อินเทอร์เฟซเครือข่ายรองไม่สามารถส่ง Ping กับ Amazon Linux 2 AMI ได้

เรื่องสั้น: ที่อยู่ IP ส่วนตัวทั้งสองบนอินเทอร์เฟซเครือข่ายหลักสามารถ ping ได้ แต่ที่อยู่ IP ส่วนตัวทั้งสองบนอินเทอร์เฟซเครือข่ายรองไม่สามารถ ping ได้

เรื่องยาว:

ขึ้นอยู่กับ เอกสาร aws นี้เมื่อใช้ Amazon Linux 2 AMI ระบบจะกำหนดค่าอินเทอร์เฟซเครือข่ายและที่อยู่ IP เพิ่มเติมโดยอัตโนมัติ

ด้วยอินสแตนซ์ micro ec2 ในทางทฤษฎีสามารถมีที่อยู่ IP ส่วนตัวได้ 4 ที่อยู่ (2 อินเทอร์เฟซเครือข่าย, 2 ที่อยู่ IP ในแต่ละอินเทอร์เฟซเครือข่าย)

ขั้นตอนของฉัน:

1. สร้างอินสแตนซ์ ec2 จาก Amazon Linux 2 AMI ตั้งค่าที่อยู่ IP ส่วนตัวสองรายการระหว่างการสร้าง
2. เชื่อมโยงที่อยู่ IP แบบยืดหยุ่น
3. หลังจากสร้าง ให้แนบอินเทอร์เฟซเครือข่ายรองที่มีที่อยู่ IP ส่วนตัว 2 อัน (เครือข่ายย่อยเดียวกันและกลุ่มความปลอดภัยเดียวกันกับ NIC หลัก)
4. เข้าสู่ระบบอินสแตนซ์ รีสตาร์ทอินเทอร์เฟซเครือข่ายโดยใช้คำสั่งจากเอกสาร: รีสตาร์ทเครือข่ายบริการ sudo

ไอพี เอาต์พุต:

1: จริง: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN กลุ่มเริ่มต้น qlen 1,000
    ลิงค์ / ย้อนกลับ 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 ขอบเขตโฮสต์ lo
       valid_lft ตลอดไป reserved_lft ตลอดไป
    inet6 ::1/128 ขอบเขตโฮสต์
       valid_lft ตลอดไป reserved_lft ตลอดไป
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP กลุ่มเริ่มต้น qlen 1,000
    ลิงค์/อีเธอร์ 0e:31:86:22:95:b4 brd ff:ff:ff:ff:ff:ff
    inet 172.31.1.101/20 brd 172.31.15.255 ขอบเขต global dynamic eth0
       valid_lft 2509 วินาทีที่ต้องการ_lft 2509 วินาที
    inet 172.31.1.102/20 brd 172.31.15.255 ขอบเขต global รอง eth0
       valid_lft ตลอดไป reserved_lft ตลอดไป
    ลิงค์ขอบเขต inet6 fe80::c31:86ff:fe22:95b4/64
       valid_lft ตลอดไป reserved_lft ตลอดไป
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP กลุ่มเริ่มต้น qlen 1,000
    ลิงค์/อีเธอร์ 0e:ff:4a:aa:cb:66 brd ff:ff:ff:ff:ff:ff
    inet 172.31.2.201/20 brd 172.31.15.255 ขอบเขต global dynamic eth1
       valid_lft 2325 วินาทีที่ต้องการ_lft 2325 วินาที
    inet 172.31.2.202/20 brd 172.31.15.255 ขอบเขต global รอง eth1
       valid_lft ตลอดไป reserved_lft ตลอดไป
    ลิงค์ขอบเขต inet6 fe80::cff:4aff:feaa:cb66/64
       valid_lft ตลอดไป reserved_lft ตลอดไป

ไอพีอาร์ เอาต์พุต:

ค่าเริ่มต้นผ่าน 172.31.0.1 dev eth0
ค่าเริ่มต้นผ่าน 172.31.0.1 dev eth1 metric 10001
169.254.169.254 พัฒนา eth0
172.31.0.0/20 dev eth0 ลิงก์ขอบเขตเคอร์เนลโปรโต src 172.31.1.101
172.31.0.0/20 dev eth1 proto kernel ขอบเขตลิงค์ src 172.31.2.201

กฎไอพี เอาต์พุต:

0: จากการค้นหาทั้งหมดในท้องถิ่น
32764: จาก 172.31.2.202 ค้นหา 10001
32765: จาก 172.31.2.201 ค้นหา 10001
32766: จากหลักการค้นหาทั้งหมด
32767: จากค่าเริ่มต้นการค้นหาทั้งหมด

ตารางแสดงเส้นทาง ip 10001 เอาต์พุต:

ค่าเริ่มต้นผ่าน 172.31.0.1 dev eth1
172.31.0.0/20 dev eth1 proto kernel ขอบเขตลิงค์ src 172.31.2.201

sysctl -ar 'conf.eth.\.arp_' เอาต์พุต:

net.ipv4.conf.eth0.arp_accept = 0
net.ipv4.conf.eth0.arp_announce = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.arp_ignore = 0
net.ipv4.conf.eth0.arp_notify = 0
net.ipv4.conf.eth1.arp_accept = 0
net.ipv4.conf.eth1.arp_announce = 0
net.ipv4.conf.eth1.arp_filter = 0
net.ipv4.conf.eth1.arp_ignore = 0
net.ipv4.conf.eth1.arp_notify = 0

ด้วยการกำหนดค่าข้างต้นทั้งหมด ที่อยู่ IP ส่วนตัวทั้งสองบนอินเทอร์เฟซเครือข่ายหลักสามารถ ping ได้ (จากอินสแตนซ์ ec2 อื่น) แต่ IP ทั้งสองบนอินเทอร์เฟซเครือข่ายสำรองไม่สามารถส่ง Ping ได้ (ไม่สามารถเข้าถึงโฮสต์ปลายทางได้)

นอกจากนี้ การตั้งค่ากลุ่มความปลอดภัยให้เปิดรับทราฟฟิกทั้งหมด แหล่งที่มาทั้งหมด ก็ไม่ได้ช่วยอะไร