Экземпляры Amazon AWS EC2 не имеют Интернета / неправильной конфигурации?

Question

Я могу подключиться к своим экземплярам Amazon AWS EC2 (Ubuntu) через SSH, но сами инстансы не могут подключиться к Интернету, что я заметил, когда делал

sudo apt-get update

, что приводит к таймаут .Я нарисовал диаграмму текущей конфигурации VPC и надеюсь, что кто-то может сказать мне, что не так:

Я уже контролировал правила входящих и исходящих сообщений, ноЯ не могу что-то увидеть.Может кто-нибудь помочь мне и сказать, какая у меня проблема?Может быть, у CIDR VPC есть маска суффикса 16, а у CIDR подсети есть маска суффикса 20 или что-то в этом роде?

Кстати - не могу вспомнить, что я что-то здесь изменил.

VPC "vpc-cf8f91a4"
==================
My VPC-ID is vpc-cf8f91a4

The IPv4 CIDR is 172.31.0.0/16

Route table: rtb-f0da499a

Network ACL ID: acl-05e2486f

Internet Gateway "igw-a6b7aace"
===============================
igw-a6b7aace associated with vpc-cf8f91a4

Associated 2 Subnets
====================
subnet-faefd387 172.31.32.0/20 associated with route table rtb-f0da499a

subnet-febe7f94 172.31.16.0/20 associated with route table rtb-f0da499a

Route Table "rtb-f0da499a"

 Destination | Target | Status | Propagated 

 172.31.0.0/16 | local | active | No 

 0.0.0.0/0 | igw-a6b7aace | active | No 

Answer 1

Как указано в одном из комментариев, списки ACL являются расширенной функцией, и их не рекомендуется использовать, если вы не знакомы с более низкими уровнями сетевого стека и не имеете причин использовать их, например, работа в среде с высокой степенью защиты или необходимость разделения ролей, таких как сеть и группы разработчиков.

Из предоставленной вами информации наиболее вероятная проблема заключается в том, что вы блокируете временный трафик обратного порта с помощью ACL. ACL не имеют состояния, поэтому вы должны разрешить возврат трафика.

Для большинства соединений tcp это означает 1024-65535, если вы добавите это как правило входящего ACL и проведете повторное тестирование.

Как примечание, вы не должны позволять Интернету обращаться к вашей базе данных, это очень плохая практика. Я бы порекомендовал вам создать другую подсеть, которая является частной (без маршрута IGW), и поместить туда базу данных, а не предоставлять ей публичный IP-адрес.