Networking

AWS VPC VPN 被 AWS VPC 連接對等阻止

  • April 15, 2020

我們的設置圖

如上圖所示,我們在 2 個區域設置了 AWS VPC。VPN 連接現在在兩個實例之間工作,每個實例都直接連接到 VPN 設置兩端的 VPC(即 eu-west1 中的 VPC PROD 和 ap-south1 中的 VPC PROD)。因此“遠端服務”可以與“產品服務”進行通信。這由綠色虛線說明。

由於 2 個 eu-west1 VPC 之間存在對等連接,我曾希望 ap-south1 中的 VPC PROD 能夠與 eu-west1 中的 VPC ADMIN 通信。情況似乎並非如此。即“遠端服務”無法與“管理服務”通信。用紅色虛線表示。

VPC ADMIN 具有路由表條目:

10.100.0.0/16 ==> peering connection to VPC PROD (eu-west1)

VPC PROD (eu-west1) 具有路由表條目:

10.100.0.0/16 ==> Virtual Private Gateway (VPG) / VPN connection

此外,VPC PROD (ap-south1) 具有路由表條目:

172.20.0.0/16 and 172.30.0.0/16 ==> strongswan instance.

我想問題可能是來自 ap-south1 的流量到達 eu-west1s VPG 路由器並且有一個硬要求它可以到達它在 VPG 關聯 VPC 中的端點,並且它不會查看 VPC 路由表,因此它贏了’不支持使用匹配的路由表條目將流量發送到對等連接到 VPC ADMIN。有人可以確認這是否應該工作嗎?

目前,實現這一目標的唯一方法似乎是創建第二個 VPN 連接,該連接將有一個與 VPC ADMIN 關聯的 VPG。然後調整 ap-south1 中的路由以命中舊 VPN172.20.0.0/16 (VPC PROD)和新 VPN 172.30.0.0/16 (VPC ADMIN)。這應該可以工作,但成本會增加一倍,並且意味著需要維護更多的配置……

讓它發揮作用的其他想法?

根據設計,這不起作用。

通過網關或專用連接的邊緣到邊緣路由

如果對等關係中的任一 VPC 具有以下連接之一,則您無法將對等關係擴展到該連接:

  • VPN 連接

http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html

VPC 對等僅允許跨 VPC 邊界從實例到實例的訪問。它不允許訪問任何類型的“網關”,例如 Internet 網關、NAT 網關、VPC 服務端點、AWS Direct Connect 或硬體 VPN。

通過對等連接的流量無法“傳輸”VPC 並從另一端流出。

引用自:https://serverfault.com/questions/827563