J'ai deux vpc, l'un est un vpc mgmt avec tous les points de terminaison d'interface vpc nécessaires se connectant aux services AWS, et un autre vpc appairé a établi une connexion d'appairage avec le vpc mgmt. J'ai essayé de ssh dans mon instance (appelez-la instance A) dans le vpc appairé et d'appeler aws api via cli avec la commande suivante

aws ec2 describe-instances

Mais toujours la connexion expire à chaque fois.

J'ai vérifié mon groupe de sécurité de point de terminaison vpc et j'ai confirmé que je l'avais configuré pour autoriser tout le trafic entrant du groupe de sécurité attaché à l'instance A. Et le groupe de sécurité de mon instance A a été configuré pour autoriser la sortie de tout le trafic vers le groupe de sécurité vpce.

Quelqu'un connaît ou rencontre ce problème avant? Y a-t-il quelque chose que j'ai manqué ou fait de mal?

EDIT: Mon vpc appairé a plusieurs sous-réseaux, avec le seul IGW situé dans les sous-réseaux de niveau entrée / sortie. Dans les sous-réseaux de niveau Web, il y a les instances que j'essaie d'appeler le vpce là-bas, et les sous-réseaux ici ont une passerelle NAT.

Pour mgmt vpc, le seul moyen d'entrer en ssh est via une instance jumphost à l'intérieur du vpc.

Les tables de routage pour les sous-réseaux de niveau Web sont les suivantes:

Destination            Target
100.113.189.0/24       pcx-0d3974s489064s3sd
100.113.206.0/24       local
10.196.162.128/25      local

Les groupes de sécurité pour les instances de sous-réseau de niveau Web sont les suivants:

 Outbound
 Port Range             Protocol      Source
 All                    All           sgrp-<vpce_to_ec2>

La table de routage pour le sous-réseau avec vpce dans mgmt vpc:

Destination            Target
100.113.206.0/24       pcx-0d3974c6890640bd2
100.113.189.0/24      local
10.196.157.128/25     local
pl-6fa54006           vpce-<this_is_for_s3>

Pour le groupe de sécurité vpce à ec2:

Inbound
Port Range             Protocol      Source
All                    All           sgrp-<web_tier_instance>
All                    All           100.113.189.0/24

Notez que chaque vpc a attribué deux blocs cidr. Il existe également une passerelle de point de terminaison s3 dans mgmt vpc

1
tnkh 20 févr. 2021 à 17:25

1 réponse

Meilleure réponse

Basé sur les commentaires.

J'ai essayé de reproduire le problème et l'architecture de l'OP et je peux vérifier que la connexion au point de terminaison fonctionne si --endpoint-url est utilisé.

aws ec2 describe-instances --endpoint-url vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com

Dans ce qui précède, l'URL du point de terminaison (vpce-05c21657a045fff54-puytslup.ec2.us-east-1.vpce.amazonaws.com) peut être obtenue à partir des détails de l'interface VPC.

Il est peut-être possible que l'activation de Prise en charge de la résolution DNS pour la connexion d'appairage fonctionne également. Dans ce cas, --endpoint-url peut ne pas être nécessaire. Cependant, je n'ai pas vérifié cela dans mes tests, car je me suis concentré uniquement sur la résolution du problème avec --endpoint-url.

1
Marcin 25 févr. 2021 à 07:19