Не удается подключиться к Интернету с экземпляром EC2 в частной подсети

Question

Я пытаюсь установить docker на свой экземпляр EC2 в частной подсети, в которой у меня есть SSH с использованием Jumpbox. Я даже пытался разрешить ВСЕ ДВИЖЕНИЯ в моей группе безопасности, но все равно не получилось.

sudo yum update -y
Loaded plugins: priorities, update-motd, upgrade-helper
Could not retrieve mirrorlist http://repo.us-west-1.amazonaws.com/latest/main/mirror.list error was
12: Timeout on http://repo.us-west-1.amazonaws.com/latest/main/mirror.list: (28, 'Connection timed out after 5001 milliseconds')


 One of the configured repositories failed (Unknown),
 and yum doesn't have enough cached data to continue. At this point the only
 safe thing yum can do is fail. There are a few ways to work "fix" this:

     1. Contact the upstream for the repository and get them to fix the problem.

     2. Reconfigure the baseurl/etc. for the repository, to point to a working
        upstream. This is most often useful if you are using a newer
        distribution release than is supported by the repository (and the
        packages for the previous distribution release still work).

     3. Disable the repository, so yum won't use it by default. Yum will then
        just ignore the repository until you permanently enable it again or use
        --enablerepo for temporary usage:

            yum-config-manager --disable <repoid>

     4. Configure the failing repository to be skipped, if it is unavailable.
        Note that yum will try to contact the repo. when it runs most commands,
        so will have to try and fail each time (and thus. yum will be be much
        slower). If it is a very temporary problem though, this is often a nice
        compromise:

            yum-config-manager --save --setopt=<repoid>.skip_if_unavailable=true

Cannot find a valid baseurl for repo: amzn-main/latest

Answer 1

Экземпляр Amazon EC2 в частной подсети не может напрямую взаимодействовать с Интернетом. Это сделано намеренно, поскольку это частная подсеть .

Чтобы разрешить такую ​​связь:

• Создайте NAT Gateway в публичной подсети в том же VPC
• Измените таблицу маршрутов для частной подсети, чтобы направить трафик назначения 0.0.0.0/0 на шлюз NAT

Когда экземпляр EC2 пытается получить доступ к Интернету, его запрос будет отправлен на шлюз NAT. Шлюз NAT сделает запрос от имени экземпляра и отправит ответ обратно экземпляру. Это позволяет исходящее подключение к Интернету и одновременно защищать экземпляр от входящего подключения.

Нет необходимости использовать частные подсети. Группы безопасности могут выполнять аналогичную функцию на уровне экземпляра, а не на уровне подсети.