通过其他 aws 帐户中的中转网关连接 On-Prem 网络?
Connecting On-Prem network via transit gateway in the other aws account?
我有 2 个 aws 帐户,其中 A 通过 transit gateway 连接到 On-Prem,B 连接到 A通过 peering connection。一切正常,因此我可以连接从 A 到 On-Prem,以及从 A 到 B。挑战在于在不创建另一个 transit gateway 的情况下实现从 B 到 On-Prem 的连接。可能吗?
+---------+
| |
| On-Prem |
| |
+---------+
| ^
v |
+--------------------------+
| | AWS Account A |
| AWS TGW +---------------+
| | Peering Conn |
+--------------------------+
^ |
| v
+---------------+
| Peering Conn |
+---------------+
| AWS Account B |
+---------------+
我似乎有路由、SG、ACL - 都正确,但仍然不起作用。由于我在 AWS infra 上看不到任何数据包流,因此很难调试。此外,我找不到任何可以清楚说明一般情况下是否可行的文件。
只有一种方法可以使用中转网关连接跨账户,那就是共享中转网关 via resource access manager。先决条件是两个账户都在 AWS 组织账户的保护下。
如果您无法执行此操作,那么您需要在另一个账户中创建一个辅助中转网关,或者在账户 B 中创建一个虚拟专用网关并将其关联到您的 AWS 账户 B VPC。
然后您可以从这里create您的辅助 VPN 连接。
AWS 不支持通过对等连接的可传递网络。要求到达VPC的流量包必须在VPC内终结。
人们使用的其他解决方案是:
- 在账户 A 中创建代理实例以代理账户 B 中的实例
- 创建 Transit VPC(中转网关的工作和风险更多)
我有 2 个 aws 帐户,其中 A 通过 transit gateway 连接到 On-Prem,B 连接到 A通过 peering connection。一切正常,因此我可以连接从 A 到 On-Prem,以及从 A 到 B。挑战在于在不创建另一个 transit gateway 的情况下实现从 B 到 On-Prem 的连接。可能吗?
+---------+
| |
| On-Prem |
| |
+---------+
| ^
v |
+--------------------------+
| | AWS Account A |
| AWS TGW +---------------+
| | Peering Conn |
+--------------------------+
^ |
| v
+---------------+
| Peering Conn |
+---------------+
| AWS Account B |
+---------------+
我似乎有路由、SG、ACL - 都正确,但仍然不起作用。由于我在 AWS infra 上看不到任何数据包流,因此很难调试。此外,我找不到任何可以清楚说明一般情况下是否可行的文件。
只有一种方法可以使用中转网关连接跨账户,那就是共享中转网关 via resource access manager。先决条件是两个账户都在 AWS 组织账户的保护下。
如果您无法执行此操作,那么您需要在另一个账户中创建一个辅助中转网关,或者在账户 B 中创建一个虚拟专用网关并将其关联到您的 AWS 账户 B VPC。
然后您可以从这里create您的辅助 VPN 连接。
AWS 不支持通过对等连接的可传递网络。要求到达VPC的流量包必须在VPC内终结。
人们使用的其他解决方案是:
- 在账户 A 中创建代理实例以代理账户 B 中的实例
- 创建 Transit VPC(中转网关的工作和风险更多)