关于在EC2上执行aws-iam相关的aws cli命令时一直卡在连接iam.cn-north-1.amazonaws.com.cn:443
Posted on 2023-10-11 10:36 520_1351 阅读(66) 评论(0) 编辑 收藏 举报笔者在再执行aws iam相关的命令时,一直卡信,然后笔者加上 --debug,查看更多的调试信息,如下
[qq-5201351@localhost ~]$ aws iam list-users --profile prod --debug 2023-10-11 10:23:57,730 - MainThread - awscli.clidriver - DEBUG - CLI version: aws-cli/2.2.20 Python/3.8.8 Linux/3.10.0-1160.42.2.el7.x86_64 exe/x86_64.rhel.7 2023-10-11 10:23:57,730 - MainThread - awscli.clidriver - DEBUG - Arguments entered to CLI: ['iam', 'list-users', '--profile', 'prod', '--debug'] 2023-10-11 10:23:57,746 - MainThread - botocore.hooks - DEBUG - Event building-command-table.main: calling handler <function add_s3 at 0x7f6f967328b0> ................................. 省略部分输出............................. 2023-10-11 10:23:57,917 - MainThread - botocore.httpsession - DEBUG - Certificate path: /usr/local/aws-cli/v2/2.2.20/dist/botocore/cacert.pem 2023-10-11 10:23:57,918 - MainThread - urllib3.connectionpool - DEBUG - Starting new HTTPS connection (1): iam.cn-north-1.amazonaws.com.cn:443
可以看出是卡在 Starting new HTTPS connection (1): iam.cn-north-1.amazonaws.com.cn:443 这一步了
然后笔者尝试,telnet iam.cn-north-1.amazonaws.com.cn 443 也是不通的
但这台机器又能访问其他公网的域名及网站,那看来应该是 iam.cn-north-1.amazonaws.com.cn 这个域名的特殊?
看了一下,解析到的IP,然后也 tracepath 这个域名,以看看数据包的走向,才发现并没有走 NAT Gateway
最后发现,根本原因是 iam.cn-north-1.amazonaws.com.cn 所在的多个IP小段,被EC2所在子网上的路由表上的一个大网段包含了(而大网段走的VGW)
是于处理过程如下(特别说明-目前还不支持,IAM相关的vpc endpoint interface):
1、单独在EC2所在的子网的路由表上,单独添加 iam.cn-north-1.amazonaws.com.cn 所在的多个IP小段 到 NAT Gateway
// 但是这样添加了之后,发现 IP小网段,还是走到VGW,才想起 NAT Gateway 所在的子网上,也还有一个路由表的
2、于是再到NAT Gateway 所在的子网的路由表上,添加IP小网段,走IGW到外网
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17756498.html
作者:一名卑微的IT民工
出处:https://www.cnblogs.com/5201351
本博客所有文章仅用于学习、研究和交流目的,欢迎非商业性质转载。
由于博主的水平不高,文章没有高度、深度和广度,只是凑字数,不足和错误之处在所难免,希望大家能够批评指出。
博主是利用读书、参考、引用、复制和粘贴等多种方式打造成自己的文章,请原谅博主成为一个卑微的IT民工!