web-dev-qa-db-ja.com

ピアリングされたVPCのEC2インスタンス間でpingを実行できません

同じAWSアカウント内で必要最低限​​のVPC接続をセットアップしようとしています。

  • VPC-Aとサブネット-AのCIDR:10.200.1.0/24
  • VPC-BとサブネットBのCIDR:10.200.2.0/24

各VPCには1つのEC2インスタンスが含まれています

  • 10.200.1.17(VPC-A、サブネット-A)、EC2-Aと呼びましょう
  • 10.200.2.67(VPC-B、サブネット-B)、EC2-Bと呼びましょう

VPC-Aとサブネット-Aの両方に関連付けられているルートテーブルに次のルートを追加しました。これにより、次のCIDR範囲に基づいてVPC-AからVPC-Bにトラフィックがルーティングされます。 VPC-B

  • (宛先|ターゲット):10.200.2/24 | PCX-123

(PCX-123はVPCピアリング接続のIDです)

EC2-AおよびEC2-Bに関連付けられたセキュリティグループは、すべてのインバウンドおよびアウトバウンドトラフィックを許可します。

両方のネットワークのNACLがすべてのトラフィックを許可しています

EC2-AにSSHで接続し、EC2-Bにpingを実行しようとすると、タイムアウトになります。

ping 10.200.2.67
...
...
... timeout

何が足りないのですか?

ご参考までに

  1. Stackoverflowで質問してみましたが、トピックから外れていると見なされました
  2. はい、概念的には ピア接続を介して別のvpcでec2にpingを実行できません と同じ質問ですが、この質問は無効であり、質問者は応答もフォローアップもしませんでした。
2
James Wierzba

VPCピアリングには、対称的なルートテーブルエントリが必要です。ピアリング接続の両側のテーブルには、ピアリング接続を横切って反対側を指すルートが必要です。

プライベートIPv4アドレスを使用してインスタンスからピアVPC内のインスタンスにトラフィックを送信するには、インスタンスが存在するサブネットに関連付けられているルートテーブルにルートを追加する必要があります。

.。

ピアリング接続の他のVPCの所有者も、トラフィックをVPCに戻すために、サブネットのルートテーブルにルートを追加する必要があります。

http://docs.aws.Amazon.com/AmazonVPC/latest/PeeringGuide/vpc-peering-routing.html

(これは、同じアカウントが両方のVPCの所有者である場合にも当てはまります。)

3