如果有两个供应商使用单独的 VPC 连接到单个客户网关进行 VPN 连接,那么有哪些可能的配置选项可以实现这一点?
目前看来,AWS 仅允许每个区域的一个客户网关与一个 VPN 连接相关联。我们无法添加额外的客户网关,也无法更改区域。
似乎无法通过一个 VPC 将流量路由到另一个 VPC。http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html#edge-to-edge-vgw
答案1
在 VPC 中,“您的”虚拟专用网关之一和“我的”虚拟专用网关之一的外部 IP 地址可以相同 - 虚拟专用网关 (vgw) 是 VPN 连接的 AWS 端,具有两个公共 IP 地址。只要您的客户网关和我的客户网关具有不同的地址,那就是唯一的源/目标地址对,因此它可以与 IPSec 配合使用,让我的流量和您的流量在相同的外部 IP 上到达相同的 AWS 设备。
但稍后,如果我们尝试将我的客户网关连接到您的 VPC,并且您的 VPC 的虚拟网关具有与我的 VPC 的外部 IP 地址相同的外部 IP 地址,那么这将不起作用,因为两个 VPN 连接的源地址和目标地址是相同的。
显然,VPC 无法自动处理此异常,因为当我们为其提供客户网关地址时,虚拟专用网关地址已经被分配。
因此,解决方法——做好准备——显然是通过声明虚拟客户网关并建立连接来“忙于”你的 vgw。
然后,创建一个新的 vgw,它应该具有不同的外部地址……以及用于您的真实 IP 地址的新客户网关。
重复此操作直到获得有效的对,然后删除所有不需要的 vpn 连接以及客户和虚拟网关对象。
https://aws.amazon.com/articles/5458758371599914#_Toc331767311
这看起来有点复杂,但我怀疑这是一个相当罕见的现象,因为更简单的解决方法是在实际情况下在客户网关上使用不同的外部 IP...限制实际上不是每个客户网关一个,而是每个客户网关外部 IP 一个。