可以在对等 vpc 中调用 aws 接口端点吗?
Possible to call the aws interface endpoint in a peered vpc?
我有两个 vpc,一个是 mgmt vpc,具有连接到 AWS 服务的所有必要 vpc 接口端点,另一个对等 vpc 与 mgmt vpc 建立对等连接。我试图通过 ssh 进入对等 vpc 中的实例(称之为实例 A),并使用以下命令通过 cli 调用 aws api
aws ec2 describe-instances
但每次连接仍然超时。
我已经检查了我的 vpc 端点安全组并双重确认我已将其设置为允许来自连接到实例 A 的安全组的所有传入流量。我的实例 A 的安全组已设置为允许所有流量传出到 vpce安全组。
有人知道或遇到过这个问题吗?我错过了什么或做错了什么?
编辑:我的对等 vpc 有几个子网,唯一的 IGW 位于 ingress/egress 层子网中。在 web 层子网中,有我试图在那里调用 vpce 的实例,并且这里的子网有 NAT 网关。
对于 mgmt vpc,ssh 进入的唯一方法是通过 vpc 内的 jumphost 实例。
Web 层子网的路由 table 如下:
Destination Target
100.113.189.0/24 pcx-0d3974s489064s3sd
100.113.206.0/24 local
10.196.162.128/25 local
Web 层子网实例的安全组如下:
Outbound
Port Range Protocol Source
All All sgrp-<vpce_to_ec2>
在 mgmt vpc 中带有 vpce 的子网的路由 table:
Destination Target
100.113.206.0/24 pcx-0d3974c6890640bd2
100.113.189.0/24 local
10.196.157.128/25 local
pl-6fa54006 vpce-<this_is_for_s3>
对于 vpce 到 ec2 安全组:
Inbound
Port Range Protocol Source
All All sgrp-<web_tier_instance>
All All 100.113.189.0/24
请注意,每个 vpc 都分配了两个 cidr 块。 mgmt vpc 中也有 s3 端点网关
根据评论。
我尝试重现问题和 OP 的架构,如果 --endpoint-url被使用了。
aws ec2 describe-instances --endpoint-url vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com
在上面,端点url(vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com)可以从VPC接口详情中获取。
启用 DNS Resolution Support 对等连接可能也有效。在那种情况下,可能不需要 --endpoint-url。但是,我还没有在我的测试中验证,因为我只专注于解决 --endpoint-url 的问题。
我有两个 vpc,一个是 mgmt vpc,具有连接到 AWS 服务的所有必要 vpc 接口端点,另一个对等 vpc 与 mgmt vpc 建立对等连接。我试图通过 ssh 进入对等 vpc 中的实例(称之为实例 A),并使用以下命令通过 cli 调用 aws api
aws ec2 describe-instances
但每次连接仍然超时。
我已经检查了我的 vpc 端点安全组并双重确认我已将其设置为允许来自连接到实例 A 的安全组的所有传入流量。我的实例 A 的安全组已设置为允许所有流量传出到 vpce安全组。
有人知道或遇到过这个问题吗?我错过了什么或做错了什么?
编辑:我的对等 vpc 有几个子网,唯一的 IGW 位于 ingress/egress 层子网中。在 web 层子网中,有我试图在那里调用 vpce 的实例,并且这里的子网有 NAT 网关。
对于 mgmt vpc,ssh 进入的唯一方法是通过 vpc 内的 jumphost 实例。
Web 层子网的路由 table 如下:
Destination Target
100.113.189.0/24 pcx-0d3974s489064s3sd
100.113.206.0/24 local
10.196.162.128/25 local
Web 层子网实例的安全组如下:
Outbound
Port Range Protocol Source
All All sgrp-<vpce_to_ec2>
在 mgmt vpc 中带有 vpce 的子网的路由 table:
Destination Target
100.113.206.0/24 pcx-0d3974c6890640bd2
100.113.189.0/24 local
10.196.157.128/25 local
pl-6fa54006 vpce-<this_is_for_s3>
对于 vpce 到 ec2 安全组:
Inbound
Port Range Protocol Source
All All sgrp-<web_tier_instance>
All All 100.113.189.0/24
请注意,每个 vpc 都分配了两个 cidr 块。 mgmt vpc 中也有 s3 端点网关
根据评论。
我尝试重现问题和 OP 的架构,如果 --endpoint-url被使用了。
aws ec2 describe-instances --endpoint-url vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com
在上面,端点url(vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com)可以从VPC接口详情中获取。
启用 DNS Resolution Support 对等连接可能也有效。在那种情况下,可能不需要 --endpoint-url。但是,我还没有在我的测试中验证,因为我只专注于解决 --endpoint-url 的问题。