オレゴンのVPC(us-west-2)のインスタンスがアイルランドの別のVPC(eu-west-1)のインスタンスに接続できるようにするために、両方のリージョンにOpenSwanゲートウェイマシンをインストールし、その間にIPSECトンネルを確立しました。正しく動作する2つのリージョン。
Details:
Oregon VPC CIDR: 172.31.0.0/16
Ireland VPC CIDR: 172.91.0.0/16
アイルランドでは、私が作成したCloudFormationテンプレートを使用して新しいスタックを作成しました。このスタックは、特に新しい分離されたVPCを作成し、CloudFormationが実行しているタスクの1つは、デフォルトのアイルランドのVPCと新しく作成された(分離された)をピアリングすることです。 )VPC。
The new isolated VPC CIDR: 172.52.0.0/16.
現時点では、オレゴンのデフォルトVPC(172.31.x.x)にあるインスタンスからアイルランドのデフォルトVPC(172.91.x.x)にあるインスタンスにpingコマンドを実行すると、チャームのように機能します。
次に、新しい分離されたVPC(172.52.x.x)のマシンが、オレゴン(172.31.x.x)のデフォルトVPCのインスタンスに到達できるようにしたいと思います。
オレゴンのデフォルトVPCに関連付けられているルートテーブルは、トラフィックをルーティングするように設定されています。
to: 172.52.0.0/16 GW: Interface of the OpenSwan server in Oregon.
to: 172.91.0.0/16 GW: Interface of the OpenSwan server in Oregon.
アイルランドのデフォルトVPCに関連付けられているルートテーブルは、トラフィックをルーティングするように設定されています。
to: 172.31.0.0/16 GW: Interface of the OpenSwan server in Ireland.
to: 172.52.0.0/16 GW: The peering connection ID (between 172.52.x.x and 172.91.x.x)
OpenSwanインスタンス@オレゴンに接続されているセキュリティグループ:
Allows all traffic to 172.52.x.x/16, 172.91.x.x/16, 172.31.x.x/16.
Allows UDP 500 and 4500 to the EIP of the OpenSwan instance in Ireland.
OpenSwanインスタンス@アイルランドに接続されているセキュリティグループ:
Allows all traffic to 172.52.x.x/16, 172.91.x.x/16, 172.31.x.x/16.
Allows UDP 500 and 4500 to the EIP of the OpenSwan instance in Oregon.
ipsec.conf:
version 2.0 # conforms to second version of ipsec.conf specification
# basic configuration
config setup
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:172.91.0.0/16,%v4:172.52.0.0/16,%v4:25.0.0.0/8,%v4:172.31.0.0/16,%v4:172.59.0.0/20,%v6:fd00::/8,%v6:fe80::/10
oe=off
include /etc/ipsec.d/*.conf
OpenSwanマシン(オレゴン/アイルランド)のそれぞれからオレゴンのデフォルトVPCにあるインスタンスにpingを実行できますが、その逆も可能ですが、172.52.xx/16サブネットにあるインスタンスからそのインスタンスにpingを実行できません。 。
私が行方不明だと思うルートはどれですか?アイルランドの分離されたVPCのインスタンスが、オレゴンのデフォルトのVPCに到達できるようにする必要があります。
わかりました。Amazonが私の電話を聞いたようです。 現在の「create-vpc-peering」を拡張しました コマンドを数日前に実行すると、さまざまなリージョン間でVPCをピアリングできるようになりました。
また、現時点ではAWS CloudFormationでサポートされていないようですが、UIとCliを介してサポートできます。
Amazonの 公式ドキュメント-create-vpc-peering を見ると、新しいスイッチが表示されます。
[--peer-region <value>]
したがって、このクロスリージョンピアリング機能を使用して、アイルランドの分離されたVPCとオレゴンの管理VPCの間のネットワーキングを確立するという目標を達成できるため、リージョン間のVPNの必要性はなくなりました。
VPCピアリングはトランジティブではないため、Configは機能しません。以下を参照してください: http://docs.aws.Amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html#transitive-peering その公式ドキュメント用。これがセットアップにとって意味することは、ireland DefaultVPCとIrelandIsolated VPCの間のトラフィックのみが流れるということです(172.91.0.0/16 <-> 172.91.0.0/16)
オレゴンから分離されたVPC(172.31.0.0/16 <-> 172.52.0.0/16)宛てのパケットは、分離されたVPCとデフォルトのVPCの両方のルートテーブルにルートを配置した場合でも、ピアリングリンクによってドロップされます。あなたは行方不明です。
一方向の接続のみが必要な場合(つまり、オレゴンの分離VPNクライアントのサーバー。openVPNインスタンスIreland NATオレゴンから分離VPCに向かうトラフィック..これにより、トラフィックがピアリングリンクは、許可されている172.91.0.0/16から供給されます。
IF NATが機能しない場合は、より多くのVPNトンネルまたは新しいクロスリージョンピアリングを使用して、分離されたVPCとオレゴンVPC間の直接接続をセットアップする必要があります https://aws.Amazon.com/about-aws/whats-new/2017/11/announcing-support-for-inter-region-vpc-peering/ (まだ使用していないので、それが持つかもしれない追加の制限が何であるかわからない)