如上图所示,我们在 2 个区域设置了 AWS VPC。VPN 连接现在在两个实例之间工作,每个实例都直接连接到 VPN 设置两端的 VPC(即 eu-west1 中的 VPC PROD 和 ap-south1 中的 VPC PROD)。因此,“远程服务”可以与“生产服务”通信。这由绿色虚线表示。
由于 2 个 eu-west1 VPC 之间存在对等连接,我曾希望 ap-south1 中的 VPC PROD 能够与 eu-west1 中的 VPC ADMIN 进行通信。但似乎并非如此。也就是说,“远程服务”不能与“管理服务”通信。如红色虚线所示。
VPC ADMIN 具有路由表条目:
10.100.0.0/16 ==> peering connection to VPC PROD (eu-west1)
VPC PROD(eu-west1)具有路由表条目:
10.100.0.0/16 ==> Virtual Private Gateway (VPG) / VPN connection
此外,VPC PROD(ap-south1)具有路由表条目:
172.20.0.0/16 and 172.30.0.0/16 ==> strongswan instance.
我猜想问题可能是来自 ap-south1 的流量到达 eu-west1s VPG 路由器,并且有硬性要求它可以到达 VPG 关联 VPC 中的端点,并且它不会查看 VPC 的路由表,因此它不支持使用匹配的路由表条目将流量发送到与 VPC ADMIN 的对等连接。有人可以确认这是否应该起作用吗?
目前,实现此目的的唯一方法似乎是创建第二个 VPN 连接,该连接将具有与 VPC ADMIN 关联的 VPG。然后调整 ap-south1 中的路由以匹配 的旧 VPN172.20.0.0/16 (VPC PROD)和 的新 VPN 172.30.0.0/16 (VPC ADMIN)。这应该可行,但成本会翻倍,并且意味着需要维护更多配置...
还有其他想法可以让它发挥作用吗?
答案1
从设计上来说,这是行不通的。
通过网关或专用连接进行边缘到边缘路由
如果对等关系中的任一 VPC 具有以下连接之一,则您无法将对等关系扩展到该连接:
- VPN 连接
...
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html
VPC 对等连接仅允许跨 VPC 边界的实例间访问。它不允许访问任何类型的“网关”,例如 Internet 网关、NAT 网关、VPC 服务端点、AWS Direct Connect 或硬件 VPN。
跨越对等连接的流量无法“穿越” VPC 并从另一端出来。
答案2
有多个 AWS 网络合作伙伴提供跨区域和/或跨账户的对等连接。https://aws.amazon.com/networking/partner-solutions/
答案3
您必须使用 EC2 实例来提供 Edge to Edge 路由。以下文档 https://aws.amazon.com/answers/networking/aws-multiple-vpc-vpn-connection-sharing/ 中转 VPC 部分