Не удается подключиться к AWS Transfer S3 SFTP-серверу - возможно, потребуется установить группу безопасности

Question

Я пытаюсь настроить SFTP-сервер под управлением AWS с фиксированным IP-адресом, который внешние клиенты могут занести в белый список в брандмауэре. Основываясь на этом FAQ , это то, что я должен сделать:

Вы можете включить фиксированные IP-адреса для вашей конечной точки сервера, выбрав конечную точку VP C для вашего сервера и выбрав inte rnet опция Это позволит вам подключать Elasti c IP-адреса (включая BYO-IP) к конечной точке вашего сервера, которая назначается в качестве IP-адреса конечной точки

Так что я следовал официальным инструкциям здесь в разделе «Создание конечной точки Inte rnet -Facing для вашего SFTP-сервера». Настройки создания выглядят так:

Результат выглядит следующим образом:

Сравните с результатом снимок экрана из документов:

Мой результат почти такой же за исключением того, что в таблице «Конфигурация конечной точки» в последнем столбце указано «Частный IPv4-адрес» вместо «Publi c». Это первый красный флаг. Я понятия не имею, почему это частный адрес. Это не похоже на один, это IP-адрес Elasti c IP, который я создал, и DNS-имя конечной точки s-******.server.transfer.eu-west-1.amazonaws.com преобразуется в этот IP-адрес на моей локальной машине.

Если я пингуюсь конечная точка или IP-адрес, он не работает:

451 packets transmitted, 0 received, 100% packet loss, time 460776ms

Если я пытаюсь подключиться с помощью sftp или ssh, он на некоторое время зависает, прежде чем перестает работать:

ssh: connect to host 34.****** port 22: Connection timed out
Connection closed

Другая потенциальная проблема - группы безопасности:

На этом этапе вашей конечной точке назначается выбранная по умолчанию группа безопасности VP C. Чтобы связать дополнительные или изменить существующие группы безопасности, посетите раздел «Группы безопасности» в https://console.aws.amazon.com/vpc/.

Эти инструкции не имеют смысла для меня, потому что в безопасности нет места Интерфейс групп, с помощью которого я могу назначить группу другому объекту, такому как сервер передачи. И в конфигурации сервера передачи нигде нет упоминания групп безопасности. Как установить новую группу безопасности?

Я попытался изменить группу безопасности сетевого интерфейса IP-адреса Elasti c, но получил ошибку разрешения, даже если я администратор. Видимо, я на самом деле не владею ENI? В любом случае, я не знаю, правильный ли это путь.

Answer 1

Решением было найти конечную точку, созданную для сервера, в разделе «Конечные точки» консоли VP C. Группы безопасности конечной точки можно редактировать.

«Частный IPv4-адрес» не имеет значения.

Answer 2

Группа безопасности по умолчанию управляет доступом к конечной точке с расширением inte rnet для нового сервера sftp в vp c. Возиться с правилами входа в группу безопасности по умолчанию для vp c, выбранного для сервера sftp. Или укажите в списке точный ip-адрес, который подключается к конечной точке sftp в группе безопасности по умолчанию.

Если администратор говорит «хо-хо», создайте второй vp c для сервера sftp, если изоляция абсолютно необходима. Поиграйте с группой по умолчанию в новом изолированном vp c.

Ссылка: Создание конечной точки Inte rnet -Facing для вашего сервера sftp

Счастливая передача !