amazon-web-services - 从 S3 VPC 终端节点安装 AWS Cloudwatch 代理
问题描述
为了保证我们在 AWS 上的资源安全,我们试图阻止我们的 EC2 实例访问互联网,除非我们明确需要它。我们有一个 EC2 实例 (Ubuntu) 正在运行,我们想在其上安装 AWS cloudwatch 代理。执行此操作的默认方法是使用 wget 从 s3 内部地址下载安装文件(如链接文章中所示)。
我们现在想用 VPC 端点替换我们的 EC2 实例对 Internet 的公共访问。我为我们所在区域的全局 S3 访问和 S3 访问创建了一个接口端点。理想情况下,EC2 实例现在将通过我们的终端节点连接到 S3 存储桶,以从 AWS 地址下载资源。
我现在如何使用 wget 从我的 EC2 实例访问文件?该文章列出了全局 s3 访问的 url 选项和区域 S3 访问的另一个 url,但我无法使用任何一个连接。这是我尝试过的一些网址示例:
wget https://accesspoint.s3-global.amazonaws.com/amazoncloudwatch-agent/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb
wget https://s3.vpce-123456.s3.eu-central-1.vpce.amazonaws.com/amazoncloudwatch-agent-eu-central-1/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb
wget https://amazoncloudwatch-agent-eu-central-1.vpce-123456.s3.eu-central-1.vpce.amazonaws.com/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb
请注意,这accesspoint.s3-global.amazonaws.com是由全局 s3 服务端点(自动)创建的内部私有 DNS 条目,并且*.vpce-123456.s3.eu-central-1.vpce.amazonaws.com是由区域 S3 服务端点创建的 DN 条目之一的示例。
解决方案
确保您已更新子网的路由表。添加将流量路由到端点网关的规则(因为我们正在谈论 S3)。
推荐阅读
- tensorflow - 编译 tensorflow 1.6+ Windows 10 no AVX
- python - 如何根据条件语句拆分数组?
- c# - 删除文档数据库成功但没有响应资源
- android - 所有库必须使用相同的版本
- javascript - 第二个或嵌套的 event.PreventDefault() 不起作用
- javascript - Angular将样式标签添加到innerHTML
- apache-beam - 使用 tensorflow 变换的 writeTransform 函数时出错
- r - Click on points on Leaflet map to generate ggplot in Shiny
- windows - 为什么从容器内部复制到挂载文件夹的文件没有出现在主机文件夹中?
- excel - Or Interior.Color Statement Excel VBA