1. Zuhause
  2. Frage und Antwort
  3. Ermöglicht es Amazon VPC A, ein neues privates Subnetz auf VPC B zu erhalten?

Ermöglicht es Amazon VPC A, ein neues privates Subnetz auf VPC B zu erhalten?

2017-09-02 1 views
1

Ich habe eine vorhandene VPC (vpcA) und habe kürzlich eine neue VPC (vpcB) mit einem privaten Subnetz (privateSubnet) und öffentlichen Subnetz (publicSubnet) eingerichtet. Ich möchte die Konnektivität von vpcA bis vpcB zulassen.Ermöglicht es Amazon VPC A, ein neues privates Subnetz auf VPC B zu erhalten?

vpcB war Setup mit einem Bastion-Server ssh von publicSubnet und privateSubnet zu ermöglichen - das funktioniert so weiß ich ssh-Setup richtig ist ... so loszulegen ich dachte, ich würde versuchen, ssh-Konnektivität von vpcA zum privateSubnet auf vpcB erlauben .

Ich habe eine Peer-Verbindung eingerichtet und alle Anweisungen in der Amazon-Fehlerbehebungshilfe unter resolving VPC peer network connectivity issues befolgt. Die Verbindung ist aktiv, ich habe Routen eingerichtet von vpcA zu Route 10.0.1.0/24 an das private Netzwerk (die private Adresse ist 10.0.1.10), ACL-Richtlinien scheinen den gesamten Verkehr auf Port 22 zu erlauben (vorerst), und die Sicherheitsgruppen erlauben den Zugriff auf Port 22 (Wieder für jetzt). Es sind keine Firewall-Regeln zur Zeit auf den Instanzen selbst konfiguriert, aber wenn ich von einer Instanz über ssh zu versuchen, eine Verbindung auf vpcA, was ich bekommen ist:

$ ssh -vvv 10.0.1.10 
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014 
debug1: Reading configuration data /etc/ssh/ssh_config 
debug1: /etc/ssh/ssh_config line 19: Applying options for * 
debug2: ssh_connect: needpriv 0 
debug1: Connecting to 10.0.1.10 [10.0.1.10] port 22. 
debug2: fd 3 setting O_NONBLOCK 
debug1: connect to address 10.0.1.10 port 22: Connection timed out 
ssh: connect to host 10.0.1.10 port 22: Connection timed out

trace gibt mir diese:

traceroute to 10.0.1.10 (10.0.1.10), 30 hops max, 60 byte packets 
1 * * * 
2 * * * 
... [same up to 30]

ssh von Bastion Server in publicSubnet auf vpcB zu privateSubnet auf vpcB funktioniert gut, so dass ich weiß, ssh selbst arbeitet an der Instanz selbst. Aber offensichtlich kommt der Datenverkehr nicht durch die VPC Peer Connection.

Ich weiß, dass die Fehlersuche vielleicht mehr Details erfordert als das, was ich bisher bereitgestellt habe, aber hat irgendjemand da draußen diese Einstellung? Irgendwelche Vorschläge, wohin ich als nächstes schauen soll oder welche Konfiguration ich liefern kann, um uns Hinweise zu geben, wo das Problem liegt?

Danke!

Quelle

2017-09-02 darrin

+1

Was ist das 'CIDR' für Ihre VPCA und VPCB? – helloV

+0

vcpA CIDR = 172.31.0.0/16, vpcB CIDR = 10.0.0.0/16 – darrin

Antwort

0

alle von helloV genannten Dinge müssen abgedeckt werden, da es viele Dinge, die schief gehen können. Mein spezieller Fall war jedoch, dass ich Einträge hatte, um von vpcA zu vpcB zu routen, aber keine Route für den Rückverkehr von vpcB nach vpcA.

Die Amazon documentation on routing tables for VPC Peering anspielt auf diesen Bedarf in diesem Zitat:

Um das Routing von Datenverkehr zwischen VPC in einer VPC Peering-Verbindung zu aktivieren, müssen Sie eine Route zu einem oder mehrer Ihren VPC Routentabellen, die Punkte hinzufügen an die VPC-Peering-Verbindung, um auf den gesamten oder einen Teil des CIDR-Blocks der anderen VPC in der Peering-Verbindung zuzugreifen. Entsprechend muss der Besitzer der anderen VPC eine Route zu ihrer VPC-Routentabelle hinzufügen, um den Datenverkehr zurück zu Ihrer VPC zu leiten.

Der letzte Satz hier ist der Schlüssel - und die genannten Beispiele markieren das Problem. Ehrlich gesagt war ich ein wenig verwirrt durch diese zunächst aber this explanation which refers to overlapping CIDR blocks in routes beleuchtet auch, warum diese Strecke benötigt wird:

AWS derzeit nicht Unicast Reverse Path unterstützt in VPC Peering-Verbindungen weiterzuleiten, die den Quell-IP-Pakete und Routen überprüft antworten Pakete zurück zur Quelle.

So insgesamt follow this advice und die Beratung in helloV's Beitrag. Beachten Sie jedoch, dass diese Routen bidirektional zwischen den fraglichen Subnetzen sein müssen, damit Pakete in beide Richtungen fließen können.

Quelle

2017-09-05 19:33:35 darrin

1

Ihre traceroute Ausgabe schlägt vor, es gibt keine Route, um Ihre Anfrage weiterzuleiten.

  • Achten Sie darauf, die CIDR für Ihre Vpca und Vpcb nicht überlappen
  • Überprüfen Sie, ob die Routing-Tabellen für private Subnetz und öffentlichen Subnetze in Vpca einen Eintrag Verkehr zu Vpcb für das Routing.
  • Es gibt eine separate Routing-Tabelle für öffentliche und private.
  • Das Ziel für die Route 10.0.1.0/24 sollte die VPC Peering-Verbindung sein - beginnt mit pcx-
  • Ist die VPC Peering-Verbindung zugelassen und aktiv?
  • Wenn nichts funktioniert, schreiben einen Screenshot von Subnetzen Routing-Tabellen

Quelle

2017-09-02 22:22:00 helloV

Verwandte Themen

 Verwandte Themen