#amazon-web-services #amazon-vpc
Вопрос:
У меня есть лямбда-функция внутри vpc, в частной подсети. Мне нужно подключиться к SQS, чтобы читать сообщения. Я настроил конечную точку интерфейса для службы sqs, но все еще не могу подключиться к SQS. Я думаю, это связано с тем, что я неправильно настроил группы безопасности и NACL для частной подсети. Может быть, мне нужно получить блоки CIDR для SQS, чтобы разрешить трафик, но я не знаю, где их взять. Мне нужна помощь, чтобы исправить это. Заранее спасибо.
Я настроил свои NaCl и SGS следующим образом :
Группа безопасности Лямбда. -Разрешает весь трафик из любого места в любое место (0.0.0.0/0)
Группа безопасности конечных точек интерфейса — Разрешает весь трафик из любого места в любое место
Подсеть NACL — Никаких правил. Отрицает все по умолчанию
Комментарии:
1. Можете ли вы предоставить подробную информацию о вашей текущей настройке?
2. @Marcin У меня есть частная подсеть внутри моего vpc. NACL для моей подсети разрешает исходящий трафик только в диапазоны IP S3 (поскольку я использую S3) и запрещает весь остальной трафик. Для входящего трафика у меня есть правила, разрешающие только диапазоны IP-адресов S3 на эфемерных портах. У меня есть группа безопасности для моей функции lambda, которая разрешает трафик только в список префиксов S3.
3. Можете ли вы предоставить фактические правила NACL и SG? Также в чем проблема? Какие-нибудь сообщения об ошибках, тайм-ауты?
4. @Marcin У меня есть следующие журналы в лямбда « Не удалось выполнить HTTP-запрос: Подключение к sqs.eu-central-1.amazonaws.com:443 ошибка: время ожидания подключения истекло « У меня нет правил, касающихся SQS в sg или nacl. По умолчанию весь трафик запрещен.
5. Вы можете отредактировать свой ответ со всеми правилами входящих и исходящих сообщений, которые у вас есть сейчас. В противном случае трудно предположить, какова ваша фактическая настройка.