EC2 가상 머신이 있다고 가정하고 이를 보안 그룹 S1에서 V라고 하겠습니다. EFS 마운트 지점이 있습니다. 보안 그룹 S2에서 M이라고 부르겠습니다. 모든 것이 동일한 VPC, 동일한 서브넷, 동일한 가용 영역에 있습니다. S1에서 S2로 TCP 포트 2049 인바운드를 허용했습니다. 두 SG가 모두 나갔습니다. 그러나 V가 M을 마운트하려고 시도하는 동안 시간이 초과됩니다. Cloudwatch는 REJECT OKV의 IP 주소를 M의 IP 주소로 표시합니다.
모든 것것 같다나에게는 문서에 설명된 대로 작동하지만 뭔가 빠진 것이 분명합니다. 다른 곳에서 자세히 알아볼 수 있나요?
답변1
Cloudwatch는 V의 IP 주소에서 M의 IP 주소로 REJECT OK를 표시합니다.
이는 VPC가 V에서 M으로의 트래픽을 차단하고 있으며 해당 트래픽이 NACL 또는 보안 그룹에 의해 차단되었음을 의미합니다. 참조한 로그 항목은 이 트래픽이 차단된 네트워크 인터페이스를 알려줍니다. 인용하다이 문서VPC 흐름 로그를 읽는 방법에 대한 자세한 내용입니다. 네트워크 인터페이스(ENI)를 살펴보고 여기에 연결된 보안 그룹 또는 NACL을 확인해야 합니다.
EFS를 탑재하려고 할 때 시간 초과 오류가 발생하는 이유는 4가지입니다.
- 보안 그룹은 포트 2049에서 EFS 보안 그룹의 인바운드 트래픽을 허용하지 않습니다.
- 해당 트래픽을 차단하는 NACL이 있습니다.
- 인스턴스 내에서 실행 중인 방화벽이 이 트래픽을 차단하고 있습니다.
- 네트워크 구성 및 라우팅(EC2 인스턴스 또는 VPC에서)이 잘못 구성되었습니다.
- EFS 또는 EC2 서비스에 문제가 있습니다(가능성은 거의 없지만 이 경우 상태 확인 실패 등과 같은 관련 오류 메시지가 표시됩니다).
VPC 외부의 머신에 EFS를 설치하는 등 보다 "복잡한" 설정을 사용하는 경우 이에 따라 문제 해결 범위를 확장해야 합니다. AWS에는 관련 문서도 있습니다.EFS 문제 해결.