【发布时间】:2021-05-23 07:58:49
【问题描述】:
我有两个 vpc,一个是 mgmt vpc,其中所有必要的 vpc 接口端点都连接到 AWS 服务,另一个对等 vpc 与 mgmt vpc 建立了对等连接。我试图在对等 vpc 中通过 ssh 进入我的实例(称为实例 A)并使用以下命令通过 cli 调用 aws api
aws ec2 describe-instances
但每次连接仍然超时。
我检查了我的 vpc 端点安全组并再次确认我已将其设置为允许来自附加到实例 A 的安全组的所有传入流量。并且我的实例 A 的安全组已设置为允许所有流量出口到 vpce 安全组.
有人知道或遇到过这个问题吗?我错过了什么或做错了什么?
编辑:我的对等 vpc 有几个子网,唯一的 IGW 位于入口/出口层子网中。在 Web 层子网中,有我试图在那里调用 vpce 的实例,而这里的子网有 NAT 网关。
对于 mgmt vpc,ssh 进入的唯一方法是通过 vpc 内的 jumphost 实例。
Web 层子网的路由表如下:
Destination Target
100.113.189.0/24 pcx-0d3974s489064s3sd
100.113.206.0/24 local
10.196.162.128/25 local
Web 层子网实例的安全组如下:
Outbound
Port Range Protocol Source
All All sgrp-<vpce_to_ec2>
mgmt vpc中带有vpce的子网的路由表:
Destination Target
100.113.206.0/24 pcx-0d3974c6890640bd2
100.113.189.0/24 local
10.196.157.128/25 local
pl-6fa54006 vpce-<this_is_for_s3>
对于 vpce 到 ec2 安全组:
Inbound
Port Range Protocol Source
All All sgrp-<web_tier_instance>
All All 100.113.189.0/24
请注意,每个 vpc 都分配了两个 cidr 块。 mgmt vpc 中也有 s3 端点网关
【问题讨论】:
-
您是否尝试过指定 VPC 终端节点 DNS 名称:
aws ec2 describe-instances --endpoint-url vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com。显然,您的端点 DNS 名称会有所不同。您必须在 vpc 接口端点详细信息中检查它。 -
您能否使用 VPC 设置更新问题。这些 VPC 是完全私有的,没有互联网网关吗?你的路由表和其他一切是什么。我可以尝试重新构建您的 VPC 对等架构并重现该问题。
-
我创建了两个 VPC 以拥有一个仅带有 EC2 端点的私有 VPC 和 webteir vpc。
--endpoint-url的使用按预期工作。没有--endpoint-url,aws cli 挂起。因此,您应该仔细检查您的路由表和安全组。 -
您是否在 VPC 中启用了 DNS 主机名和 DNS 支持?您还可以验证您的 VPCE 是否可以正常工作,例如,通过在 mgmt 中创建实例并在那里尝试 aws cli?
-
@Marcin 我今天又试了一次,用你的建议进行了测试,一切正常。现在,我可以通过明确指定端点 url 来调用对等 vpc 中的 vpce 端点。非常感谢。无论如何,除了支持您的评论之外,我还可以相信您?
标签: amazon-web-services vpc-endpoint aws-vpc-peering