой» с нуля.

VPC по умолчанию - это не просто VPC, который вы выбрали в качестве «по умолчанию», а скорее относится к конкретному VPC в каждом регионе, который изначально создается инфраструктурой VPC, предварительно подготовленной.

Проблема в том, что у вас может не быть одного из них в каждом регионе ... и вы столкнетесь именно с проблемой, описанной здесь, если у вас нет VPC по умолчанию в рассматриваемом регионе Lightsail (когда это было изначально написано, LightSail был доступен только в us-east-1; впоследствии он был запущен во многих других регионах AWS). Если это описывает вашу ситуацию, вы можете исправить ее самостоятельно или обратиться в службу поддержки. В любом случае, VPC по умолчанию является единственным VPC, с которым будет работать Lightsail.

Отсутствие Default VPC не должно быть проблемой для относительно новой учетной записи AWS:

Если вы создали свою учетную запись AWS после 2013-12-04, она поддерживает только EC2-VPC. В этом случае у вас будет VPC по умолчанию в каждом регионе AWS.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/default-vpc.html

Оба аккаунта, которые я изначально тестировал, были немного старше этого.

Сегодня я создал новую учетную запись AWS, и неудивительно, что пиринг Lightsail VPC работал с первой попытки.

После выбора соответствующего региона, если ваша страница «EC2 Dashboard» в консоли AWS в правом верхнем углу экрана говорит ...

Поддерживаемые платформы

EC2

VPC

... и там нет упоминания о Default VPC, тогда вы упускаете это. Вы можете (по состоянию на 2017-07-27 ) создать собственный VPC по умолчанию . В противном случае вам может потребоваться связаться со службой поддержки AWS, чтобы запросить переконфигурирование вашей учетной записи, чтобы у вас был VPC по умолчанию, который был стандартным процессом, который требовался до того, как появилась возможность создать свою собственную. Если у вас есть VPC по умолчанию в регионе, все должно быть хорошо.

Но есть небольшая хитрость, поэтому вам нужно будет предпринять дополнительные шаги для подготовки своей учетной записи, прежде чем пытаться создать Default VPC или обратиться в службу поддержки.

В. Мне действительно нужен VPC по умолчанию для моей существующей учетной записи EC2. Это возможно?

Да, однако, мы можем включить существующую учетную запись для VPC по умолчанию, если у вас нет ресурсов EC2-Classic для этой учетной записи в этом регионе. Кроме того, в этом регионе необходимо прекратить все ресурсы, предоставляемые не-VPC эластичными балансировщиками нагрузки, Amazon RDS, Amazon ElastiCache и Amazon Redshift. После того как ваша учетная запись настроена для VPC по умолчанию, все будущие запуски ресурсов, включая экземпляры, запускаемые с помощью автоматического масштабирования, будут помещены в ваш VPC по умолчанию. Чтобы запросить настройку существующей учетной записи с VPC по умолчанию, обратитесь в службу поддержки AWS. Мы рассмотрим ваш запрос и ваши существующие сервисы AWS и присутствие EC2-Classic, чтобы определить, имеете ли вы право на VPC по умолчанию.

https://aws.amazon.com/vpc/faqs/#Default_VPCs

В этом-то и суть - вы навсегда теряете доступ к EC2-Classic - но если вы спросите меня, это не слишком большая жертва.

Таким образом, если ваша учетная запись по-прежнему имеет доступ «EC2 Classic» и VPC по умолчанию явно отсутствует, то решение состоит в том, чтобы перейти от любых старых экземпляров EC2 Classic (не-VPC) и прекратить их работу, а также любые службы, работающие на вершина EC2 Classic (например, RDS, работающая вне VPC), и, вероятно, было бы неплохо удалить вспомогательные объекты, такие как эластичные IP-адреса не-VPC, группы безопасности и т. д. Затем вы можете связаться с AWS и настроить свою учетную запись на «EC2-VPC» - только в регионе, и ваше пиринговое соединение с Lightsail должно быть успешным.

Я говорю «должно быть успешно», потому что я все еще жду, пока служба поддержки AWS «одобрит» запрошенное изменение учетной записи. В последней записке в заявке говорится, что мой запрос "все еще открыт", и этот процесс ...

как правило, довольно быстро, но в некоторых случаях нашей команде по обслуживанию может потребоваться от 24 до 48 часов, чтобы рассмотреть и одобрить этот тип запроса

Успех. Через пару дней служба поддержки AWS перенастроила мой аккаунт. Теперь у меня есть VPC по умолчанию в регионе us-east-1, и установка флажка «Включить пиринг VPC» теперь работает, как и ожидалось. В консоли VPC теперь я вижу, что мой VPC по умолчанию настроен на «скрытый» VPC, выделенный для Lightsail.

Обратите внимание, что вам не нужен платный план поддержки, чтобы запросить у AWS обновить вашу учетную запись, как я описал выше. Вы на самом деле не обращаетесь за технической поддержкой. Вы можете отправить это как запрос поддержки учетной записи .

Если вы хотите получить доступ к ресурсам в других VPC в регионе, отличном от VPC по умолчанию, это изначально не поддерживается, по крайней мере на данный момент. Это было бы более сложным для AWS, чтобы предлагать в качестве управляемой услуги, поскольку они контролируют базовую подготовку вашего VPC по умолчанию и Lightsail VPC, но не других.

Пиринговые соединения VPC не поддерживают транзитный трафик , поэтому речь идет не просто о том, чтобы подключить другие VPC к вашему VPC по умолчанию и подключиться таким образом. На данный момент вам потребуется развернуть прокси-серверы TCP или HTTP (например, HAProxy, аналогичный этой конфигурации , но указывающий на службы или аналогичный прокси-сервер в целевом VPC в качестве бэкэндов) или экземпляры, предоставляющие частный-частный источник и сеть назначения преобразование адреса (NAT) в VPC по умолчанию для преодоления разрыва и перехода в любой другой VPC через дополнительное пиринговое соединение. Производительность должна быть отличной, но обязательно ознакомьтесь с ценами на одноранговый трафик VPC. Документы Lightsail и документы EC2 кажутся несовместимыми друг с другом в отношении затрат на пропускную способность для пирингового трафика.