我正在查看 Pritunl 企业版产品,想知道我们是否可以使用它来设置以下场景:
- 我们的 AWS 环境由不同 AWS 区域中的多个 VPC 组成。
- 我们希望使用 Pritunl Enterprise 为我们所有的 AWS VPC 提供私有 IP 连接,无论 Pritunl 服务器客户端与哪个服务器建立 VPN 连接。
- 我们所有的 Pritunl 服务器都将位于一个 Pritunl 集群中。它们将共享同一个 MongoDB 数据库。
- 我们计划在每个区域的 VPC(指定为“中心” VPC)中,在 us-east-1 部署至少一台 Pritunl 服务器,在 us-west-2 部署至少一台 Pritunl 服务器。
- 我们计划将一个区域内的所有 VPC 与 AWS VPC 对等连接到该区域的“中心”VPC(如下图所示,以绿色虚线链接表示)。
- 我们希望使用 Pritunl 在我们的“中心” VPC 之间建立区域间 VPC 私有 IP 连接(如下图所示,为红色虚线链接)。
我在这里找到了 Pritunl AWS 站点到站点设置指南:https://medium.com/pritunl-tutorials/pritunl-advanced-tutorial-2be5cc57dff8,但他们似乎正在创建两个 VPN 服务器。这意味着客户端需要根据他们要连接的 Pritunl 服务器连接到不同的端口号。理想情况下,我们希望在 us-east-1 和 us-west-2 的每个 Pritunl 主机上使用相同的服务器,以便客户端连接到的端口号相同。
答案1
Amazon VPC 对等连接不允许跨 VPC 网络的传递连接。您必须为每个 VPC 创建一个隧道/vpngw。
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html
我目前在三个不同的整合账单账户中遇到了同样的问题,7 个 VPC 跨度很大,我们的远程站点和我们的账户之间无法只建立一个隧道。我将被迫从我们的站点路由器到每个 VPC 创建对等连接。这导致成本高得令人难以置信。AWS 无法遵守 VPC 之间的标准第 3 层可路由性,这是他们的一大失误。