web-dev-qa-db-ja.com

あるリージョンのVPCから別のリージョンのVPCにトラフィックをルーティングする

オレゴンのVPC(us-west-2)のインスタンスがアイルランドの別のVPC(eu-west-1)のインスタンスに接続できるようにするために、両方のリージョンにOpenSwanゲートウェイマシンをインストールし、その間にIPSECトンネルを確立しました。正しく動作する2つのリージョン。

Details:
Oregon VPC CIDR: 172.31.0.0/16
Ireland VPC CIDR: 172.91.0.0/16

アイルランドでは、私が作成したCloudFormationテンプレートを使用して新しいスタックを作成しました。このスタックは、特に新しい分離されたVPCを作成し、CloudFormationが実行しているタスクの1つは、デフォルトのアイルランドのVPCと新しく作成された(分離された)をピアリングすることです。 )VPC。

The new isolated VPC CIDR: 172.52.0.0/16.

現時点では、オレゴンのデフォルトVPC(172.31.x.x)にあるインスタンスからアイルランドのデフォルトVPC(172.91.x.x)にあるインスタンスにpingコマンドを実行すると、チャームのように機能します。

次に、新しい分離されたVPC(172.52.x.x)のマシンが、オレゴン(172.31.x.x)のデフォルトVPCのインスタンスに到達できるようにしたいと思います。

オレゴンのデフォルトVPCに関連付けられているルートテーブルは、トラフィックをルーティングするように設定されています。

to: 172.52.0.0/16 GW: Interface of the OpenSwan server in Oregon.
to: 172.91.0.0/16 GW: Interface of the OpenSwan server in Oregon.

アイルランドのデフォルトVPCに関連付けられているルートテーブルは、トラフィックをルーティングするように設定されています。

to: 172.31.0.0/16 GW: Interface of the OpenSwan server in Ireland.
to: 172.52.0.0/16 GW: The peering connection ID (between 172.52.x.x and 172.91.x.x)

OpenSwanインスタンス@オレゴンに接続されているセキュリティグループ:

Allows all traffic to 172.52.x.x/16, 172.91.x.x/16, 172.31.x.x/16.
Allows UDP 500 and 4500 to the EIP of the OpenSwan instance in Ireland.

OpenSwanインスタンス@アイルランドに接続されているセキュリティグループ:

Allows all traffic to 172.52.x.x/16, 172.91.x.x/16, 172.31.x.x/16.
Allows UDP 500 and 4500 to the EIP of the OpenSwan instance in Oregon.

ipsec.conf:

version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        protostack=netkey
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:172.91.0.0/16,%v4:172.52.0.0/16,%v4:25.0.0.0/8,%v4:172.31.0.0/16,%v4:172.59.0.0/20,%v6:fd00::/8,%v6:fe80::/10
        oe=off

include /etc/ipsec.d/*.conf

OpenSwanマシン(オレゴン/アイルランド)のそれぞれからオレゴンのデフォルトVPCにあるインスタンスにpingを実行できますが、その逆も可能ですが、172.52.xx/16サブネットにあるインスタンスからそのインスタンスにpingを実行できません。 。

私が行方不明だと思うルートはどれですか?アイルランドの分離されたVPCのインスタンスが、オレゴンのデフォルトのVPCに到達できるようにする必要があります。

2
Itai Ganot

わかりました。Amazonが私の電話を聞いたようです。 現在の「create-vpc-peering」を拡張しました コマンドを数日前に実行すると、さまざまなリージョン間でVPCをピアリングできるようになりました。

また、現時点ではAWS CloudFormationでサポートされていないようですが、UIとCliを介してサポートできます。

Amazonの 公式ドキュメント-create-vpc-peering を見ると、新しいスイッチが表示されます。

[--peer-region <value>]

したがって、このクロスリージョンピアリング機能を使用して、アイルランドの分離されたVPCとオレゴンの管理VPCの間のネットワーキングを確立するという目標を達成できるため、リージョン間のVPNの必要性はなくなりました。

1
Itai Ganot

VPCピアリングはトランジティブではないため、Configは機能しません。以下を参照してください: http://docs.aws.Amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html#transitive-peering その公式ドキュメント用。これがセットアップにとって意味することは、ireland DefaultVPCとIrelandIsolated VPCの間のトラフィックのみが流れるということです(172.91.0.0/16 <-> 172.91.0.0/16)

オレゴンから分離されたVPC(172.31.0.0/16 <-> 172.52.0.0/16)宛てのパケットは、分離されたVPCとデフォルトのVPCの両方のルートテーブルにルートを配置した場合でも、ピアリングリンクによってドロップされます。あなたは行方不明です。

一方向の接続のみが必要な場合(つまり、オレゴンの分離VPNクライアントのサーバー。openVPNインスタンスIreland NATオレゴンから分離VPCに向かうトラフィック..これにより、トラフィックがピアリングリンクは、許可されている172.91.0.0/16から供給されます。

IF NATが機能しない場合は、より多くのVPNトンネルまたは新しいクロスリージョンピアリングを使用して、分離されたVPCとオレゴンVPC間の直接接続をセットアップする必要があります https://aws.Amazon.com/about-aws/whats-new/2017/11/announcing-support-for-inter-region-vpc-peering/ (まだ使用していないので、それが持つかもしれない追加の制限が何であるかわからない)

1
Nath