No se puede establecer una conexión de interconexión VPC desde Amazon Lightsail

AWS tiene una nueva oferta básica de VPS, Lightsail, que es una especie de EC2-Lite, extremadamente ligera, que ofrece solo unas pocas clases de instancias de tamaño fijo, precios simplificados y muy pocas opciones, junto con] su propia versión muy minimalista. consola, como discutí en ¿Cuál es la diferencia entre Lightsail y EC2? .

Todo acerca de este servicio se simplifica y se presenta como algo separado de AWS, pero en realidad no. Es parte de su cuenta de AWS, si se registra, y ...

Amazon Lightsail puede ver y conectarse a otros recursos de AWS, como una base de datos de Amazon RDS o Amazon Aurora. En esta página, puede intentar vincular su Lightsail VPC con su AWS VPC. Por ejemplo, es posible que desee separar su nivel de datos de su aplicación.

https://lightsail.aws.amazon.com/ls/webapp/account

Fíjate en el pesimismo. "Puedes intentar mirar". Es casi como si anticiparan este problema.

Por cierto, las instancias de Lightsail tienen el punto final de metadatos EC2 habitual y, de hecho, son instancias t2, dentro de una VPC "oculta" que no puede ver en su consola AWS. Y voy a tener este problema porque tienen algunos casos de uso interesantes a pesar de sus limitaciones (como una asignación sorprendentemente razonable para el ancho de banda vinculado a Internet). Entonces, ¿cómo habilita el emparejamiento con su VPC existente?

Es una casilla de verificación. Sin opciones, solo haga clic en "Habilitar emparejamiento VPC".

Su conexión de emparejamiento VPC falló.

Puede intentar habilitar el emparejamiento nuevamente. Si aún no puede comparar su VPC con los recursos de Lightsail, comuníquese con Atención al cliente.

Lo intenté de nuevo, varias veces en el transcurso de varias horas, y aún así ... sin dados, sin resultados de diagnóstico, nada.

Verificando las cosas obvias, como verificar el hecho de que ninguno de los bloques CIDR de las VPC existentes en la región entra en conflicto con el bloque CIDR de la VPC en la que parece estar mi instancia de Lightsail de prueba e intentar ver las VPC mientras está conectado como el usuario root en lugar de un usuario de IAM, no muestra nada ... Incluso lo probé en una segunda cuenta de AWS (existente), y tampoco funcionó allí. Mismo error.

¿Por qué esto no funciona? ¿Hay algo más que deba hacer en el lado de AWS antes de intentar configurar el emparejamiento de VPC desde Lightsail?

Además, si tengo varios VPC en la región, ¿cómo elijo con cuál (es) se emparejará el VPC Lightsail oculto? Parece que hay muy poca documentación sobre esto ... lo que parece coherente con la aparente filosofía de diseño de Lightsail: tiene tan pocas opciones que hay muy poca que deba necesitar documentación.

Aparentemente, en realidad no puede elegir con qué VPC Lightsail tratará de emparejarse, quiere emparejarse con su VPC predeterminada.

Una vez que se habilita el emparejamiento de VPC, puede direccionar otros recursos de AWS en su VPC de AWS predeterminada utilizando sus IP privadas.

https://amazonlightsail.com/docs/#faq

No sé si pasé por alto esto originalmente, o si posteriormente se agregó a la documentación. Es la última oración de un párrafo y puede que simplemente lo haya pasado por alto. En las regiones donde tengo una VPC predeterminada, no la uso, prefiero "rodar la mía" desde cero.

La VPC predeterminada no es simplemente una VPC que ha seleccionado como "la predeterminada", sino que se refiere a una VPC específica en cada región creada inicialmente por la infraestructura de VPC, aprovisionada previamente.

El problema es que es posible que no tenga uno de estos en cada región ... y encontrará exactamente el problema descrito aquí, si no tiene una VPC predeterminada en la región de Lightsail en cuestión (cuando esto se escribió originalmente, LightSail solo estaba disponible en us-east-1; posteriormente se lanzó en muchas de las otras regiones de AWS). Si eso describe su situación, es posible que pueda remediarlo usted mismo o deba ponerse en contacto con el servicio de asistencia. De cualquier manera, la VPC predeterminada parece ser la única VPC con la que se emparejará Lightsail.

No tener una VPC predeterminada no debería ser un problema con una cuenta de AWS relativamente nueva:

Si creó su cuenta de AWS después del 04/12/2013, solo es compatible con EC2-VPC. En este caso, tendrá una VPC predeterminada en cada región de AWS.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/default-vpc.html

Ambas cuentas las probé inicialmente con un poco más antiguo que eso.

Creé una nueva cuenta de AWS hoy y, como era de esperar, el emparejamiento de Lightsail VPC funcionó en el primer intento.

Después de seleccionar la región apropiada, si su página "Panel de control EC2" en la consola de AWS, en la parte superior derecha de la pantalla, dice ...

Plataformas Soportadas

EC2

VPC

... y no hay mención de una VPC predeterminada allí, entonces eso es lo que te estás perdiendo. Es posible que (a partir del 2017-07-27 ) pueda crear una VPC predeterminada usted mismo. De lo contrario, es posible que deba ponerse en contacto con el soporte de AWS para solicitar que reconfiguren su cuenta para que tenga una VPC predeterminada, que era el proceso estándar que se requería antes de que la capacidad de crear la suya estuviera disponible. Una vez que tenga una VPC predeterminada en la región, todo debería estar bien.

Pero hay un poco de problema, por lo que deberá tomar medidas adicionales para preparar su cuenta, antes de intentar crear una VPC predeterminada o ponerse en contacto con el soporte.

P. Realmente quiero una VPC predeterminada para mi cuenta EC2 existente. ¿Es eso posible?

Sí, sin embargo, solo podemos habilitar una cuenta existente para una VPC predeterminada si no tiene recursos EC2-Classic para esa cuenta en esa región. Además, debe finalizar todos los Equilibradores de carga elásticos no provistos por VPC, Amazon RDS, Amazon ElastiCache y Amazon Redshift en esa región. Después de que su cuenta se haya configurado para una VPC predeterminada, todos los futuros lanzamientos de recursos, incluidas las instancias iniciadas mediante Auto Scaling, se colocarán en su VPC predeterminada. Para solicitar que su cuenta existente se configure con una VPC predeterminada, comuníquese con el Soporte de AWS. Revisaremos su solicitud y sus servicios de AWS existentes y su presencia EC2-Classic para determinar si usted es elegible para una VPC predeterminada.

https://aws.amazon.com/vpc/faqs/#Default_VPCs

Esa es la trampa: siempre pierdes acceso a EC2-Classic, pero si me preguntas, eso no es realmente un gran sacrificio.

Por lo tanto, si su cuenta todavía tiene acceso "EC2 Classic" y la VPC predeterminada está ausente, entonces la solución es migrar y terminar cualquier instancia antigua de EC2 Classic (no VPC), junto con los servicios que se ejecutan en parte superior de EC2 Classic (como RDS que se ejecuta fuera de VPC), y probablemente no sería una mala idea eliminar entidades de soporte como IP elásticas, grupos de seguridad, etc. que no sean VPC. Luego, puede comunicarse con AWS y configurar su cuenta para "EC2-VPC" -sólo en la región, y su conexión entre pares desde Lightsail debería tener éxito.

Digo "debería tener éxito" porque todavía estoy esperando que AWS Support "apruebe" el cambio de cuenta solicitado. Esa última nota en el boleto dice que mi solicitud está "todavía abierta" y este proceso es ...

Por lo general, es bastante rápido, pero en algunas ocasiones nuestro equipo de servicio puede tardar entre 24 y 48 horas en revisar y aprobar este tipo de solicitud.

Éxito. Después de un par de días, el soporte de AWS reconfiguró mi cuenta. Ahora tengo una VPC predeterminada en la región us-east-1, y hacer clic en el cuadro junto a "Habilitar emparejamiento de VPC" ahora funciona como se esperaba. En la consola VPC, ahora puedo ver que mi VPC predeterminada está emparejada con la VPC "sigilosa" asignada para Lightsail.

Tenga en cuenta que no necesita un plan de soporte pagado para solicitar que AWS actualice su cuenta como lo describí anteriormente. En realidad no está solicitando asistencia técnica. Puede enviar esto como una solicitud de soporte de cuenta .

Si desea acceder a recursos en otras VPC en la región que no sea la VPC predeterminada, eso no es compatible de forma nativa, al menos por el momento. Esto sería más complicado para que AWS lo ofrezca como un servicio administrado, ya que controlan el aprovisionamiento básico de su VPC predeterminada y Lightsail VPC, pero no cualquier otro.

Las conexiones de interconexión de VPC no admiten el tráfico de tránsito , por lo que no se trata solo de vincular las otras VPC a su VPC predeterminada y conectarse de esa manera. Por ahora, necesitaría implementar servidores proxy TCP o HTTP (por ejemplo, HAProxy, similar a esta configuración , pero apuntando a servicios o un proxy similar en la VPC de destino como backends) o instancias que proporcionan una red de origen y destino privada a privada. traducción de direcciones (NAT) en la VPC predeterminada para cerrar la brecha y cruzar a cualquier otra VPC a través de una conexión de emparejamiento adicional. El rendimiento debe ser excelente, pero asegúrese de familiarizarse con los precios del tráfico VPC por pares. Los documentos Lightsail y los documentos EC2 parecen inconsistentes entre sí, con respecto a los costos de ancho de banda para el tráfico de interconexión.