本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
疑難排解 SFTP 連接器問題
本節說明 SFTP 連接器問題的可能解決方案。
針對為您的 SFTP 連接器新增受信任主機金鑰進行故障診斷
Description
當您建立或編輯 SFTP 連接器,並新增信任的主機金鑰時,您會收到下列錯誤: Failed to edit connector details (Invalid host key format.)
原因
如果您貼入正確的公有金鑰,問題可能是您已包含金鑰comment的部分。 目前 AWS Transfer Family 不接受金鑰的註解部分。
解決方案
當您將金鑰貼入文字欄位時,請刪除金鑰的註解部分。例如,假設您的金鑰看起來類似以下內容:
ssh-rsa AAAA...== marymajor@dev-dsk-marymajor-1d-c1234567.us-east-1.amazon.com
移除==字元後面的文字,並只貼到 和包含 的索引鍵部分==。
ssh-rsa AAAA...==
金鑰交涉失敗
Description
您收到金鑰交換交涉失敗的錯誤。例如:
Key exchange negotiation failed due to incompatible host key algorithms. Client offered: [ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521, rsa-sha2-512, rsa-sha2-256] Server offered: [ssh-rsa]
原因
此錯誤是因為伺服器支援的主機金鑰演算法與連接器支援的主機金鑰演算法之間沒有重疊。
解決方案
確保遠端伺服器支援錯誤訊息中列出的至少一個用戶端主機金鑰演算法。如需支援的演算法清單,請參閱 AWS Transfer Family SFTP 連接器的安全政策。
SFTP 連接器限流
Description
使用 SFTP 連接器進行檔案傳輸時,您遇到以下錯誤:
{"type":"ExecutionThrottled","details":{},"connectorId":"c-1234567890abcdef0"}
或者,您注意到檔案傳輸在大量操作期間發生延遲或間歇性失敗。
原因
SFTP 連接器具有限制並行檔案傳輸和 API 操作數量的服務配額。超過這些限制時,會發生限流以保護服務並確保所有客戶的公平使用。
解決方案
若要解決 SFTP 連接器問題,請嘗試下列解決方案:
-
在應用程式中實作指數退避和重試邏輯。例如,建立 函數來自動重試失敗的操作,並在嘗試之間增加等待時間。
-
在應用程式中實作速率限制:
-
限制並行傳輸的數量。
-
在批次傳輸之間新增延遲。
-
-
根據服務配額監控您的用量:
-
使用 CloudWatch 指標來追蹤 API 用量。
-
設定警示以在接近配額限制時通知您。
-
-
如需擴展 SFTP 連接器的選項,請參閱 擴展 SFTP 連接器。
-
如果限流持續存在並影響您的業務營運,請透過 Service Quotas 主控台請求增加配額。
最佳化 SFTP 連接器效能
Description
您的 SFTP 連接器傳輸速度比預期慢,或者效能不一致。
原因
SFTP 連接器效能可能會受到各種因素的影響,包括網路條件、檔案大小、遠端伺服器組態和並行傳輸限制。
解決方案
若要最佳化 SFTP 連接器效能:
-
設定遠端 SFTP 伺服器以取得最佳效能:
-
增加每個工作階段的工作階段和傳輸上限
-
最佳化高延遲連線的 TCP 視窗大小
-
如果兩端都支援,請使用壓縮
-
-
將 Transfer Family 連接器放置在遠端 SFTP 伺服器附近的區域,以考慮網路最佳化。
-
實作監控策略來識別效能瓶頸:
-
監控網路輸送量和延遲
-
分析慢速傳輸中模式的日誌
-
故障診斷 VPC 連線問題
本節說明啟用 VPC_LATTICE 的 SFTP 連接器常見問題的解決方案。
連接器卡在待定狀態
Description
啟用 VPC_LATTICE 的 SFTP 連接器會長時間處於 PENDING 狀態 (超過 10 分鐘)。
原因
這可能是因為 DNS 解析延遲、資源閘道組態問題或 VPC Lattice 服務網路關聯問題而發生。
解決方案
聯絡 AWS 支援 聯絡 AWS
-
確認您的資源閘道處於
ACTIVE狀態:aws vpc-lattice get-resource-gateway --resource-gateway-identifierrgw-1234567890abcdef0 -
檢查您的資源組態是否已正確設定並處於作用中狀態:
aws vpc-lattice get-resource-configuration --resource-configuration-identifierrcfg-1234567890abcdef0 -
確保您的 Resource Gateway 在至少兩個支援 VPC Lattice 的可用區域中具有子網路。
-
如果問題仍然存在,請刪除並重新建立具有相同組態的連接器。
連接器處於 ERRORED 狀態
Description
啟用 VPC_LATTICE 的 SFTP 連接器會顯示ERRORED狀態與錯誤詳細資訊。
原因
常見原因包括資源組態 ARN 無效、VPC 子網路中 IP 地址不足,或跨區域資源共用嘗試。
解決方案
-
使用 檢查錯誤詳細資訊
describe-connector:aws transfer describe-connector --connector-idc-1234567890abcdef0 -
驗證資源組態 ARN 是否正確,且位於與連接器相同的區域。
-
確保您的 VPC 子網路有足夠的可用 IP 地址供資源閘道使用。
-
檢查您的資源組態目標 (IP 地址或 DNS 名稱) 是否可從 VPC 連線。
不支援公有 IP 地址錯誤
Description
嘗試使用公有 IP 地址建立資源組態時,您會收到錯誤: ValidationException: IP address x.x.x.x is not in allowed ranges.
原因
公有端點的資源組態必須使用 DNS 名稱,而非 IP 地址。
解決方案
建立資源組態時,請使用 SFTP 伺服器的公有 DNS 名稱,而非其 IP 地址:
aws vpc-lattice create-resource-configuration \ --name my-public-server-config \ --resource-gateway-identifierrgw-1234567890abcdef0\ --resource-configuration-definition dnsResource={domainName="my.sftp.server.com"} \ --port-ranges 22
不支援可用區域錯誤
Description
您在建立資源閘道時收到錯誤: Subnet subnet-xxx is not valid because it is not in a supported Availability Zone.
原因
並非所有可用區域都支援 VPC Lattice 跨 VPC 資源存取。錯誤訊息會列出您所在區域的支援 AZs。
解決方案
-
在錯誤訊息中列出的支援可用區域中建立子網路。
-
更新您的 Resource Gateway 以僅使用來自支援 AZs子網路。
-
確定您在不同的支援 AZs 中至少有兩個子網路。
使用 VPC_LATTICE 連接器的連線逾時
Description
透過 VPC 連接器的檔案傳輸會逾時或間歇性失敗。
原因
VPC Lattice 具有連線限制 (每個資源 350 個連線) 和閒置逾時 (TCP 為 350 秒)。
解決方案
-
監控並行連線,以保持在每個資源的 350 個連線限制內。
-
在您的應用程式中實作連線集區和重複使用。
-
在 SFTP 用戶端應用程式中設定適當的逾時值 (少於 350 秒)。
-
考慮為相同目標建立多個資源組態以分配負載。
其他 SFTP 連接器問題
Description
您在執行 後收到錯誤StartFileTransfer,但不知道問題的原因,而且在 API 呼叫後只會傳回連接器 ID。
原因
此錯誤可能有幾個原因。若要疑難排解,建議您測試連接器並搜尋 CloudWatch 日誌。
解決方案
-
測試您的連接器:請參閱測試 SFTP 連接器。如果測試失敗,系統會根據測試失敗的原因提供錯誤訊息。本節說明如何從 主控台或使用 TestConnection API 命令測試您的連接器。
-
檢視連接器的 CloudWatch 日誌:請參閱SFTP 連接器的範例日誌項目。本主題提供 SFTP 連接器日誌項目的範例,以及可協助您尋找適當日誌的命名慣例。
