Beheben von Problemen mit der Verbindung Ihrer Instance - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beheben von Problemen mit der Verbindung Ihrer Instance

Die folgenden Informationen können Ihnen helfen, Probleme beim Herstellen einer Verbindung zu Ihrer Instance zu beheben. Zusätzliche Informationen finden Sie unter Problembehebung bei Windows-Instances im Amazon EC2-Benutzerhandbuch für Windows-Instances.

Häufige Ursachen für Verbindungsprobleme

Es wird empfohlen, dass Sie mit der Problembehandlung beginnen, indem Sie einige häufige Ursachen für Probleme beim Herstellen einer Verbindung mit Ihrer Instance überprüfen.

Überprüfen Sie den Benutzernamen für Ihre Instance.

Sie können eine Verbindung mit Ihrer Instance herstellen, indem Sie den Benutzernamen für Ihr Benutzerkonto oder den Standardbenutzernamen für das AMI verwenden, das Sie zum Starten der Instance verwendet haben.

  • Rufen Sie den Benutzernamen für Ihr Benutzerkonto ab.

    Weitere Informationen zum Erstellen eines Benutzerkontos finden Sie unter Verwalten von Benutzerkonten auf einer Amazon Linux-Instance.

  • Abrufen des Standardbenutzernamens für das AMI, das Sie zum Starten der Instance verwenden:

    • Für Amazon Linux 2 oder das Amazon Linux-AMI lautet der Benutzername ec2-user.

    • Für ein CentOS-AMI lautet der Benutzername centos.

    • Für ein Debian-AMI lautet der Benutzername admin.

    • Für ein Fedora-AMI lautet der Benutzername ec2-user oder fedora.

    • Für ein RHEL-AMI lautet der Benutzername ec2-user oder root.

    • Für ein SUSE-AMI lautet der Benutzername ec2-user oder root.

    • Für ein Ubuntu-AMI lautet der Benutzername ubuntu.

    • Wenden Sie sich an Ihren AMI-Dienstleister, falls weder ec2-user noch root funktioniert.

Überprüfen Sie, ob Ihre Sicherheitsgruppenregeln Datenverkehr zulassen.

Stellen Sie sicher, dass Ihre Sicherheitsgruppenregeln eingehenden Datenverkehr von Ihrer öffentlichen IPv4-Adresse auf dem entsprechenden Port zulassen. Informationen zu den Schritten zur Überprüfung finden Sie unter Fehler beim Herstellen der Verbindung mit Ihrer Instance: „Connection timed out“.

Stellen Sie sicher, dass Ihre Instance bereit ist.

Wenn Sie die Instance starten, kann es einige Minuten dauern, bis die Instance zur Verbindung bereitsteht. Überprüfen Sie Ihre Instance, um sicherzustellen, dass sie ausgeführt wird und ihre Statusüberprüfungen bestanden hat.

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Instances und wählen Sie anschließend Ihre Instance aus.

  3. Überprüfen Sie Folgendes:

    1. Stellen Sie in der Spalte Instance state (Instance-Status) sicher, dass sich Ihre Instance im running-Status befindet.

    2. Überprüfen Sie in der Spalte Status check (Statusprüfung), ob Ihre Instance die beiden Statusprüfungen bestanden hat.

Überprüfen der allgemeinen Voraussetzungen für das Herstellen einer Verbindung mit einer Instance

Weitere Informationen finden Sie unter Allgemeine Voraussetzungen für das Herstellen einer Verbindung zu Ihrer Instance.

Fehler beim Herstellen der Verbindung mit Ihrer Instance: „Connection timed out“

Wenn Sie versuchen, eine Verbindung mit Ihrer Instance herzustellen, und die Fehlermeldung Network error: Connection timed out oder Error connecting to [instance], reason: -> Connection timed out: connect erhalten, gehen Sie wie folgt vor:

Prüfen Sie Ihre Sicherheitsgruppenregeln.

Sie benötigen eine Sicherheitsgruppenregel, die den eingehenden Datenverkehr von Ihrer öffentlichen IPv4-Adresse auf dem entsprechenden Port zulässt.

Neue Konsole
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Instances und wählen Sie anschließend Ihre Instance aus.

  3. Überprüfen Sie auf der Registerkarte Security (Sicherheit) am unteren Rand der Konsolenseite unter Inbound rules (Eingangsregeln), die Liste der Regeln, die für die ausgewählte Instance gültig sind.

    • Für Linux-Instances: Überprüfen Sie, dass eine Regel vorhanden ist, die den Datenverkehr von Ihrem Computer auf Port 22 (SSH) zulässt.

    • Für Windows-Instances: Überprüfen Sie, dass eine Regel vorhanden ist, die den Datenverkehr von Ihrem Computer auf Port 3389 (RDP) zulässt.

  4. Bei jedem Neustart der Instance wird eine neue IP-Adresse (und ein neuer Hostname) zugeordnet. Wenn Ihre Sicherheitsgruppe über eine Regel verfügt, die eingehenden Datenverkehr von einer einzelnen IP-Adresse zulässt, darf diese Adresse nicht statisch sein, wenn sich Ihr Computer in einem Unternehmensnetzwerk befindet oder Sie eine Verbindung über einen Internetdienstanbieter (ISP) herstellen. Geben Sie stattdessen den Bereich der IP-Adressen an, die von Client-Computern verwendet werden. Verfügt Ihre Sicherheitsgruppe nicht über eine Regel zum Zulassen von eingehendem Datenverkehr, wie im vorherigen Schritt beschrieben, fügen Sie Ihrer Sicherheitsgruppe eine solche Regel hinzu. Weitere Informationen finden Sie unter Autorisieren von eingehendem Datenverkehr für Linux-Instances.

    Weitere Informationen zu den Regeln der Sicherheitsgruppe finden Sie unter Sicherheitsgruppenregeln im Amazon VPC-Benutzerhandbuch.

Alte Konsole
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Instances und wählen Sie anschließend Ihre Instance aus.

  3. Wählen Sie auf der Registerkarte Description (Beschreibung) am unteren Rand der Konsolenseite neben Security groups (Sicherheitsgruppen) die Option view inbound rules (Eingangsregeln anzeigen) aus, um die Liste der Regeln anzuzeigen, die für die ausgewählte Instance gültig sind.

  4. Für Linux-Instances: Wenn Sie view inbound rules (Eingangsregeln anzeigen) auswählen, erscheint ein Fenster, das den/die Port(s) anzeigt, auf denen der Datenverkehr erlaubt ist. Überprüfen Sie, dass eine Regel vorhanden ist, die den Datenverkehr von Ihrem Computer auf Port 22 (SSH) zulässt.

    Für Windows-Instances: Wenn Sie view inbound rules (Eingangsregeln anzeigen) auswählen, erscheint ein Fenster, das den/die Port(s) anzeigt, auf denen der Datenverkehr erlaubt ist. Überprüfen Sie, dass eine Regel vorhanden ist, die den Datenverkehr von Ihrem Computer auf Port 3389 (RDP) zulässt.

    Bei jedem Neustart der Instance wird eine neue IP-Adresse (und ein neuer Hostname) zugeordnet. Wenn Ihre Sicherheitsgruppe über eine Regel verfügt, die eingehenden Datenverkehr von einer einzelnen IP-Adresse zulässt, darf diese Adresse nicht statisch sein, wenn sich Ihr Computer in einem Unternehmensnetzwerk befindet oder Sie eine Verbindung über einen Internetdienstanbieter (ISP) herstellen. Geben Sie stattdessen den Bereich der IP-Adressen an, die von Client-Computern verwendet werden. Verfügt Ihre Sicherheitsgruppe nicht über eine Regel zum Zulassen von eingehendem Datenverkehr, wie im vorherigen Schritt beschrieben, fügen Sie Ihrer Sicherheitsgruppe eine solche Regel hinzu. Weitere Informationen finden Sie unter Autorisieren von eingehendem Datenverkehr für Linux-Instances.

    Weitere Informationen zu den Regeln der Sicherheitsgruppe finden Sie unter Sicherheitsgruppenregeln im Amazon VPC-Benutzerhandbuch.

Überprüfen Sie die Routing-Tabelle für das Subnetz.

Sie benötigen eine Route, die den gesamten Datenverkehr außerhalb der VPC an das Internet-Gateway für die VPC sendet.

Neue Konsole
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Instances und wählen Sie anschließend Ihre Instance aus.

  3. Notieren Sie sich auf der Registerkarte Networking (Netzwerk) die Werte für VPC ID (VPC-ID) und Subnet ID (Subnetz-ID).

  4. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  5. Wählen Sie im Navigationsbereich Internet Gateways aus. Überprüfen Sie, ob Ihrer VPC ein Internet-Gateway angefügt ist. Andernfalls wählen Sie Create internet gateway (Internet-Gateway erstellen), geben Sie einen Namen für das Internet-Gateway ein und wählen Sie Create internet gateway (Internet-Gateway erstellen). Wählen Sie dann für das von Ihnen erstellte Internet-Gateway Actions (Aktionen), Attach to VPC (An VPC anhängen), wählen Sie Ihre VPC aus und wählen Sie dann Attach internet gateway (Internet-Gateway anhängen), um es an Ihre VPC anzuhängen.

  6. Wählen Sie im Navigationsbereich die Option Subnets und dann Ihr Subnetz aus.

  7. Überprüfen Sie, ob auf der Registerkarte Route Table (Routing-Tabelle) eine Route mit 0.0.0.0/0 unter "Destination" und das Internet-Gateway für Ihre VPC unter "Target" vorhanden ist. Wenn Sie eine Verbindung mit Ihrer Instance mithilfe der IPv6-Adresse herstellen, überprüfen Sie, dass eine Route für den gesamten IPv6-Datenverkehr (::/0) vorhanden ist, die zum Internet-Gateway führt. Andernfalls gehen Sie wie folgt vor:

    1. Wählen Sie die ID der Routing-Tabelle (rtb-xxxxxxxx) aus, um zur Routing-Tabelle zu gelangen.

    2. Klicken Sie auf der Registerkarte Routes (Routen) auf Edit routes (Routen bearbeiten). Wählen Sie Add route (Route hinzufügen) aus, verwenden Sie 0.0.0.0/0 als Ziel und das Internet-Gateway als Ziel. Wählen Sie für IPv6 Add route (Route hinzufügen) aus, verwenden Sie ::/0 als Ziel und das Internet-Gateway als Ziel.

    3. Wählen Sie Save Rules (Routen speichern) aus.

Alte Konsole
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Instances und wählen Sie anschließend Ihre Instance aus.

  3. Notieren Sie auf der Registerkarte Description die Werte VPC ID und Subnet ID.

  4. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  5. Wählen Sie im Navigationsbereich Internet Gateways aus. Überprüfen Sie, ob Ihrer VPC ein Internet-Gateway angefügt ist. Falls nicht, wählen Sie Create Internet Gateway, um ein Internet-Gateway zu erstellen. Wählen Sie das Internet-Gateway aus, klicken Sie auf die Option Attach to VPC, und folgen Sie den Anleitungen, um das Gateway Ihrer VPC anzufügen.

  6. Wählen Sie im Navigationsbereich die Option Subnets und dann Ihr Subnetz aus.

  7. Überprüfen Sie, ob auf der Registerkarte Route Table (Routing-Tabelle) eine Route mit 0.0.0.0/0 unter "Destination" und das Internet-Gateway für Ihre VPC unter "Target" vorhanden ist. Wenn Sie eine Verbindung mit Ihrer Instance mithilfe der IPv6-Adresse herstellen, überprüfen Sie, dass eine Route für den gesamten IPv6-Datenverkehr (::/0) vorhanden ist, die zum Internet-Gateway führt. Andernfalls gehen Sie wie folgt vor:

    1. Wählen Sie die ID der Routing-Tabelle (rtb-xxxxxxxx) aus, um zur Routing-Tabelle zu gelangen.

    2. Klicken Sie auf der Registerkarte Routes (Routen) auf Edit routes (Routen bearbeiten). Wählen Sie Add route (Route hinzufügen) aus, verwenden Sie 0.0.0.0/0 als Ziel und das Internet-Gateway als Ziel. Wählen Sie für IPv6 Add route (Route hinzufügen) aus, verwenden Sie ::/0 als Ziel und das Internet-Gateway als Ziel.

    3. Wählen Sie Save Rules (Routen speichern) aus.

Überprüfen Sie die Zugriffskontrollliste (ACL) für das Subnetz.

Die Netzwerk-ACLs müssen ein- und ausgehenden Datenverkehr von Ihrer lokalen IP-Adresse auf dem entsprechenden Port zulassen. Die Standard-Netzwerk-ACL lässt den gesamten ein- und ausgehenden Datenverkehr zu.

  1. Öffnen Sie die Amazon VPC-Konsole unter der Adresse https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich die Option Subnets und dann Ihr Subnetz aus.

  3. Suchen Sie auf der Registerkarte Description (Beschreibung) nach Network ACL (Netzwerk-ACL) und wählen Sie die ID (acl-xxxxxxxx) aus.

  4. Wählen Sie die Netzwerk-ACL aus. Überprüfen Sie unter Inbound Rules, dass die Regeln den Datenverkehr von Ihrem Computer zulassen. Andernfalls löschen oder ändern Sie die Regel, die den Datenverkehr von Ihrem Computer blockiert.

  5. Überprüfen Sie unter Outbound Rules, dass die Regeln den Datenverkehr zu Ihrem Computer zulassen. Andernfalls löschen oder ändern Sie die Regel, die den Datenverkehr zu Ihrem Computer blockiert.

Wenn sich Ihr Computer in einem Unternehmensnetzwerk befindet

Fragen Sie Ihren Netzwerkadministrator, ob die interne Firewall ein- und ausgehenden Datenverkehr von Ihrem Computer auf Port 22 (für Linux-Instances) bzw. Port 3389 (für Windows-Instances) zulässt.

Wenn auf Ihrem Computer eine Firewall aktiviert ist, überprüfen Sie, dass diese den ein- und ausgehenden Datenverkehr von Ihrem Computer auf Port 22 (für Linux-Instances) bzw. Port 3389 (für Windows-Instances) zulässt.

Prüfen Sie, ob Ihre Instance über eine öffentliche IPv4-Adresse verfügt.

Falls nicht, verknüpfen Sie eine Elastic IP-Adresse mit der Instance. Weitere Informationen finden Sie unter Elastic IP-Adressen.

Überprüfen Sie die CPU-Auslastung auf Ihrer Instance. Möglicherweise ist der Server überlastet.

AWS stellt automatisch Daten wie Amazon CloudWatch-Metriken und Instance-Status bereit. Anhand dieser Daten können Sie feststellen, wie hoch die CPU-Auslastung auf Ihrer Instance ist, und die Verarbeitung Ihrer Loads nach Bedarf ändern. Weitere Informationen finden Sie unter Überwachen Ihrer Instances mit CloudWatch.

  • Wenn Ihre Last variabel ist, können Sie Ihre Instances automatisch mit Auto Scaling und Elastic Load Balancing nach oben und unten skalieren.

  • Wenn Ihre Last kontinuierlich zunimmt, können Sie auf einen größeren Instance-Typ umsteigen. Weitere Informationen finden Sie unter Ändern des Instance-Typs.

Um eine Verbindung mit Ihrer Instance mit einer IPv6-Adresse herzustellen, prüfen Sie Folgendes:

  • Ihr Subnetz muss einer Routing-Tabelle zugeordnet sein, die über eine Route für IPv6-Datenverkehr (::/0) zu einem Internet-Gateway verfügt.

  • Ihre Sicherheitsgruppenregeln müssen den eingehenden Datenverkehr von Ihrer lokalen IPv6-Adresse auf dem entsprechenden Port zulassen (22 für Linux und 3389 für Windows).

  • Ihre Netzwerk-ACL-Regeln müssen ein- und ausgehenden IPv6-Datenverkehr zulassen.

  • Wenn Sie Ihre Instance aus einem älteren AMI gestartet haben, ist sie möglicherweise nicht für DHCPv6 konfiguriert (IPv6-Adressen werden nicht automatisch von der Netzwerkschnittstelle erkannt). Weitere Informationen finden Sie unter Konfigurieren von IPv6 auf Ihrer Instance im Amazon VPC Benutzerhandbuch.

  • Ihr lokaler Computer muss über eine IPv6-Adresse verfügen und zur Verwendung von IPv6 konfiguriert sein.

Fehler: Schlüssel kann nicht geladen werden ... Erwartend: JEDER PRIVATE SCHLÜSSEL

Wenn Sie versuchen, eine Verbindung mit Ihrer Instance herzustellen und die Fehlermeldung unable to load key ... Expecting: ANY PRIVATE KEY erhalten, ist die Datei, in der der private Schlüssel gespeichert ist, nicht korrekt konfiguriert. Auch wenn die Datei mit dem privaten Schlüssel auf .pem endet, ist sie möglicherweise dennoch falsch konfiguriert. Eine mögliche Ursache für eine falsch konfigurierte Datei für den privaten Schlüssel ist ein fehlendes Zertifikat.

Wenn die Datei für den privaten Schlüssel falsch konfiguriert ist, führen Sie die folgenden Schritte aus, um den Fehler zu beheben.

  1. Erstellen Sie ein neues Schlüsselpaar. Weitere Informationen finden Sie unter Option 1: Erstellen eines Schlüsselpaars mit Amazon EC2.

  2. Fügen Sie das neue Schlüsselpaar Ihrer Instance hinzu. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Ihrer Linux-Instance, wenn Sie Ihren privaten Schlüssel verlieren.

  3. Stellen Sie mittels des neuen Schlüsselpaars eine Verbindung mit Ihrer Instance her.

Fehler: Benutzerschlüssel wird vom Server nicht erkannt

Bei Verwendung von SSH zum Verbinden mit Ihrer Instance

  • Verwenden Sie ssh -vvv, um beim Herstellen der Verbindung ausführliche Debugging-Informationen zu erhalten:

    ssh -vvv -i path/my-key-pair.pem my-instance-user-name@ec2-203-0-113-25.compute-1.amazonaws.com

    Die folgende Beispielausgabe veranschaulicht, was Sie sehen, wenn Sie versuchen, eine Verbindung mit Ihrer Instance mithilfe eines Schlüssels herzustellen, der vom Server nicht erkannt wird:

    open/ANT/myusername/.ssh/known_hosts). debug2: bits set: 504/1024 debug1: ssh_rsa_verify: signature correct debug2: kex_derive_keys debug2: set_newkeys: mode 1 debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug2: set_newkeys: mode 0 debug1: SSH2_MSG_NEWKEYS received debug1: Roaming not allowed by server debug1: SSH2_MSG_SERVICE_REQUEST sent debug2: service_accept: ssh-userauth debug1: SSH2_MSG_SERVICE_ACCEPT received debug2: key: boguspem.pem ((nil)) debug1: Authentications that can continue: publickey debug3: start over, passed a different list publickey debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_lookup publickey debug3: remaining preferred: keyboard-interactive,password debug3: authmethod_is_enabled publickey debug1: Next authentication method: publickey debug1: Trying private key: boguspem.pem debug1: read PEM private key done: type RSA debug3: sign_and_send_pubkey: RSA 9c:4c:bc:0c:d0:5c:c7:92:6c:8e:9b:16:e4:43:d8:b2 debug2: we sent a publickey packet, wait for reply debug1: Authentications that can continue: publickey debug2: we did not send a packet, disable method debug1: No more authentication methods to try. Permission denied (publickey).

Bei Verwendung von PuTTY zum Verbinden mit Ihrer Instance

  • Überprüfen Sie, dass Ihre private Schlüsseldatei (PEM) in das Format konvertiert wurde, das von PuTTY (PPK) erkannt wird. Weitere Informationen zum Konvertieren Ihres privaten Schlüssels finden Sie unter Herstellen einer Verbindung mit einer Linux-Instance von Windows mithilfe von PuTTY.

    Anmerkung

    Laden Sie Ihren privaten Schlüssel in PuTTYgen und wählen Sie Save Private Key (Privaten Schlüssel speichern) statt Generate (Generieren) aus.

  • Überprüfen Sie, dass Sie eine Verbindung mit dem entsprechenden Benutzernamen für Ihr AMI herstellen. Geben Sie den Benutzernamen im Feld Host name (Hostname) des Fensters PuTTY Configuration (PuTTY-Konfiguration) ein.

    • Für Amazon Linux 2 oder das Amazon Linux-AMI lautet der Benutzername ec2-user.

    • Für ein CentOS-AMI lautet der Benutzername centos.

    • Für ein Debian-AMI lautet der Benutzername admin.

    • Für ein Fedora-AMI lautet der Benutzername ec2-user oder fedora.

    • Für ein RHEL-AMI lautet der Benutzername ec2-user oder root.

    • Für ein SUSE-AMI lautet der Benutzername ec2-user oder root.

    • Für ein Ubuntu-AMI lautet der Benutzername ubuntu.

    • Wenden Sie sich an Ihren AMI-Dienstleister, falls weder ec2-user noch root funktioniert.

  • Überprüfen Sie, dass eine eingehende Sicherheitsgruppenregel vorhanden ist, um den eingehenden Datenverkehr am entsprechenden Port zuzulassen. Weitere Informationen finden Sie unter Authorizing Network Access to Your Instances.

Fehler: Berechtigung verweigert oder Verbindung durch [instance] Port 22 geschlossen

Wenn Sie beim Herstellen einer Verbindung mit Ihrer Instance über SSH einen der folgenden Fehler, Host key not found in [directory], Permission denied (publickey), Authentication failed, permission denied oder Connection closed by [instance] port 22, erhalten, stellen Sie sicher, dass Sie die Verbindung mit dem entsprechenden Benutzernamen für Ihr AMI herstellen und dass Sie den richtigen privaten Schlüssel (.pem)-Datei) für Ihre Instance angegeben haben.

Die entsprechenden Benutzernamen lauten wie folgt:

  • Für Amazon Linux 2 oder das Amazon Linux-AMI lautet der Benutzername ec2-user.

  • Für ein CentOS-AMI lautet der Benutzername centos.

  • Für ein Debian-AMI lautet der Benutzername admin.

  • Für ein Fedora-AMI lautet der Benutzername ec2-user oder fedora.

  • Für ein RHEL-AMI lautet der Benutzername ec2-user oder root.

  • Für ein SUSE-AMI lautet der Benutzername ec2-user oder root.

  • Für ein Ubuntu-AMI lautet der Benutzername ubuntu.

  • Wenden Sie sich an Ihren AMI-Dienstleister, falls weder ec2-user noch root funktioniert.

Um beispielsweise einen SSH-Client für die Verbindung mit einer Amazon Linux-Instance zu verwenden, verwenden Sie den folgenden Befehl:

ssh -i /path/my-key-pair.pem my-instance-user-name@ec2-203-0-113-25.compute-1.amazonaws.com

Vergewissern Sie sich, dass Sie den privaten Schlüssel verwenden, der dem Schlüsselpaar entspricht, das Sie beim Starten der Instance angegeben haben.

Neue Konsole
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Instances und wählen Sie anschließend Ihre Instance aus.

  3. Überprüfen Sie auf der Registerkarte Details unter Instance details (Instance-Details) den Wert des Key pair name (Schlüsselpaarnamens).

  4. Wenn Sie beim Starten der Instance kein Schlüsselpaar angegeben haben, können Sie die Instance beenden und eine neue unter Angabe eines Schlüsselpaars starten. Wenn Sie diese Instance zwar verwendet haben, aber die .pem-Datei für Ihr Schlüsselpaar nicht mehr vorliegt, können Sie das Schlüsselpaar durch ein neues ersetzen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Ihrer Linux-Instance, wenn Sie Ihren privaten Schlüssel verlieren.

Alte Konsole
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Instances und wählen Sie anschließend Ihre Instance aus.

  3. Überprüfen Sie auf der Registerkarte Description den Wert für Key pair name.

  4. Wenn Sie beim Starten der Instance kein Schlüsselpaar angegeben haben, können Sie die Instance beenden und eine neue unter Angabe eines Schlüsselpaars starten. Wenn Sie diese Instance zwar verwendet haben, aber die .pem-Datei für Ihr Schlüsselpaar nicht mehr vorliegt, können Sie das Schlüsselpaar durch ein neues ersetzen. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Ihrer Linux-Instance, wenn Sie Ihren privaten Schlüssel verlieren.

Wenn Sie ein eigenes Schlüsselpaar generiert haben, stellen Sie sicher, dass Ihr Schlüsselgenerator für das Erstellen von RSA-Schlüssel eingerichtet ist. DSA-Schlüssel werden nicht akzeptiert.

Wenn Sie einen Permission denied (publickey)-Fehler erhalten und keiner der oben angegebenen Fälle zutrifft (z. B. wenn Sie zuvor eine Verbindung herstellen konnten), wurden die Berechtigungen für das Stammverzeichnis Ihrer Instance möglicherweise geändert. Berechtigungen für /home/my-instance-user-name/.ssh/authorized_keys müssen auf den Eigentümer beschränkt sein.

So überprüfen Sie die Berechtigungen für Ihre Instance

  1. Beenden Sie Ihre Instance und trennen Sie das Stamm-Volume von der Instance. Weitere Informationen finden Sie unter Anhalten und Starten Ihrer Instance und Trennen eines Amazon EBS-Volumes von einer Linux-Instance.

  2. Starten Sie eine temporäre Instance in derselben Availability Zone wie Ihre aktuelle Instance (verwenden Sie ein ähnliches oder dasselbe AMI wie für die aktuelle Instance) und fügen Sie der temporären Instance das Stamm-Volume an. Weitere Informationen finden Sie unter Zuordnen eines Amazon EBS-Volumes zu einer Instance.

  3. Stellen Sie eine Verbindung mit der temporären Instance her, erstellen Sie einen Mountingpunkt und mounten Sie das angefügte Volume. Weitere Informationen finden Sie unter Verfügbarmachen eines Amazon EBS-Volumes für die Verwendung auf Linux.

  4. Überprüfen Sie über die temporäre Instance die Berechtigungen des Verzeichnisses /home/my-instance-user-name/ des angefügten Volumes. Passen Sie die Berechtigungen bei Bedarf wie folgt an:

    [ec2-user ~]$ chmod 600 mount_point/home/my-instance-user-name/.ssh/authorized_keys
    [ec2-user ~]$ chmod 700 mount_point/home/my-instance-user-name/.ssh
    [ec2-user ~]$ chmod 700 mount_point/home/my-instance-user-name
  5. Heben Sie die Bereitstellung des Volumes auf, trennen Sie es von der temporären Instance und fügen Sie es der ursprünglichen Instance wieder an. Stellen Sie sicher, dass Sie den richtigen Gerätenamen für das Stamm-Volume verwenden; z. B. /dev/xvda.

  6. Starten Sie Ihre Instance. Sie können die temporäre Instance beenden, wenn Sie sie nicht mehr benötigen.

Fehler: Ungeschützte private Schlüsseldatei

Ihre private Schlüsseldatei muss vor Lese- und Schreibvorgängen anderer Benutzer geschützt sein. Wenn Ihr privater Schlüssel nur von anderen, aber nicht von Ihnen gelesen oder geschrieben werden kann, ignoriert SSH Ihren Schlüssel und Sie erhalten die folgende Warnmeldung.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KEY FILE! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0777 for '.ssh/my_private_key.pem' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored. bad permissions: ignore key: .ssh/my_private_key.pem Permission denied (publickey).

Wenn Sie beim Anmelden bei Ihrer Instance eine ähnliche Meldung erhalten, sehen Sie sich die erste Zeile der Fehlermeldung an, um zu überprüfen, ob Sie den richtigen öffentlichen Schlüssel für Ihre Instance verwenden. Das obige Beispiel verwendet den privaten Schlüssel .ssh/my_private_key.pem mit Dateiberechtigungen 0777, die zulassen, das jeder Benutzer diese Datei lesen oder beschreiben kann. Da diese Berechtigungsebene sehr unsicher ist, wird dieser Schlüssel von SSH ignoriert. Um das Problem zu beheben, führen Sie den folgenden Befehl aus und ersetzen Sie dabei den Pfad für Ihre private Schlüsseldatei.

[ec2-user ~]$ chmod 0400 .ssh/my_private_key.pem

Fehler: Der private Schlüssel muss mit „-----BEGIN RSA PRIVATE KEY-----“ und mit „-----END RSA PRIVATE KEY-----“ enden

Wenn Sie ein Tools von Drittanbietern, wie ssh-keygen, zum Erstellen eines RSA-Schlüsselpaars verwenden, generiert es den privaten Schlüssel im Format für OpenSSH-Schlüssel. Wenn Sie eine Verbindung zu Ihrer Instance herstellen und den privaten Schlüssel im OpenSSH-Format verwenden, um das Passwort zu entschlüsseln, erhalten Sie folgenden Fehler: Private key must begin with "-----BEGIN RSA PRIVATE KEY-----" and end with "-----END RSA PRIVATE KEY-----".

Der private Schlüssel muss im PEM-Format vorliegen, damit dieser Fehler nicht auftritt. Verwenden Sie folgenden Befehl, um den privaten Schlüssel im PEM-Format zu erstellen:

ssh-keygen -m PEM

Fehler: Der Server lehnte unseren Schlüssel ab, oder es sind keine unterstützten Authentifizierungsmethoden verfügbar.

Wenn Sie die Verbindung mit Ihrer Instance über PuTTY herstellen und einen der folgenden Fehler, Error: Server refused our key (Fehler: Server hat unseren Schlüssel abgelehnt) oder Error: No supported authentification methods available (Fehler: Keine unterstützten Authentifizierungsservices verfügbar), erhalten, überprüfen Sie, ob Sie die Verbindung mit dem korrekten Benutzernamen für Ihr AMI herstellen. Geben Sie den Benutzernamen im Feld User name (Benutzername) des Fensters PuTTY Configuration (PuTTY-Konfiguration) ein.

Die entsprechenden Benutzernamen lauten wie folgt:

  • Für Amazon Linux 2 oder das Amazon Linux-AMI lautet der Benutzername ec2-user.

  • Für ein CentOS-AMI lautet der Benutzername centos.

  • Für ein Debian-AMI lautet der Benutzername admin.

  • Für ein Fedora-AMI lautet der Benutzername ec2-user oder fedora.

  • Für ein RHEL-AMI lautet der Benutzername ec2-user oder root.

  • Für ein SUSE-AMI lautet der Benutzername ec2-user oder root.

  • Für ein Ubuntu-AMI lautet der Benutzername ubuntu.

  • Wenden Sie sich an Ihren AMI-Dienstleister, falls weder ec2-user noch root funktioniert.

Außerdem sollten Sie überprüfen, dass Ihre private Schlüsseldatei (.pem) korrekt in das von PuTTY (.ppk) erkannte Format konvertiert wurde. Weitere Informationen zum Konvertieren Ihres privaten Schlüssels finden Sie unter Herstellen einer Verbindung mit einer Linux-Instance von Windows mithilfe von PuTTY.

Die Instance ist nicht per Ping erreichbar.

Der ping-Befehl ist eine Art ICMP—Datenverkehr. Wenn Sie Ihre Instance per Ping nicht erreichen können, stellen Sie sicher, dass Ihre eingehenden Sicherheitsgruppenregeln ICMP-Datenverkehr für die Echo Request-Meldung von allen Quellen oder vom Computer bzw. von der Instance zulassen, auf dem bzw. der Sie den Befehl ausgeben.

Wenn Sie keinen ping-Befehl auf Ihrer Instance ausgeben können, stellen Sie sicher, dass Ihre ausgehenden Sicherheitsgruppenregeln ICMP-Datenverkehr für die Echo Request-Meldung an alle Ziele oder an den Host, den Sie per Ping zu erreichen versuchen, zulassen.

Ping-Befehle können aufgrund von Netzwerklatenz oder Hardwareproblemen auch von einer Firewall blockiert werden oder es kann zu einer Zeitüberschreitung kommen. Wenden Sie sich an Ihren lokalen Netzwerk- oder Systemadministrator, um Hilfe bei der weiteren Fehlerbehebung zu erhalten.

Fehler: Der Server hat die Netzwerkverbindung unerwartet geschlossen

Wenn Sie mit Ihrer Instance mit PuTTY verbunden sind und den Fehler "Server unexpectedly closed network connection (Der Server hat die Netzwerkverbindung unerwartet geschlossen)" erhalten, vergewissern Sie sich, dass Sie Keepalives auf der Verbindungsseite der PuTTY-Konfiguration aktiviert haben, um eine Trennung der Verbindung zu vermeiden. Einige Server trennen die Verbindung von Clients, wenn sie innerhalb des angegebenen Zeitraums keine Daten empfangen. Legen Sie als Anzahl der Sekunden zwischen Keepalives 59 Sekunden fest.

Wenn nach dem Aktivieren von Keepalives weiterhin Probleme auftreten, versuchen Sie, den Nagle-Algorithmus auf der Verbindungsseite der PuTTY-Konfiguration zu deaktivieren.

Fehler: Hostschlüssel-Validierung fehlgeschlagen für EC2 Instance Connect

Wenn Sie Ihre Instance-Hostschlüssel rotieren, werden die neuen Hostschlüssel nicht automatisch in die Datenbank mit vertrauenswürdigen Hostschlüsseln von AWS hochgeladen. Dies führt dazu, dass die Hostschlüssel-Validierung fehlschlägt, wenn Sie versuchen, eine Verbindung zu Ihrer Instance über den browserbasierten Client EC2 Instance Connect herzustellen, und Sie keine Verbindung mit Ihrer Instance herstellen können.

Um den Fehler zu beheben, müssen Sie das eic_harvest_hostkeys-Skript auf Ihrer Instance ausführen, das Ihren neuen Hostschlüssel in EC2 Instance Connect hochlädt. Das Skript befindet sich bei /opt/aws/bin/ auf Amazon Linux 2-Instances und bei /usr/share/ec2-instance-connect/ auf Ubuntu-Instances.

Amazon Linux 2

Beheben des Fehlers der Hostschlüssel-Validierung auf einer Amazon Linux 2-Instance

  1. Stellen Sie per SSH eine Verbindung mit Ihrer Instance her.

    Sie können eine Verbindung herstellen, indem Sie die EC2 Instance Connect-CLI verwenden oder das SSH-Schlüsselpaar verwenden, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Bei Amazon Linux 2 ist der Standardbenutzername ec2-user.

    Beispiel: Wenn Ihre Instance mit Amazon Linux 2 gestartet wurde und der öffentliche DNS-Name Ihrer Instance ist ec2-a-b-c-d.us-west-2.compute.amazonaws.com und das Schlüsselpaar my_ec2_private_key.pem, nutzen Sie den folgenden Befehl, um eine SSH-Sitzung auf Ihrer Instance zu starten:

    $ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com

    Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH.

  2. Navigieren Sie zum folgenden Ordner.

    [ec2-user ~]$ cd /opt/aws/bin/
  3. Führen Sie den folgenden Befehl auf Ihrer Instance aus.


    [ec2-user ~]$ ./eic_harvest_hostkeys

    Beachten Sie, dass ein erfolgreicher Anruf zu keiner Ausgabe führt.

    Sie können jetzt den browserbasierten Clienten EC2 Instance Connect benutzen, um mit Ihrer Instance eine Verbindung herzustellen

Ubuntu

Beheben des Fehlers der Hostschlüssel-Validierung auf einer Ubuntu-Instance

  1. Stellen Sie per SSH eine Verbindung mit Ihrer Instance her.

    Sie können eine Verbindung herstellen, indem Sie die EC2 Instance Connect-CLI verwenden oder das SSH-Schlüsselpaar verwenden, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Für Ubuntu lautet der Standardbenutzername ubuntu.

    Beispiel: Wenn Ihre Instance mit Ubuntu gestartet wurde und der öffentliche DNS-Name Ihrer Instance ist ec2-a-b-c-d.us-west-2.compute.amazonaws.com und das Schlüsselpaar my_ec2_private_key.pem, nutzen Sie den folgenden Befehl, um eine SSH-Sitzung auf Ihrer Instance zu starten:

    $ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com

    Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH.

  2. Navigieren Sie zum folgenden Ordner.

    [ec2-user ~]$ cd /usr/share/ec2-instance-connect/
  3. Führen Sie den folgenden Befehl auf Ihrer Instance aus.


    [ec2-user ~]$ ./eic_harvest_hostkeys

    Beachten Sie, dass ein erfolgreicher Anruf zu keiner Ausgabe führt.

    Sie können jetzt den browserbasierten Clienten EC2 Instance Connect benutzen, um mit Ihrer Instance eine Verbindung herzustellen