aws vpcサブネット間でpingまたはsshできません

VPCにはかなり標準的な多層サブネットレイアウトがあります。データベース層/サブネット、Webサーバー層/サブネット、要塞ホスト層/サブネットがあります。私の問題は、サブネット間でpingまたはsshを実行できないことです。

特に、要塞層/サブネットからWebサーバー層/サブネットにpingとsshを実行したいと思います。

 172.31.32.0/20要塞層
 172.31.0.0/20 webserver-tier 

両方のサブネットが同じアベイラビリティーゾーンにあり、両方のサブネットが同じルートテーブルに接続されています。ルートテーブルは次のようになります。

 172.31.0.0/16ローカル
 0.0.0.0/0 igw-xxxxxxxx 

現在、webserver-tierのネットワークACLはすべてのトラフィック、すべてのプロトコル、すべてのポート範囲を172.31.32.0/20から許可しています。これは要塞層です。送信/出力ルールはすべてのトラフィックを許可します。セキュリティグループも同様に広く開かれています。以下は、webserver-tierのネットワークACLです。

ルール＃タイププロトコルポート範囲ソース許可/拒否
 100すべてのトラフィックすべて172.31.32.0/20許可
 200 HTTP（80）TCP =（6）80 0.0.0.0/0 ALLOW 
 202 HTTP *（8080）TCP（6）8080 0.0.0.0/0 ALLOW 
 210 HTTPS（ 443）TCP（6）443 0.0.0.0/0 ALLOW 
 * ALL Traffic ALL ALL 0.0.0.0/0 DENY 

両方のサブネットがデフォルト/メインルートテーブルに接続されているサブネット間でpingとsshを試行し、Webサーバーのサブネットを独自のルートテーブルに接続してみました。これらのサブネットのいずれかを開いてラップトップのIPアドレスからのトラフィックを送信すると、インスタンスのパブリックIPアドレスを介してSSHで正常にログインできます。

AWS VPC内の奇妙な、またはバグのある動作を示唆する情報をオンラインで見ました。たとえば、VPCコンソールを介してElastic IPを作成し、EC2コンソールを介してそれらを割り当て、トラフィックがブラックホールにあるかのように消える場合の問題。解決策は、バグのあるEIPを削除し、VPCまたはEC2コンソールのいずれかを使用して、新しいEIPを再作成して完全に割り当てることであると思われました。ただし、私の場合はEIPが含まれていないため、これは、可能性のある/一般的なAWSバグに対する間接的な見方です。

次のトラブルシューティングの方法は、新しいVPCで最初からやり直し、2つのサブネットを作成し、それぞれにサーバーインスタンスを起動して、それらの間でpingとsshをテストすることです。単一のルートテーブル、およびワイドオープンネットワークACLとセキュリティグループ-それ以上に単純なものにすることはできません。

これは基本的なセットアップのように思えるので、欠けている基本的な解決策があると思います。何かご意見は？どうぞよろしくお願いします！