我正在使用带有 2 个 VPC 的 AWS 客户端 VPN 端点:
- VPN 专有网络 (10.100.0.0/16)
- 应用程序 VPC(10.200.0.0/16)
- 两个 VPC 之间的 VPC 对等互连并使用路由表规则来对两者进行通信。
“App VPC”中的资源托管在具有到“VPN VPC”对等连接的路由规则的子网中。
“App VPC”中的资源使用的安全组允许来自10.100.0.0/16
问题是,当我连接到 VPN 并获得分配的 IP(例如10.100.20.132、、10.100.20.162)时10.100.20.165,10.100.20.167无法访问资源。
但是当我被分配 IP 例如10.100.20.2、10.100.20.3、时10.100.20.6,10.100.20.34它确实有效。
我运行了一些可达性分析器来验证来自 VPN 的流量是否能够到达资源,这些资源始终通过跟踪显示成功:'VPC peering' -> 'NACL' -> 'SG(10.100.0.0/16)' -> 'ENI' - 'Instance'
网络不是我的专业,任何关于应该关注什么的见解都值得感激。
答案1
我的错误是在“关联”子网的路由表中。我有 2 个子网,其中一个子网我在路由表中添加了“应用 VPC”的 CIDR 块路由:
子网 1
10.200.0.0/16-> VPC 对等(VPN 到 APP)10.100.0.0/16-> 本地0.0.0.0/0-> 政府
但是我忘记在第二个关联子网的路由表中执行此操作了。
子网 2
10.100.0.0/16-> 本地0.0.0.0/0-> 政府
我刚刚添加了缺失的路线并且它起作用了。