AWS - 连接仅拒绝 ec2.us-east-1.amazonaws.com，但任何其他区域都可以

Question

我的所有 ec2 实例都位于 us-east-1 中。 除一台（pfsense 机器）外，所有这些都由系统管理员管理。

当我尝试从任何计算机向“https://ec2.us-east-1.amazonaws.com”发出“curl”命令时，我收到“连接被拒绝 - 超时”。

如果我卷曲到“https://ec2.us-west-2.amazonaws.com”（或任何其他区域），它就可以工作。

当我从我的 pfsense 机器上执行相同的操作时，curl 可以正常工作。

我已经在与我的 pfsense 计算机相同的子网和相同的安全组中创建了新实例，但它仍然无法工作。

由于与 ec2.us-east-1.amazonaws.com 的连接不起作用，我的 EKS 出现问题。 作为一种缓解措施，我必须更改机器的 /etc/hosts，这样它就可以工作，但这太可怕了。

有人遇到过这样的问题吗？

Answer 1

us-east-1 的 EC2 终端节点似乎已通过 DNS 解析为您的 VPC 内部的 IP 地址 (172.26.1.74)。其他区域 EC2 终端节点解析为其常用的公共 IP（例如 us-west-2 解析为 52.94.214.8）。

这表明您正在使用 VPC 终端节点，专门用于访问 EC2 服务。这就是导致 DNS 将 ec2.us-east-1.amazonaws.com 解析为 VPC 内的 172 地址的原因（它实际上是与 VPC 终端节点关联的 IP 地址）。

因此，请检查并更正您的 VPC 端点策略以允许相关流量。