EC2仮想マシンがあるとし、セキュリティグループS1からVとします。 EFS マウントポイントがあります。セキュリティグループS2ではMと呼ぶ。すべてが同じVPC、同じサブネット、同じアベイラビリティーゾーンにあります。 S1からS2へのTCPポート2049インバウンドを許可しました。両方のSGが出ました。ただし、V が M をマウントしようとしている間はタイムアウトします。 Cloudwatch は、REJECT OKV の IP アドレスを M の IP アドレスとして表示します。
すべてそうだ私にとっては、ドキュメントに記載されているように動作しますが、何かが欠けていることは明らかです。他の場所で詳細を確認できますか?
ベストアンサー1
Cloudwatch は、V の IP アドレスから M の IP アドレスに REJECT OK を表示します。
これは、VPCがVからMへのトラフィックをブロックしており、そのトラフィックがNACLまたはセキュリティグループによってブロックされていることを意味します。参照したログエントリは、このトラフィックがブロックされたネットワークインターフェイスを示します。引用するこの文書VPCフローログを読み取る方法の詳細。ネットワークインターフェイス(ENI)を調べて、ここに接続されているセキュリティグループまたはNACLを確認する必要があります。
EFSをマウントしようとしたときにタイムアウトエラーが発生する理由は4つあります。
- セキュリティグループは、ポート2049でEFSセキュリティグループの着信トラフィックを許可しません。
- そのトラフィックをブロックするNACLがあります。
- インスタンス内で実行されているファイアウォールがこのトラフィックをブロックしています。
- ネットワーク設定とルーティング(EC2インスタンスまたはVPC上)が正しく設定されていません。
- EFSまたはEC2サービスに問題があります(可能性はほとんどありませんが、この場合はヘルスチェックの失敗などの関連するエラーメッセージが表示されます)。
VPC以外のマシンにEFSをインストールするなど、より複雑な設定を使用する場合は、それに応じてトラブルシューティングの範囲を拡張する必要があります。 AWS には関連ドキュメントもあります。EFSのトラブルシューティング。